配置手册

listeners

类型	`Struct(listeners)`

listeners

tcp

类型	`Map($name->OneOf(Struct(mqtt_tcp_listener),String("marked_for_deletion")))`
描述	TCP 监听器。

mqtt_tcp_listener

enable
别名 enabled
类型 Boolean
默认值 true
描述
启停监听器。
bind
类型 String
默认值 1883
描述
监听套接字的 IP 地址和端口。
acceptors
类型 Integer(1..+inf)
默认值 16
描述
监听器接收池的大小。
max_connections
类型 OneOf(String("infinity"),Integer(1..+inf))
默认值 infinity
描述
监听器允许的最大并发连接数。

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，请在所有主题前面加上 mountpoint 字符串。将消息传递给订阅者时，将从主题名称中删除带前缀的字符串。挂载点是一种用户可以用来实现不同侦听器之间消息路由隔离的方法。例如，如果客户机 A 使用 `listeners.tcp.<name>.mountpoint` 设置为'some_tenant'，那么客户端实际上订阅了主题'some_tenant/t'。类似地，如果另一个客户端 B（与客户端 A 连接到同一个侦听器）向主题 't' 发送消息，该消息将路由到所有订阅了'some_租户/t'的客户端，因此客户端 A 将接收主题名为't'的消息设置为`""` 以禁用该功能 mountpoint 字符串中的变量： `${clientid}`: clientid `${username}`: username

enable_authn

类型	`Enum(true,false,quick_deny_anonymous)`
默认值	`true`
描述	配置 `true` （默认值）启用客户端进行身份认证，通过检查认配置的认认证器链来决定是否允许接入。配置 `false` 时，将不对客户端做任何认证，任何客户端，不论是不是携带用户名等认证信息，都可以接入。配置 `quick_deny_anonymous` 时，行为跟 `true` 类似，但是会对匿名客户直接拒绝，不做使用任何认证器对客户端进行身份检查。

max_conn_rate

类型	`String`
描述	最大连接速率。这用于限制该节点的连接速率。一旦达到限制，新的连接将被推迟或拒绝。例如： `1000/s`：每秒只接受1000个连接 `1000/10s`：每10秒只接受1000个连接。

messages_rate

类型	`String`
描述	消息发布速率。这用于限制该节点的入站消息数量。一旦达到限制，受限制的客户端将减速甚至暂时挂起。例如： `500/s`：每秒只发送前500条消息，其他消息被缓冲。 `500/10s`：即使是10秒，也只发送前500条消息，其他消息被缓冲。

bytes_rate

类型	`String`
描述	数据发布速率。这用于限制该节点的入站字节速率。一旦达到限制，受限制的客户端将减速甚至暂时挂起。字节的单位可以是：KB MB GB。例如： `500KB/s`：每秒只发送前500千字节，其他消息被缓冲。 `500MB/10s`：即使是10秒，也只发送前500兆字节，其他消息被缓冲。

access_rules
类型 Array(String)
默认值 ["allow all"]
描述
此监听器的访问控制规则。
proxy_protocol
类型 Boolean
默认值 false
描述
如果 EMQX 集群部署在 HAProxy 或 Nginx 之后，请启用代理协议 V1/2
详情见: https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	代理协议超时。如果在超时时间内未收到代理协议数据包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

tcp_options

类型	`Struct(tcp_opts)`

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

ssl

类型	`Map($name->OneOf(Struct(mqtt_ssl_listener),String("marked_for_deletion")))`
描述	SSL 监听器。

mqtt_ssl_listener

enable
别名 enabled
类型 Boolean
默认值 true
描述
启停监听器。
bind
类型 String
默认值 8883
描述
监听套接字的 IP 地址和端口。
acceptors
类型 Integer(1..+inf)
默认值 16
描述
监听器接收池的大小。
max_connections
类型 OneOf(String("infinity"),Integer(1..+inf))
默认值 infinity
描述
监听器允许的最大并发连接数。

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，请在所有主题前面加上 mountpoint 字符串。将消息传递给订阅者时，将从主题名称中删除带前缀的字符串。挂载点是一种用户可以用来实现不同侦听器之间消息路由隔离的方法。例如，如果客户机 A 使用 `listeners.tcp.<name>.mountpoint` 设置为'some_tenant'，那么客户端实际上订阅了主题'some_tenant/t'。类似地，如果另一个客户端 B（与客户端 A 连接到同一个侦听器）向主题 't' 发送消息，该消息将路由到所有订阅了'some_租户/t'的客户端，因此客户端 A 将接收主题名为't'的消息设置为`""` 以禁用该功能 mountpoint 字符串中的变量： `${clientid}`: clientid `${username}`: username

enable_authn

类型	`Enum(true,false,quick_deny_anonymous)`
默认值	`true`
描述	配置 `true` （默认值）启用客户端进行身份认证，通过检查认配置的认认证器链来决定是否允许接入。配置 `false` 时，将不对客户端做任何认证，任何客户端，不论是不是携带用户名等认证信息，都可以接入。配置 `quick_deny_anonymous` 时，行为跟 `true` 类似，但是会对匿名客户直接拒绝，不做使用任何认证器对客户端进行身份检查。

max_conn_rate

类型	`String`
描述	最大连接速率。这用于限制该节点的连接速率。一旦达到限制，新的连接将被推迟或拒绝。例如： `1000/s`：每秒只接受1000个连接 `1000/10s`：每10秒只接受1000个连接。

