在 BYOC 中配置 TLS/SSL
EMQX BYOC 部署使用 TLS/SSL 加密协议,建立安全的加密通信通道,在数据传输过程中保护数据的机密性。本页概述了如何配置和使用单向 TSL/SSL 协议认证,确保 MQTT 系统的安全通信。
单向认证模式
单向认证确保服务器(EMQX MQTT 代理)在 TLS/SSL 握手期间向客户端(设备或应用程序)呈现有效的证书。客户端通过将呈现的证书与受信任的证书颁发机构(CA)进行验证,以验证服务器的真实性。
在 BYOC 部署中,目前只接受受信任的 CA 颁发的证书。
证书组件
要为您的 BYOC 部署配置 TLS/SSL,您需要准备一个PEM 文件,这个文件对于启用 MQTT 客户端与 EMQX MQTT 代理之间的安全单向认证至关重要。PEM 文件需要包含以下组件:
服务器证书:这是由受信任的证书颁发机构(CA)颁发的证书,使 EMQX MQTT 代理能够与客户端建立安全连接。
证书链:包含完整的证书链,直至受信任的根 CA 证书。这使客户端设备能够验证服务器证书的真实性。
私钥:与服务器证书关联的私钥是解密客户端与 EMQX MQTT 代理之间通信的关键。
证书格式和标准指南
在准备用于 TLS/SSL 配置的证书时,请考虑以下准则:
证书必须指定加密算法和密钥大小。EMQX Cloud 支持 1024 位 RSA(RSA_1024)和 2048 位 RSA(RSA_2048)算法。
证书必须符合 SSL/TLS X.509 第 3 版标准。它们应包含公钥、网站的完全限定域名(FQDN)或 IP 地址以及发布者信息。
证书可以使用您的私钥或颁发 CA 的私钥进行自签名。如果由 CA 签名,导入证书时必须包括证书链。
证书必须有效,在其有效期开始或结束之前的 30 天 内不能导入。
确保证书、私钥和证书链使用 PEM 编码。
私钥必须无密码并支持 PKCS#1 和 PKCS#8。
证书的加密算法必须与签发 CA 的加密算法匹配。例如,如果签发 CA 使用 RSA,则证书的密钥类型也应为 RSA。
这些准则确保了在您的 BYOC 部署中正确配置 TLS/SSL。
创建 PEM 文件
要创建所需的 PEM 文件,请按照以下步骤操作:
- 打开文本编辑器。
- 复制服务器证书的内容并粘贴到编辑器中。
- 复制证书链的内容并将其粘贴在服务器证书下方。
- 复制私钥的内容并将其粘贴在证书链下方。
生成的 PEM 文件应具有以下结构:
-----BEGIN CERTIFICATE-----
Base64 编码的服务器证书内容
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64 编码的证书链内容
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
Base64 编码的私钥内容
-----END RSA PRIVATE KEY-----在 "byoc create" 命令中使用 PEM 文件
创建 BYOC 部署时,在执行 ./byoc create 命令之前,请确保已将 PEM 文件复制到您的 Ubuntu 环境目录,并且可以轻松访问。在执行 ./byoc create 命令部署您的 BYOC 环境时,参数中需提供包含服务器证书、证书链和私钥的 PEM 文件路径。关于如何配置参数,详见执行部署。