在 BYOC 中配置 TLS/SSL

EMQX BYOC 部署使用 TLS/SSL 加密协议，建立安全的加密通信通道，在数据传输过程中保护数据的机密性。本页概述了如何配置和使用单向 TSL/SSL 协议认证，确保 MQTT 系统的安全通信。

单向认证模式

单向认证确保服务器（EMQX MQTT 代理）在 TLS/SSL 握手期间向客户端（设备或应用程序）呈现有效的证书。客户端通过将呈现的证书与受信任的证书颁发机构（CA）进行验证，以验证服务器的真实性。

在 BYOC 部署中，目前只接受受信任的 CA 颁发的证书。

证书组件

要为您的 BYOC 部署配置 TLS/SSL，您需要准备一个PEM 文件，这个文件对于启用 MQTT 客户端与 EMQX MQTT 代理之间的安全单向认证至关重要。PEM 文件需要包含以下组件：

• 服务器证书：这是由受信任的证书颁发机构（CA）颁发的证书，使 EMQX MQTT 代理能够与客户端建立安全连接。

• 证书链：包含完整的证书链，直至受信任的根 CA 证书。这使客户端设备能够验证服务器证书的真实性。

• 私钥：与服务器证书关联的私钥是解密客户端与 EMQX MQTT 代理之间通信的关键。

证书格式和标准指南

在准备用于 TLS/SSL 配置的证书时，请考虑以下准则：

• 证书必须指定加密算法和密钥大小。EMQX Platform 支持 1024 位 RSA（RSA_1024）和 2048 位 RSA（RSA_2048）算法。

• 证书必须符合 SSL/TLS X.509 第 3 版标准。它们应包含公钥、网站的完全限定域名（FQDN）或 IP 地址以及发布者信息。

• 证书可以使用您的私钥或颁发 CA 的私钥进行自签名。如果由 CA 签名，导入证书时必须包括证书链。

• 证书必须有效，在其有效期开始或结束之前的 30 天 内不能导入。

• 确保证书、私钥和证书链使用 PEM 编码。

• 私钥必须无密码并支持 PKCS#1 和 PKCS#8。

• 证书的加密算法必须与签发 CA 的加密算法匹配。例如，如果签发 CA 使用 RSA，则证书的密钥类型也应为 RSA。

这些准则确保了在您的 BYOC 部署中正确配置 TLS/SSL。

## 在 "byoc create" 命令中使用证书文件

创建 BYOC 部署时，在执行 `./byoc create` 命令之前，请确保已将证书和私钥文件复制到您的 Ubuntu 环境目录，并且可以轻松访问。在执行 `./byoc create` 命令部署您的 BYOC 环境时，参数中需提供服务器证书和私钥的 PEM 文件路径。关于如何配置参数，详见[执行部署](../create/byoc.md#执行部署)。