messages_rate

类型	`String`
描述	消息发布速率。这用于限制该节点的入站消息数量。一旦达到限制，受限制的客户端将减速甚至暂时挂起。例如： `500/s`：每秒只发送前500条消息，其他消息被缓冲。 `500/10s`：即使是10秒，也只发送前500条消息，其他消息被缓冲。

bytes_rate

类型	`String`
描述	数据发布速率。这用于限制该节点的入站字节速率。一旦达到限制，受限制的客户端将减速甚至暂时挂起。字节的单位可以是：KB MB GB。例如： `500KB/s`：每秒只发送前500千字节，其他消息被缓冲。 `500MB/10s`：即使是10秒，也只发送前500兆字节，其他消息被缓冲。

access_rules
类型 Array(String)
默认值 ["allow all"]
描述
此监听器的访问控制规则。
proxy_protocol
类型 Boolean
默认值 false
描述
如果 EMQX 集群部署在 HAProxy 或 Nginx 之后，请启用代理协议 V1/2
详情见: https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	代理协议超时。如果在超时时间内未收到代理协议数据包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

tcp_options

类型	`Struct(tcp_opts)`

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

ssl_options

类型	`Struct(listener_ssl_opts)`

listener_ssl_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

ws

类型	`Map($name->OneOf(Struct(mqtt_ws_listener),String("marked_for_deletion")))`
描述	HTTP websocket 监听器。

mqtt_ws_listener

enable
别名 enabled
类型 Boolean
默认值 true
描述
启停监听器。
bind
类型 String
默认值 8083
描述
监听套接字的 IP 地址和端口。
acceptors
类型 Integer(1..+inf)
默认值 16
描述
监听器接收池的大小。
max_connections
类型 OneOf(String("infinity"),Integer(1..+inf))
默认值 infinity
描述
监听器允许的最大并发连接数。

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，请在所有主题前面加上 mountpoint 字符串。将消息传递给订阅者时，将从主题名称中删除带前缀的字符串。挂载点是一种用户可以用来实现不同侦听器之间消息路由隔离的方法。例如，如果客户机 A 使用 `listeners.tcp.<name>.mountpoint` 设置为'some_tenant'，那么客户端实际上订阅了主题'some_tenant/t'。类似地，如果另一个客户端 B（与客户端 A 连接到同一个侦听器）向主题 't' 发送消息，该消息将路由到所有订阅了'some_租户/t'的客户端，因此客户端 A 将接收主题名为't'的消息设置为`""` 以禁用该功能 mountpoint 字符串中的变量： `${clientid}`: clientid `${username}`: username

enable_authn

类型	`Enum(true,false,quick_deny_anonymous)`
默认值	`true`
描述	配置 `true` （默认值）启用客户端进行身份认证，通过检查认配置的认认证器链来决定是否允许接入。配置 `false` 时，将不对客户端做任何认证，任何客户端，不论是不是携带用户名等认证信息，都可以接入。配置 `quick_deny_anonymous` 时，行为跟 `true` 类似，但是会对匿名客户直接拒绝，不做使用任何认证器对客户端进行身份检查。

max_conn_rate

类型	`String`
描述	最大连接速率。这用于限制该节点的连接速率。一旦达到限制，新的连接将被推迟或拒绝。例如： `1000/s`：每秒只接受1000个连接 `1000/10s`：每10秒只接受1000个连接。

messages_rate

类型	`String`
描述	消息发布速率。这用于限制该节点的入站消息数量。一旦达到限制，受限制的客户端将减速甚至暂时挂起。例如： `500/s`：每秒只发送前500条消息，其他消息被缓冲。 `500/10s`：即使是10秒，也只发送前500条消息，其他消息被缓冲。

bytes_rate

类型	`String`
描述	数据发布速率。这用于限制该节点的入站字节速率。一旦达到限制，受限制的客户端将减速甚至暂时挂起。字节的单位可以是：KB MB GB。例如： `500KB/s`：每秒只发送前500千字节，其他消息被缓冲。 `500MB/10s`：即使是10秒，也只发送前500兆字节，其他消息被缓冲。

access_rules
类型 Array(String)
默认值 ["allow all"]
描述
此监听器的访问控制规则。
proxy_protocol
类型 Boolean
默认值 false
描述
如果 EMQX 集群部署在 HAProxy 或 Nginx 之后，请启用代理协议 V1/2
详情见: https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	代理协议超时。如果在超时时间内未收到代理协议数据包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

tcp_options

类型	`Struct(tcp_opts)`

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

websocket

类型	`Struct(ws_opts)`

ws_opts

mqtt_path
类型 String
默认值 "/mqtt"
描述
WebSocket 的 MQTT 协议路径。因此，EMQX Broker 的 WebSocket 地址为： ws://{ip}:{port}/mqtt
mqtt_piggyback
类型 Enum(single,multiple)
默认值 multiple
描述
WebSocket 消息是否允许包含多个 MQTT 数据包。
compress
类型 Boolean
默认值 false
描述
如果 true，则使用 zlib 压缩 WebSocket 消息
deflate_opts 下的配置项属于压缩相关参数配置。

