使用 Mosquitto 客户端测试 VerneMQ 代理 TLS

Question

背景

• 我设置并配置了 VerneMQ 代理。 Broker 在 docker 容器中，我使用 docker-compose.yml 启动它。这是我的 docker-compose 文件的外观：

version: '3.3'
services:
  db:
    image: erlio/docker-vernemq
    container_name: vernemq1
    network_mode: docker_mysql_default
    restart: always
    environment:
      DOCKER_VERNEMQ_ALLOW_ANONYMOUS: 'off'
      DOCKER_VERNEMQ_PLUGINS.vmq_diversity: 'on'
      DOCKER_VERNEMQ_PLUGINS.vmq_passwd: 'off'
      DOCKER_VERNEMQ_PLUGINS.vmq_acl: 'off'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.auth_mysql.enabled: 'on'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.host: 'docker_mysql'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.port: '3306'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.user: 'vernemq'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.password: 'vernemq'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.database: 'vernemq_db'
      DOCKER_VERNEMQ_VMQ_DIVERSITY.mysql.password_hash_method: 'md5'
      DOCKER_VERNEMQ_LISTENER__SSL__CAFILE: '/vernemq/etc/ssl/chain.pem'
      DOCKER_VERNEMQ_LISTENER__SSL__CERTFILE: '/vernemq/etc/ssl/cert.pem'
      DOCKER_VERNEMQ_LISTENER__SSL__KEYFILE: '/vernemq/etc/ssl/privkey.pem'
      DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT: '0.0.0.0:8081'
      DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT__USE_IDENTITY_AS_USERNAME: 'off'
      DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT__REQUIRE_CERTIFICATE: 'off'
    ports:
      # <Port exposed> : <Port running inside container>
      - '1883:1883'
      - '8081:8081'
    expose:
      # Opens port 1883 on the container
      - '1883'
      - '8081'
      # Where our data will be persisted
    volumes:
     - /var/lib/
     - /home/ubuntu/etc/ssl:/vernemq/etc/ssl
# Name our volume
volumes:
  my-db:

• 我正在使用 MySQL 数据库进行身份验证
• 我正在尝试使用 TLS 证书，基于提供的文档 (https://docs.vernemq.com/configuration/listeners#sample-ssl-config)
• 当我不尝试接受 SSL 连接时（这意味着，当我从 docker-compose.yml 中删除以下行时），此设置完全可用：

DOCKER_VERNEMQ_LISTENER__SSL__CAFILE: '/vernemq/etc/ssl/chain.pem'
DOCKER_VERNEMQ_LISTENER__SSL__CERTFILE: '/vernemq/etc/ssl/cert.pem'
DOCKER_VERNEMQ_LISTENER__SSL__KEYFILE: '/vernemq/etc/ssl/privkey.pem'
DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT: '0.0.0.0:8081'
DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT__USE_IDENTITY_AS_USERNAME: 'off'
DOCKER_VERNEMQ_LISTENER__SSL__DEFAULT__REQUIRE_CERTIFICATE: 'off'

• 我使用 openssl 客户端测试/验证了 TLS 连接： openssl s_client -connect 172.18.0.4:8081 -key privkey.pem -cert cert.pem 我从服务器 localhost 执行此操作，172.18.0.4 是 vernemq docker 容器的 IP 地址，8081 是预期的 SSL 默认端口（侦听器），并提供了密钥/证书 这就是结果（我想这意味着 TLS 监听器工作）：

问题

如何使用 mosquitto 客户端或任何其他 mqtt 客户端进行测试？ 我想在发布和订阅时使用基于 TLS 的连接。

当我不使用 TLS 时，这是我执行 mosquitto_sub（订阅客户端）的方式： mosquitto_sub -h <ip_address> -p 1883 -t topic -d -u user -P password -i client-id

这是响应： VerneMQ Subscription

当我尝试使用 TLS 时，我添加了 --key 和 --cert 选项以使用私钥和证书： mosquitto_sub -h <ip_address> -p 1883 -t topic -d -u user -P password -i client-id --key privkey.pem --cert cert.pem

我只得到 Client user sending CONNECT 反复。我做错了什么？

Answer 1

您需要做的一些事情为您的证书目录提供正确的权限，您需要确保为运行 verneMQ 的用户设置权限，在我的情况下，它的“vernemq”现在接下来的事情是设置权限到证书文件夹

chown -R vernemq:vernemq /etc/letsencrypt/live

所有配置文件应为 .pem 格式

listener.ssl.cafile = /etc/letsencrypt/live/mqtts.domain.com/chain.pem
listener.ssl.certfile = /etc/letsencrypt/live/mqtts.domain.com/cert.pem
listener.ssl.keyfile = /etc/letsencrypt/live/mqtts.domain.com/privkey.pem

如果您没有，客户端必须使用 Fullchain.pem 连接到服务器 域证书由中间“Let's Encrypt Authority X3”颁发，该中间证书由“DST Root CA X3”（来自 IdenTrust）交叉签名。 IdenTrust 受到大多数操作系统和应用程序的广泛信任，我们将“DST Root CA X3”作为根 CA。 如果您不是在太旧的操作系统上，那么您可以在本地机器上使用它

cat /etc/ssl/certs/DST_Root_CA_X3.pem /etc/letsencrypt/live/$domain/chain.pem > ca.pem

Answer 2

来自mosquitto_subman 页面：

加密连接

mosquitto_sub 支持 TLS 加密连接。它是强烈的 建议您使用加密连接进行更多操作 比最基本的设置。

要在使用 x509 证书时启用 TLS 连接，请使用以下任一 --cafile 或 --capath 必须作为选项提供。

---

--capath

定义包含受信任的 PEM 编码 CA 证书的目录的路径。用于启用 SSL 通信。

要使 --capath 正常工作，证书文件必须以“.crt”作为文件结尾，并且每次添加/删除证书时都必须运行“openssl rehash”。

要使用mosquitto_sub 命令，您必须提供包含受信任 CA 证书的文件或包含受信任 CA 证书集合的目录