java - 在 Mosquitto MQTT SSL/TLS 实例和客户端 Java 应用程序中使用 DigiCert 全局根 CA
问题描述
我正在使用从OpenSSLmosquitto 配置文件生成并在其中使用的证书成功地运行 TLS1.2 的 Mosquitto MQTT。这也涉及到 Java Client 手动指定连接 mosquitto 的 CA 证书文件
我想使用DigiCert Global Root CA我的 Java 密钥库中存在的。
当前设置
用于此的 Mosquitto 配置文件如下所示:
cafile .\m2mqtt_ca.crt
# PEM encoded server certificate.
certfile .\m2mqtt_srv.crt
# PEM encoded keyfile.
keyfile .\m2mqtt_srv.key
tls_version tlsv1.2
这些证书是使用 OpenSSL 使用以下命令生成的:
# generate key
openssl genrsa -des3 -out m2mqtt_ca.key 2048
# create CA certificate
openssl req -new -x509 -days 3650 -key m2mqtt_ca.key -out m2mqtt_ca.crt
# create private key for the server
openssl genrsa -out m2mqtt_srv.key 2048
# create certificate request from CA
openssl req -new -out m2mqtt_srv.csr -key m2mqtt_srv.key
# verify and sign the certificate request
openssl x509 -req -in m2mqtt_srv.csr -CA m2mqtt_ca.crt -CAkey m2mqtt_ca.key -CAcreateserial -out m2mqtt_srv.crt -days 3650
它可以在客户端 Java 应用程序中使用以下内容:
package acme.messaging;
import org.bouncycastle.cert.X509CertificateHolder;
import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.PEMParser;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.security.KeyStore;
import java.security.Security;
public class SslUtil {
public static final SSLSocketFactory Instance;
static {
Instance = SslUtil.getSocketFactory(
"N:\\work\\acme\\mqtt-ssl\\messaging\\mqtt\\certs\\m2mqtt_ca.crt");
}
private static X509CertificateHolder loadCACert(String caCrtFile) throws IOException {
PEMParser reader =
new PEMParser(
new InputStreamReader(new ByteArrayInputStream(
Files.readAllBytes(Paths.get(caCrtFile)))));
X509CertificateHolder caCert = (X509CertificateHolder) reader.readObject();
reader.close();
return caCert;
}
static SSLSocketFactory getSocketFactory(
final String caCrtFile) {
try {
Security.addProvider(new BouncyCastleProvider());
JcaX509CertificateConverter jcaX509CertificateConverter = new JcaX509CertificateConverter();
X509CertificateHolder caCertificateHolder = loadCACert(caCrtFile);
// CA certificate is used to authenticate server
KeyStore caKs = KeyStore.getInstance(KeyStore.getDefaultType());
caKs.load(null, null);
caKs.setCertificateEntry("ca-certificate", jcaX509CertificateConverter.getCertificate(caCertificateHolder));
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(caKs);
// finally, create SSL socket factory
SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(null, tmf.getTrustManagers(), null);
return context.getSocketFactory();
} catch (Exception ex) {
return null;
}
}
}
// consume
String uri = "ssl://localhost:1884";
String clientId = "1002";
final MqttMessage mqttMessage = new MqttMessage();
String messageText = "Some data";
mqttMessage.setPayload(messageText.getBytes());
try (MqttClient client = new MqttClient(uri, clientId)) {
if (!client.isConnected()) {
final MqttConnectOptions options = new MqttConnectOptions();
options.setUserName("acme-user");
options.setPassword("acme-user".toCharArray());
options.setSocketFactory(SslUtil.Instance);
client.connect(options);
}
mqttMessage.setRetained(true);
client.publish("test/writeme", mqttMessage);
}
问题
是否可以使用基于DigiCert Global Root CAMosquitto 的证书?
目前它存在于我的 Java Keystore 中:
可以导出,但不确定是否可以在 OpenSSL 工作流程中正确使用。我已尝试在上述步骤中使用它,但这会产生错误。这个想法是生成相同的文件并将它们导入到蚊子配置中。
尝试通过 OpenSSL 重用 DigiCert 证书时出错
在这里,我确实尝试使用生成的文件和从DigiCert下载的文件
DigiCert 网站上生成的以下命令行
openssl req -new -newkey rsa:2048 -nodes -out localhost.csr -keyout localhost.key -subj "/C=GB/ST=Durham/L=Durham/O=quorum/CN=localhost"
Can't load ./.rnd into RNG
8016:error:2406F079:random number generator:RAND_load_file:Cannot open file:crypto\rand\randfile.c:88:Filename=./.rnd
Generating a RSA private key
......................................................................................................................................................................+++++
.....................................................................................................+++++
writing new private key to 'localhost.key'
注意:我在这里的事件顺序迷失了。
然后这些:
openssl x509 -req -in localhost.csr -CA DigiCertAssuredIDRootCA.crt -CAkey localhost.key -CAcreateserial -out m2mqtt_srv.crt -days 3650
错误:
Signature ok
subject=C = GB, ST = Durham, L = Durham, O = quorum, CN = localhost
unable to load certificate
9896:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
也试过这个:
openssl x509 -req -in localhost.csr -CA DigiCertAssuredIDRootCA.crt -CAkey DigiCertAssuredIDRootCA.crt.pem -CAcreateserial -out m2mqtt_srv.crt -days 3650
错误:
Signature ok
subject=C = GB, ST = Durham, L = Durham, O = quorum, CN = localhost
unable to load certificate
12904:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
解决方案
正如评论中所说的那样。
您不能将证书作为受信任的 CA 进行签名(如果可以,您为什么会信任 CA?)。
您必须生成 CSR(证书签名请求)并将其发送给 CA 以供他们签名(通常会向您收费)。他们还将证明您拥有证书将代表的域。(LetsEncrypt 使用 certbot 工具为您完成这一切,并将免费完成)。
此外,任何受信任的 CA 都不会为localhost.
推荐阅读
- postgresql - Odoo 10 - 即使 pg_hba.conf 更改,也无法通过 pgAdmin4 访问 Postgresql (9.5)
- javascript - 使用 Tampermonkey 关闭延迟弹出窗口(实际上是一个“弹出”模型对话框)
- javascript - DCMTK dcm2json 为损坏的 DS 或 IS 值生成无效 JSON
- android - 如何以适当的方式显示时间(分钟:秒)?
- maven - 如何配置 Maven 离线工作?完整的解决方案
- python-3.x - wsl 上带有 pip3 的 errno22
- entity-framework - 当我在没有 .Include() 的情况下查询 EF Core 时,为什么会加载子实体
- exchangewebservices - Microsoft 团队会议的 VTC 会议 ID 在 Exchange 中是否有扩展属性?
- docker - Mac 和 awslogs 上的 Docker
- r - 重塑从长到宽的时间序列数据(每天的时间序列数量不等)