idle_timeout

类型	`Duration`
默认值	`7200s`
描述	关闭在此间隔内未发送 MQTT CONNECT 消息的客户端的传输层连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_frame_size
类型 OneOf(String("infinity"),Integer)
默认值 infinity
描述
单个 MQTT 数据包的最大长度。
fail_if_no_subprotocol
类型 Boolean
默认值 true
描述
如果true，当客户端未携带Sec WebSocket Protocol字段时，服务器将返回一个错误。
注意：微信小程序需要禁用此验证。
supported_subprotocols
类型 String
默认值 "mqtt, mqtt-v3, mqtt-v3.1.1, mqtt-v5"
描述
逗号分隔的 subprotocols 支持列表。
check_origin_enable
类型 Boolean
默认值 false
描述
如果true，originHTTP 头将根据check_origins参数中配置的允许来源列表进行验证。
allow_origin_absence
类型 Boolean
默认值 true
描述
如果设置为 false 并且 check_origin_enable 为 true，服务器将拒绝没有 origin HTTP 头的请求。
check_origins
类型 String
默认值 "http://localhost:18083, http://127.0.0.1:18083"
描述
允许的 origins 列表
proxy_address_header
类型 String
默认值 x-forwarded-for
描述
HTTP 头，用于传递有关客户端 IP 地址的信息。当 EMQX 集群部署在负载平衡器后面时，这一点非常重要。
proxy_port_header
类型 String
默认值 x-forwarded-port
描述
HTTP 头，用于传递有关客户端端口的信息。当 EMQX 集群部署在负载平衡器后面时，这一点非常重要。
deflate_opts
类型 Struct(deflate_opts)
deflate_opts
- level
  类型 Enum(none,default,best_compression,best_speed)
  描述
  压缩级别
- mem_level
  类型 Integer(1..9)
  默认值 8
  描述
  指定压缩状态的大小
  较低的值会减少每个连接的内存使用。
- strategy
  类型 Enum(default,filtered,huffman_only,rle)
  默认值 default
  描述
  指定压缩策略。
- server_context_takeover
  类型 Enum(takeover,no_takeover)
  默认值 takeover
  描述
  接管意味着在服务器消息之间保留压缩状态。
- client_context_takeover
  类型 Enum(takeover,no_takeover)
  默认值 takeover
  描述
  接管意味着在客户端消息之间保留压缩状态。
- server_max_window_bits
  类型 Integer(8..15)
  默认值 15
  描述
  指定服务器压缩上下文的大小。
- client_max_window_bits
  类型 Integer(8..15)
  默认值 15
  描述
  指定客户端压缩上下文的大小。

wss

类型	`Map($name->OneOf(Struct(mqtt_wss_listener),String("marked_for_deletion")))`
描述	HTTPS websocket 监听器。

mqtt_wss_listener

enable
别名 enabled
类型 Boolean
默认值 true
描述
启停监听器。
bind
类型 String
默认值 8084
描述
监听套接字的 IP 地址和端口。
acceptors
类型 Integer(1..+inf)
默认值 16
描述
监听器接收池的大小。
max_connections
类型 OneOf(String("infinity"),Integer(1..+inf))
默认值 infinity
描述
监听器允许的最大并发连接数。

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，请在所有主题前面加上 mountpoint 字符串。将消息传递给订阅者时，将从主题名称中删除带前缀的字符串。挂载点是一种用户可以用来实现不同侦听器之间消息路由隔离的方法。例如，如果客户机 A 使用 `listeners.tcp.<name>.mountpoint` 设置为'some_tenant'，那么客户端实际上订阅了主题'some_tenant/t'。类似地，如果另一个客户端 B（与客户端 A 连接到同一个侦听器）向主题 't' 发送消息，该消息将路由到所有订阅了'some_租户/t'的客户端，因此客户端 A 将接收主题名为't'的消息设置为`""` 以禁用该功能 mountpoint 字符串中的变量： `${clientid}`: clientid `${username}`: username

enable_authn

类型	`Enum(true,false,quick_deny_anonymous)`
默认值	`true`
描述	配置 `true` （默认值）启用客户端进行身份认证，通过检查认配置的认认证器链来决定是否允许接入。配置 `false` 时，将不对客户端做任何认证，任何客户端，不论是不是携带用户名等认证信息，都可以接入。配置 `quick_deny_anonymous` 时，行为跟 `true` 类似，但是会对匿名客户直接拒绝，不做使用任何认证器对客户端进行身份检查。

max_conn_rate

类型	`String`
描述	最大连接速率。这用于限制该节点的连接速率。一旦达到限制，新的连接将被推迟或拒绝。例如： `1000/s`：每秒只接受1000个连接 `1000/10s`：每10秒只接受1000个连接。

messages_rate

类型	`String`
描述	消息发布速率。这用于限制该节点的入站消息数量。一旦达到限制，受限制的客户端将减速甚至暂时挂起。例如： `500/s`：每秒只发送前500条消息，其他消息被缓冲。 `500/10s`：即使是10秒，也只发送前500条消息，其他消息被缓冲。

bytes_rate

类型	`String`
描述	数据发布速率。这用于限制该节点的入站字节速率。一旦达到限制，受限制的客户端将减速甚至暂时挂起。字节的单位可以是：KB MB GB。例如： `500KB/s`：每秒只发送前500千字节，其他消息被缓冲。 `500MB/10s`：即使是10秒，也只发送前500兆字节，其他消息被缓冲。

access_rules
类型 Array(String)
默认值 ["allow all"]
描述
此监听器的访问控制规则。
proxy_protocol
类型 Boolean
默认值 false
描述
如果 EMQX 集群部署在 HAProxy 或 Nginx 之后，请启用代理协议 V1/2
详情见: https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	代理协议超时。如果在超时时间内未收到代理协议数据包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

