Skip to content

在 BYOC 中配置 TLS/SSL

EMQX BYOC 部署使用 TLS/SSL 加密协议,建立安全的加密通信通道,在数据传输过程中保护数据的机密性。本页概述了如何配置和使用单向 TSL/SSL 协议认证,确保 MQTT 系统的安全通信。

单向认证模式

单向认证确保服务器(EMQX MQTT 代理)在 TLS/SSL 握手期间向客户端(设备或应用程序)呈现有效的证书。客户端通过将呈现的证书与受信任的证书颁发机构(CA)进行验证,以验证服务器的真实性。

在 BYOC 部署中,目前只接受受信任的 CA 颁发的证书。

证书组件

要为您的 BYOC 部署配置 TLS/SSL,您需要准备一个PEM 文件,这个文件对于启用 MQTT 客户端与 EMQX MQTT 代理之间的安全单向认证至关重要。PEM 文件需要包含以下组件:

  • 服务器证书:这是由受信任的证书颁发机构(CA)颁发的证书,使 EMQX MQTT 代理能够与客户端建立安全连接。

  • 证书链:包含完整的证书链,直至受信任的根 CA 证书。这使客户端设备能够验证服务器证书的真实性。

  • 私钥:与服务器证书关联的私钥是解密客户端与 EMQX MQTT 代理之间通信的关键。

证书格式和标准指南

在准备用于 TLS/SSL 配置的证书时,请考虑以下准则:

  • 证书必须指定加密算法和密钥大小。EMQX Platform 支持 1024 位 RSA(RSA_1024)和 2048 位 RSA(RSA_2048)算法。

  • 证书必须符合 SSL/TLS X.509 第 3 版标准。它们应包含公钥、网站的完全限定域名(FQDN)或 IP 地址以及发布者信息。

  • 证书可以使用您的私钥或颁发 CA 的私钥进行自签名。如果由 CA 签名,导入证书时必须包括证书链。

  • 证书必须有效,在其有效期开始或结束之前的 30 天 内不能导入。

  • 确保证书、私钥和证书链使用 PEM 编码

  • 私钥必须无密码并支持 PKCS#1 和 PKCS#8。

  • 证书的加密算法必须与签发 CA 的加密算法匹配。例如,如果签发 CA 使用 RSA,则证书的密钥类型也应为 RSA。

这些准则确保了在您的 BYOC 部署中正确配置 TLS/SSL。


## 在 "byoc create" 命令中使用证书文件

创建 BYOC 部署时,在执行 `./byoc create` 命令之前,请确保已将证书和私钥文件复制到您的 Ubuntu 环境目录,并且可以轻松访问。在执行 `./byoc create` 命令部署您的 BYOC 环境时,参数中需提供服务器证书和私钥的 PEM 文件路径。关于如何配置参数,详见[执行部署](../create/byoc.md#执行部署)。