注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

逍遥子 曰:

得失失得 何必患得患失 舍得得舍 不妨不舍不得

 
 
 

日志

 
 

[原]java版mosquitto客户端使用SSL功能的具体操作总结  

2015-06-01 10:10:07|  分类: mqtt |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

在开发java版mosquitto客户端程序时需要使用paho库,如果开发的java客户端要用ssl功能,则需要Bouncy Castle库;在使用ssl功能时,需要证书文件进行进行身份认证,但在测试过程中,只自己制作ca并进行证书签发即可。在测试过程中首先创建一个统一的ca,该ca包括一个crt文件,一个key文件(例如ca.crt、ca.key);测试过程中,要使用该ca为每个测试的机子签发证书,例如:mosquitto服务器运行在192.168.4.223的linux机子上,java版的客户端运行在192.168.4.69的windows机子上,则需要将该ca(即文件ca.crt、ca.key)分别拷贝到mosquitto服务器运行的192.168.4.223上,java版客户端运行的192.168.4.69机子上,然后用openssl使用ca为这两该机子分别签发证书文件,为服务器端签发的证书文件为server.crt和server.key,为客户端签发的证书文件为client.crt和client.key;在上述过程中可能需要用到下面四点内容:

(1)在linux系统下制作ca并使用ca签发证书,该过程可以参考文档:

http://blog.csdn.net/houjixin/article/details/24305613

或者:

http://houjixin.blog.163.com/blog/static/35628410201432205042955/

(2)使用openssl制作ca过程中所需使用的openssl命令,可以参考:http://mosquitto.org/man/mosquitto-tls-7.html

(3)在windows平台下制作客户端的证书文件,其中ca要与服务器端和其他测试客户端保持一致。Windows平台下制作证书可参考文档:

http://blog.csdn.net/houjixin/article/details/25806151

或:

http://houjixin.blog.163.com/blog/static/3562841020144143494875/

(4)开发过程中需要用到库“bcprov-jdk16-139.jar”,

其下载地址为:http://www.bouncycastle.org/latest_releases.html

ssl功能只是在客户端和服务器通信之前的身份验证,后续的通信过程中的加密操作由ssl内部完成,因此具备的ssl功能的java版mosquitto客户端与普通的java版mosquitto客户端相比,只需修改开始部分的相关代码即可。在windows系统下开发java版客户端时,按照下面的步骤进行操作即可:

(1)使用openss根据提供ca签发客户端证书文件,签发证书过程中将生成三个文件:client.crt,client.csr和client.key;其中client.csr主要是为了向ca申请生成client.key文件时生成的“证书申请文件”,一旦生成client.crt和client.key之后就不再需要,实际测试过程中只有client.crt、client.key这两个文件被客户端用于和mosquitto服务器程序进行通信时的身份验证。

(2)封装对ssl的相关操作到一个java类中,例如SslUtil,在该类中完成所有ssl相关功能,例如:加载ca.crt、client.crt和client.key这三个文件,与mosquitto的服务器端进行ssl身份认证。在该类中只有一个函数getSocketFactory,最终该函数将返回一个ssl相关的socket factory实例。该类在附件”SsUtil.java”附件文件中提供。

(3)在使用paho创建mosquitto客户端之前需先创建一个MqttConnectOptions对象,在该对象中调用函数setSocketFactory,并传入第二步中SslUtil所返回的sockt factory实例。相关代码如下所示:

m_conOpt = new MqttConnectOptions();
……
try {
m_conOpt.setSocketFactory(SslUtil.getSocketFactory(caFilePath, clientCrtFilePath, clientKeyFilePath, sspwd));
} catch (Exception e) {
e.printStackTrace();
}


(4)创建一个MqttClient对象,并在该对象连接mosquitto服务器之前先设置第三步中创建的MqttConnectOptions对象。

(5)修改传给MqttClient对象的url参数,使其最前面的协议标志修改为ssl,例如:

String serverUrl = "ssl://192.168.4.223:8883";

 

注意:

1)在win7系统下制作证书文件时可能会出现:Unable to write ‘random state’的问题,该问题的解决办法可参考文档:

http://houjixin.blog.163.com/blog/static/356284102014420104455237/

或:

http://blog.csdn.net/houjixin/article/details/26347375

2)使用paho连接mosquitto时需要将url中的协议名改成ssl,例如:

StringserverUrl = "ssl://192.168.4.223:8883"

 

参考内容:

[1]  https://gist.github.com/sharonbn/4104301

[2]http://stackoverflow.com/questions/18896087/mosquitto-mqtt-broker-and-java-client-with-ssl-tls


附:SslUtil.java的源码:

package test.com.browan.mqtt;

import java.io.*;
import java.nio.file.*;
import java.security.*;
import java.security.cert.*;
import javax.net.ssl.*;

import org.bouncycastle.jce.provider.*;
import org.bouncycastle.openssl.*;

public class SslUtil
{
static SSLSocketFactory getSocketFactory (final String caCrtFile, final String crtFile, final String keyFile,
final String password) throws Exception
{
Security.addProvider(new BouncyCastleProvider());

// load CA certificate
PEMReader reader = new PEMReader(new InputStreamReader(new ByteArrayInputStream(Files.readAllBytes(Paths.get(caCrtFile)))));
X509Certificate caCert = (X509Certificate)reader.readObject();
reader.close();

// load client certificate
reader = new PEMReader(new InputStreamReader(new ByteArrayInputStream(Files.readAllBytes(Paths.get(crtFile)))));
X509Certificate cert = (X509Certificate)reader.readObject();
reader.close();

// load client private key
reader = new PEMReader(
new InputStreamReader(new ByteArrayInputStream(Files.readAllBytes(Paths.get(keyFile)))),
new PasswordFinder() {
@Override
public char[] getPassword() {
return password.toCharArray();
}
}
);
KeyPair key = (KeyPair)reader.readObject();
reader.close();

// CA certificate is used to authenticate server
KeyStore caKs = KeyStore.getInstance(KeyStore.getDefaultType());
caKs.load(null, null);
caKs.setCertificateEntry("ca-certificate", caCert);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(caKs);

// client key and certificates are sent to server so it can authenticate us
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, null);
ks.setCertificateEntry("certificate", cert);
ks.setKeyEntry("private-key", key.getPrivate(), password.toCharArray(), new java.security.cert.Certificate[]{cert});
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(ks, password.toCharArray());

// finally, create SSL socket factory
SSLContext context = SSLContext.getInstance("TLSv1");
context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

return context.getSocketFactory();
}
}


  评论这张
 
阅读(2118)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017