tcp_options

类型	`Struct(tcp_opts)`

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

ssl_options

类型	`Struct(listener_wss_opts)`

listener_wss_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

websocket

类型	`Struct(ws_opts)`

ws_opts

mqtt_path
类型 String
默认值 "/mqtt"
描述
WebSocket 的 MQTT 协议路径。因此，EMQX Broker 的 WebSocket 地址为： ws://{ip}:{port}/mqtt
mqtt_piggyback
类型 Enum(single,multiple)
默认值 multiple
描述
WebSocket 消息是否允许包含多个 MQTT 数据包。
compress
类型 Boolean
默认值 false
描述
如果 true，则使用 zlib 压缩 WebSocket 消息
deflate_opts 下的配置项属于压缩相关参数配置。

idle_timeout

类型	`Duration`
默认值	`7200s`
描述	关闭在此间隔内未发送 MQTT CONNECT 消息的客户端的传输层连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_frame_size
类型 OneOf(String("infinity"),Integer)
默认值 infinity
描述
单个 MQTT 数据包的最大长度。
fail_if_no_subprotocol
类型 Boolean
默认值 true
描述
如果true，当客户端未携带Sec WebSocket Protocol字段时，服务器将返回一个错误。
注意：微信小程序需要禁用此验证。
supported_subprotocols
类型 String
默认值 "mqtt, mqtt-v3, mqtt-v3.1.1, mqtt-v5"
描述
逗号分隔的 subprotocols 支持列表。
check_origin_enable
类型 Boolean
默认值 false
描述
如果true，originHTTP 头将根据check_origins参数中配置的允许来源列表进行验证。
allow_origin_absence
类型 Boolean
默认值 true
描述
如果设置为 false 并且 check_origin_enable 为 true，服务器将拒绝没有 origin HTTP 头的请求。
check_origins
类型 String
默认值 "http://localhost:18083, http://127.0.0.1:18083"
描述
允许的 origins 列表
proxy_address_header
类型 String
默认值 x-forwarded-for
描述
HTTP 头，用于传递有关客户端 IP 地址的信息。当 EMQX 集群部署在负载平衡器后面时，这一点非常重要。
proxy_port_header
类型 String
默认值 x-forwarded-port
描述
HTTP 头，用于传递有关客户端端口的信息。当 EMQX 集群部署在负载平衡器后面时，这一点非常重要。
deflate_opts
类型 Struct(deflate_opts)
deflate_opts
- level
  类型 Enum(none,default,best_compression,best_speed)
  描述
  压缩级别
- mem_level
  类型 Integer(1..9)
  默认值 8
  描述
  指定压缩状态的大小
  较低的值会减少每个连接的内存使用。
- strategy
  类型 Enum(default,filtered,huffman_only,rle)
  默认值 default
  描述
  指定压缩策略。
- server_context_takeover
  类型 Enum(takeover,no_takeover)
  默认值 takeover
  描述
  接管意味着在服务器消息之间保留压缩状态。
- client_context_takeover
  类型 Enum(takeover,no_takeover)
  默认值 takeover
  描述
  接管意味着在客户端消息之间保留压缩状态。
- server_max_window_bits
  类型 Integer(8..15)
  默认值 15
  描述
  指定服务器压缩上下文的大小。
- client_max_window_bits
  类型 Integer(8..15)
  默认值 15
  描述
  指定客户端压缩上下文的大小。

quic

类型	`Map($name->OneOf(Struct(mqtt_quic_listener),String("marked_for_deletion")))`
描述	QUIC 监听器。

mqtt_quic_listener

ciphers

类型	`Array(String)`
默认值	`[TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256, TLS_CHACHA20_POLY1305_SHA256]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式。注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3。如果打算使用 PSK 密码套件，`tlsv1.3` 应在 `ssl.versions` 中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"` 注：QUIC 监听器只支持 tlsv1.3 的 ciphers。

ssl_options

类型	`Struct(listener_quic_ssl_opts)`
描述	QUIC 传输层的 TLS 选项

listener_quic_ssl_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

enable
别名 enabled
类型 Boolean
默认值 true
描述
启停监听器。
bind
类型 String
默认值 14567
描述
监听套接字的 IP 地址和端口。
acceptors
类型 Integer(1..+inf)
默认值 16
描述
监听器接收池的大小。
max_connections
类型 OneOf(String("infinity"),Integer(1..+inf))
默认值 infinity
描述
监听器允许的最大并发连接数。

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，请在所有主题前面加上 mountpoint 字符串。将消息传递给订阅者时，将从主题名称中删除带前缀的字符串。挂载点是一种用户可以用来实现不同侦听器之间消息路由隔离的方法。例如，如果客户机 A 使用 `listeners.tcp.<name>.mountpoint` 设置为'some_tenant'，那么客户端实际上订阅了主题'some_tenant/t'。类似地，如果另一个客户端 B（与客户端 A 连接到同一个侦听器）向主题 't' 发送消息，该消息将路由到所有订阅了'some_租户/t'的客户端，因此客户端 A 将接收主题名为't'的消息设置为`""` 以禁用该功能 mountpoint 字符串中的变量： `${clientid}`: clientid `${username}`: username

enable_authn

类型	`Enum(true,false,quick_deny_anonymous)`
默认值	`true`
描述	配置 `true` （默认值）启用客户端进行身份认证，通过检查认配置的认认证器链来决定是否允许接入。配置 `false` 时，将不对客户端做任何认证，任何客户端，不论是不是携带用户名等认证信息，都可以接入。配置 `quick_deny_anonymous` 时，行为跟 `true` 类似，但是会对匿名客户直接拒绝，不做使用任何认证器对客户端进行身份检查。

max_conn_rate

类型	`String`
描述	最大连接速率。这用于限制该节点的连接速率。一旦达到限制，新的连接将被推迟或拒绝。例如： `1000/s`：每秒只接受1000个连接 `1000/10s`：每10秒只接受1000个连接。

messages_rate

类型	`String`
描述	消息发布速率。这用于限制该节点的入站消息数量。一旦达到限制，受限制的客户端将减速甚至暂时挂起。例如： `500/s`：每秒只发送前500条消息，其他消息被缓冲。 `500/10s`：即使是10秒，也只发送前500条消息，其他消息被缓冲。

bytes_rate

类型	`String`
描述	数据发布速率。这用于限制该节点的入站字节速率。一旦达到限制，受限制的客户端将减速甚至暂时挂起。字节的单位可以是：KB MB GB。例如： `500KB/s`：每秒只发送前500千字节，其他消息被缓冲。 `500MB/10s`：即使是10秒，也只发送前500兆字节，其他消息被缓冲。

mqtt

类型	`Struct(mqtt)`
描述	全局的 MQTT 配置项。 mqtt 下所有的配置作为全局的默认值存在，它可以被 `zone` 中的配置覆盖

mqtt

idle_timeout

类型	`OneOf(String("infinity"),Duration)`
默认值	`15s`
描述	设置连接被断开或进入休眠状态前的等待时间，空闲超时后，如暂未收到客户端的 CONNECT 报文，连接将断开；如已收到客户端的 CONNECT 报文，连接将进入休眠模式以节省系统资源。注意：请合理设置该参数值，如等待时间设置过长，可能造成系统资源的浪费。

max_packet_size

类型	`Bytesize`
默认值	`1MB`
描述	允许的最大 MQTT 报文大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

max_clientid_len
类型 Integer(23..65535)
默认值 65535
描述
允许的最大 MQTT Client ID 长度。
max_topic_levels
类型 Integer(1..65535)
默认值 128
描述
允许的最大主题层级。
max_topic_alias
类型 Integer(0..65535)
默认值 65535
描述
允许的最大主题别名数，0 表示不支持主题别名。
retain_available
类型 Boolean
默认值 true
描述
是否启用对 MQTT 保留消息的支持。
wildcard_subscription
类型 Boolean
默认值 true
描述
是否启用对 MQTT 通配符订阅的支持。
shared_subscription
类型 Boolean
默认值 true
描述
是否启用对 MQTT 共享订阅的支持。

shared_subscription_strategy

类型	`Enum(random,round_robin,round_robin_per_group,sticky,local,hash_topic,hash_clientid)`
默认值	`round_robin`
描述	共享订阅消息派发策略。 `random`：随机选择一个订阅者派发； `round_robin`：单个发布者的消息轮流派发给订阅者； `round_robin_per_group`：所有消息轮流派发给订阅者； `local`：随机选择当前节点上的订阅者，如果当前节点没有订阅者则在集群范围内随机选择; `sticky`：持续向初次选中的订阅者派发消息，直至其结束会话; `hash_clientid`：对发布者客户端 ID 进行 Hash 处理以选择订阅者; `hash_topic`：对发布主题进行 Hash 处理以选择订阅者。

exclusive_subscription
类型 Boolean
默认值 false
描述
是否启用对 MQTT 排它订阅的支持。
ignore_loop_deliver
类型 Boolean
默认值 false
描述
设置由 MQTT v3.1.1/v3.1.0 客户端发布的消息是否将转发给其本身；类似 MQTT 5.0 协议中的 No Local 选项。
strict_mode
类型 Boolean
默认值 false
描述
是否以严格模式解析 MQTT 消息。严格模式下，如客户端 ID、主题名称等中包含无效 utf8 字符串，连接将被断开。

response_information

类型	`String`
默认值	`""`
描述	UTF-8 字符串，用于指定返回给客户端的响应主题，如 `reqrsp/`，此时请求和应答客户端都需要使用 `reqrsp/` 前缀的主题来完成通讯。如希望禁用此功能，请在下方的文字框中输入`""`；仅适用于 MQTT 5.0 客户端。

server_keepalive

类型	`OneOf(Integer(1..+inf),String("disabled"))`
默认值	`disabled`
描述	EMQX 要求的保活时间，如设为 disabled，则将使用客户端指定的保持连接时间；仅适用于 MQTT 5.0 客户端。

keepalive_multiplier

类型	`Number`
默认值	`1.5`
描述	EMQX 判定客户端 Keep Alive 超时使用的 Keep Alive 倍数。计算公式为：Keep Alive 超时 = Keep Alive 间隔 × Keep Alive 倍数。默认值 1.5 遵循 MQTT 5.0 规范。此倍数可调整，为系统管理员提供根据特定需求进行定制的灵活性。例如，如果客户端的 10 秒保持连接间隔的 PINGREQ 因为额外的 10 秒延迟，将倍数更改为 2 可以让 EMQX 容忍此延迟。

retry_interval

类型	`Duration`
默认值	`30s`
描述	QoS 1/2 消息的重新投递间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

use_username_as_clientid
类型 Boolean
默认值 false
描述
是否使用用户名作为客户端 ID。此设置的作用时间晚于 对端证书作为用户名 和 对端证书作为客户端 ID。

peer_cert_as_username

类型	`Enum(disabled,cn,dn,crt,pem,md5)`
默认值	`disabled`
描述	使用对端证书中的 CN、DN 字段或整个证书内容来作为用户名；仅适用于 TLS 连接。目前支持： `cn`: 取证书的 CN 字段 `dn`: 取证书的 DN 字段 `crt`: 取 `DER` 或 `PEM` 的证书内容 `pem`: 将 `DER` 证书转换为 `PEM` 格式作为用户名 `md5`: 取 `DER` 或 `PEM` 证书内容的 MD5 值

peer_cert_as_clientid

类型	`Enum(disabled,cn,dn,crt,pem,md5)`
默认值	`disabled`
描述	使用对端证书中的 CN、DN 字段或整个证书内容来作为客户端 ID。仅适用于 TLS 连接；目前支持： `cn`: 取证书的 CN 字段 `dn`: 取证书的 DN 字段 `crt`: 取 `DER` 或 `PEM` 证书的内容 `pem`: 将 `DER` 证书内容转换为 `PEM` 格式作为客户端 ID `md5`: 取 `DER` 或 `PEM` 证书内容的 MD5 值

session_expiry_interval

类型	`Duration`
默认值	`2h`
描述	指定会话将在连接断开后多久过期，仅适用于非 MQTT 5.0 的连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_awaiting_rel

类型	`OneOf(Integer(0..+inf),String("infinity"))`
默认值	`100`
描述	每个发布者的会话中，都存在一个队列来处理客户端发送的 QoS 2 消息。该队列会存储 QoS 2 消息的报文 ID 直到收到客户端的 PUBREL 或超时，达到队列长度的限制后，新的 QoS 2 消息发布会被拒绝，并返回 `147(0x93)` 错误。

max_qos_allowed
类型 Integer(0..2)
默认值 2
描述
允许的最大 QoS 等级。

mqueue_priorities

类型	`OneOf(String("disabled"),Map)`
默认值	`disabled`
描述	主题优先级。取值范围 [1-255] 默认优先级表为空，即所有的主题优先级相同。注：优先主题名称中不支持使用逗号和等号。注：不在此列表中的主题，被视为最高/最低优先级，这取决于`mqtt.mqueue_default_priority` 的配置。示例：配置 `"topic/1" > "topic/2"`: `mqueue_priorities: {"topic/1": 10, "topic/2": 8}`

mqueue_default_priority
类型 Enum(highest,lowest)
默认值 lowest
描述
默认的主题优先级，不在 主题优先级（mqueue_priorities）中的主题将会使用该优先级。
mqueue_store_qos0
类型 Boolean
默认值 true
描述
指定在连接断开但会话保持期间，是否需要在消息队列中存储 QoS 0 消息。
max_mqueue_len
类型 OneOf(Integer(0..+inf),String("infinity"))
默认值 1000
描述
消息队列最大长度。持久客户端断开连接或飞行窗口已满时排队的消息长度。
max_inflight
类型 Integer(1..65535)
默认值 32
描述
允许在完成应答前同时投递的 QoS 1 和 QoS 2 消息的最大数量。
max_subscriptions
类型 OneOf(Integer(1..inf),String("infinity"))
默认值 infinity
描述
允许每个客户端建立的最大订阅数量。
upgrade_qos
类型 Boolean
默认值 false
描述
投递消息时，是否根据订阅主题时的 QoS 等级来强制提升派发的消息的 QoS 等级。

await_rel_timeout

类型	`Duration`
默认值	`300s`
描述	客户端发布 QoS 2 消息时，服务器等待 `PUBREL` 的最长时延。超过该时长后服务器会放弃等待，该 PACKET ID 会被释放，从而允许后续新的 PUBLISH 消息使用。如果超时后收到 PUBREL，服务器将会产生一条告警日志。注意，向订阅客户端转发消息的动作发生在进入等待之前。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

authentication

类型	`Array(OneOf(Struct(builtin_db),Struct(mysql),Struct(postgresql),Struct(mongo_single),Struct(mongo_rs),Struct(mongo_sharded),Struct(redis_single),Struct(redis_cluster),Struct(redis_sentinel),Struct(http_get),Struct(http_post),Struct(jwt_hmac),Struct(jwt_public_key),Struct(jwt_jwks),Struct(scram),Struct(ldap),Struct(ldap_deprecated)))`
默认值	`[]`
描述	默认的 MQTT 监听器的全局认证配置。有关每个监听器的单独配置，请参阅监听器配置中的`authentication`。此选项可配置为： `[]`: 默认值，允许所有登录 one: 例如 `{enable:true,backend:"built_in_database",mechanism="password_based"}` chain: 结构体数组。当配置了一个认证链时，登录凭据将按照配置的顺序检查后端，直到可以做出'允许'或'拒绝'的决定。如果在完全遍历认证链之后没有决定，登录将被拒绝。

builtin_db

password_hash_algorithm
类型 OneOf(Struct(bcrypt_rw),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash creation and verification.
bcrypt_rw
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
- salt_rounds
  类型 Integer(5..10)
  默认值 10
  描述
  Work factor for BCRYPT password generation.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("built_in_database")
描述
后端类型。
user_id_type
类型 Enum(clientid,username)
默认值 username
描述
指定用于客户端身份 ID 认证的字段。
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

mysql

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("mysql")
描述
后端类型。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
query
类型 String
描述
用于查询密码散列等用于认证的数据的 SQL 语句。

query_timeout

类型	`Duration`
默认值	`5s`
描述	SQL 查询的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The MySQL default port 3306 is used if [:Port] is not specified.
database
类型 String
描述
数据库名字。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
默认值 root
描述
内部数据库的用户名。

password

类型 Secret

描述

内部数据库密码。
A string holding some sensitive information, such as a password. When secret starts with file://, the rest of the string is interpreted as a path to a file containing the secret itself: whole content of the file except any trailing whitespace characters is considered a secret value. Note: when clustered, all EMQX nodes should have the same file present before using file:// secrets.

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

指定要在 TLS 服务器名称指示扩展中使用的主机名。
例如，当连接到 "server.example.net" 时，接受连接并执行 TLS 握手的真正服务器可能与 TLS 客户端最初连接到的主机不同，例如，当连接到 IP 地址时，或者当主机具有多个可解析的 DNS 记录时
如果未指定，它将默认为使用的主机名字符串建立连接，除非使用 IP 地址
然后，主机名也用于对等机的主机名验证证书
特殊值 disable 阻止发送服务器名称指示扩展，并禁用主机名验证检查。

postgresql

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("postgresql")
描述
后端类型。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
query
类型 String
描述
用于查询密码散列等用于认证的数据的 SQL 语句。
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
server
类型 String
描述
要连接的 IPv4 或 IPv6 地址或主机名。
一个主机条目的格式为：Host[:Port]。
如果没有指定 [:Port]，将使用 PostgreSQL 默认端口 5432。
database
类型 String
描述
数据库名字。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mongo_single

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("mongodb")
描述
后端类型。
collection
类型 String
描述
存储认证数据的集合。

filter

类型	`Map`
默认值	`{}`
描述	在查询中定义过滤条件的条件表达式。过滤器支持如下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID

password_hash_field
类型 String
默认值 password_hash
描述
存储密码散列值字段。
salt_field
类型 String
默认值 salt
描述
用于存储盐值的字段。
is_superuser_field
类型 String
默认值 is_superuser
描述
定义用户是否具有超级用户权限的字段。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
mongo_type
类型 String("single")
默认值 single
描述
Standalone instance. Must be set to 'single' when MongoDB server is running in standalone mode.
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The MongoDB default port 27017 is used if [:Port] is not specified.
w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

Period of time before workers that exceed the configured pool size ("overflow") to be terminated.
A string that represents a time duration, for example: 10s, 2.5m, 1h30m, 1W2D, or 2345ms, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing 1200ms for Duration(s) is equivalent to writing 1s. The unit part is case-insensitive.

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mongo_rs

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("mongodb")
描述
后端类型。
collection
类型 String
描述
存储认证数据的集合。

filter

类型	`Map`
默认值	`{}`
描述	在查询中定义过滤条件的条件表达式。过滤器支持如下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID

password_hash_field
类型 String
默认值 password_hash
描述
存储密码散列值字段。
salt_field
类型 String
默认值 salt
描述
用于存储盐值的字段。
is_superuser_field
类型 String
默认值 is_superuser
描述
定义用户是否具有超级用户权限的字段。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
mongo_type
类型 String("rs")
默认值 rs
描述
Replica set. Must be set to 'rs' when MongoDB server is running in 'replica set' mode.

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The MongoDB default port 27017 is used if `[:Port]` is not specified.

w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
r_mode
类型 Enum(master,slave_ok)
默认值 master
描述
Read mode.
replica_set_name
类型 String
描述
Name of the replica set.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mongo_sharded

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("mongodb")
描述
后端类型。
collection
类型 String
描述
存储认证数据的集合。

filter

类型	`Map`
默认值	`{}`
描述	在查询中定义过滤条件的条件表达式。过滤器支持如下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID

password_hash_field
类型 String
默认值 password_hash
描述
存储密码散列值字段。
salt_field
类型 String
默认值 salt
描述
用于存储盐值的字段。
is_superuser_field
类型 String
默认值 is_superuser
描述
定义用户是否具有超级用户权限的字段。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
mongo_type
类型 String("sharded")
默认值 sharded
描述
Sharded cluster. Must be set to 'sharded' when MongoDB server is running in 'sharded' mode.

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The MongoDB default port 27017 is used if `[:Port]` is not specified.

w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

redis_single

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("redis")
描述
后端类型。
cmd
类型 String
描述
用于查询密码散列等用于认证的数据的 Redis 命令，目前仅支持 HGET 与 HMGET。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The Redis default port 6379 is used if [:Port] is not specified.
redis_type
类型 String("single")
默认值 single
描述
Single mode. Must be set to 'single' when Redis server is running in single mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

database
类型 Integer(0..+inf)
默认值 0
描述
Redis database ID.
auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

redis_cluster

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("redis")
描述
后端类型。
cmd
类型 String
描述
用于查询密码散列等用于认证的数据的 Redis 命令，目前仅支持 HGET 与 HMGET。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The Redis default port 6379 is used if `[:Port]` is not specified.

redis_type
类型 String("cluster")
默认值 cluster
描述
Cluster mode. Must be set to 'cluster' when Redis server is running in clustered mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

redis_sentinel

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("redis")
描述
后端类型。
cmd
类型 String
描述
用于查询密码散列等用于认证的数据的 Redis 命令，目前仅支持 HGET 与 HMGET。
password_hash_algorithm
类型 OneOf(Struct(bcrypt),Struct(pbkdf2),Struct(simple))
默认值 {name = sha256, salt_position = prefix}
描述
Options for password hash verification.
bcrypt
- name
  类型 String("bcrypt")
  描述
  BCRYPT password hashing.
pbkdf2
- name
  类型 String("pbkdf2")
  描述
  PBKDF2 password hashing.
- mac_fun
  类型 Enum(md4,md5,ripemd160,sha,sha224,sha256,sha384,sha512)
  描述
  Specifies mac_fun for PBKDF2 hashing algorithm.
- iterations
  类型 Integer(1..+inf)
  描述
  Iteration count for PBKDF2 hashing algorithm.
- dk_length
  类型 Integer
  描述
  Derived length for PBKDF2 hashing algorithm. If not specified, calculated automatically based on mac_fun.
simple
- name
  类型 Enum(plain,md5,sha,sha256,sha512)
  描述
  Simple password hashing algorithm.
- salt_position
  类型 Enum(disable,prefix,suffix)
  默认值 prefix
  描述
  Salt position for PLAIN, MD5, SHA, SHA256 and SHA512 algorithms.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The Redis default port 6379 is used if `[:Port]` is not specified.

redis_type
类型 String("sentinel")
默认值 sentinel
描述
Sentinel mode. Must be set to 'sentinel' when Redis server is running in sentinel mode.
sentinel
类型 String
描述
The cluster name in Redis sentinel mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

database
类型 Integer(0..+inf)
默认值 0
描述
Redis database ID.
auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

http_get

method
类型 String("get")
描述
HTTP 请求方法。
headers
类型 Map
默认值 { accept = "application/json" cache-control = no-cache connection = keep-alive keep-alive = "timeout=30, max=1000" }
描述
HTTP Headers 列表 (无 content-type) 。
mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("http")
描述
后端类型。
url
类型 String
描述
认证 HTTP 服务器地址。
body
类型 Map
描述
HTTP 请求体。

request_timeout

类型	`Duration`
默认值	`5s`
描述	HTTP 请求超时时长。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

request

类型	`Struct(request)`
描述	Configure HTTP request parameters.

request

method
类型 String
描述
HTTP method.
path
类型 String
描述
URL path.
body
类型 String
描述
HTTP request body.
headers
类型 Map
描述
List of HTTP headers.
max_retries
类型 Integer(0..+inf)
描述
Max retry times if error on sending request.

request_timeout

类型	`Duration`
描述	HTTP request timeout. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.
max_retries
类型 Integer(0..+inf)
描述
Deprecated since 5.0.4.

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

http_post

method
类型 String("post")
描述
HTTP 请求方法。

headers

类型	`Map`
默认值	`{ accept = "application/json" cache-control = no-cache connection = keep-alive content-type = "application/json" keep-alive = "timeout=30, max=1000" }`
描述	HTTP Headers 列表

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("http")
描述
后端类型。
url
类型 String
描述
认证 HTTP 服务器地址。
body
类型 Map
描述
HTTP 请求体。

request_timeout

类型	`Duration`
默认值	`5s`
描述	HTTP 请求超时时长。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

request

类型	`Struct(request)`
描述	Configure HTTP request parameters.

request

method
类型 String
描述
HTTP method.
path
类型 String
描述
URL path.
body
类型 String
描述
HTTP request body.
headers
类型 Map
描述
List of HTTP headers.
max_retries
类型 Integer(0..+inf)
描述
Max retry times if error on sending request.

request_timeout

类型	`Duration`
描述	HTTP request timeout. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.
max_retries
类型 Integer(0..+inf)
描述
Deprecated since 5.0.4.

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

jwt_hmac

algorithm
类型 Enum(hmac-based)
描述
JWT 签名算法，支持 HMAC (配置为 hmac-based）和 RSA、ECDSA (配置为 public-key)。
secret
类型 String
描述
使用 HMAC 算法时用于验证 JWT 的密钥
secret_base64_encoded
类型 Boolean
默认值 false
描述
密钥是否为 base64 编码。
mechanism
类型 String("jwt")
描述
认证方式。
acl_claim_name
类型 String
默认值 acl
描述
用于获取 ACL 规则的 JWT 声明名称。

verify_claims

类型	`Map`
默认值	`[]`
描述	需要验证的自定义声明列表，是一个由名称/值对组成的列表。指定一个键(Key)来查找 JWT 中对应的声明(Claim)，并提供一个预期值(Expected Value)来与声明的实际值进行比较，以确保只有满足特定条件的 JWT 才能被接受和使用。例如要求 JWT 中的特定声明(如 clientid)的值必须与当前连接的客户端 ID 相匹配。预期值可以使用以下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID 身份认证将确认 JWT 中的声明值（从密码字段中获取）与 `verify_claims` 中要求的内容是否匹配。

from
类型 Enum(username,password)
默认值 password
描述
指定客户端连接请求中 JWT 的位置。
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

jwt_public_key

algorithm
类型 Enum(public-key)
描述
JWT 签名算法，支持 HMAC (配置为 hmac-based）和 RSA、ECDSA (配置为 public-key)。
public_key
类型 String
描述
用于验证 JWT 的公钥。
mechanism
类型 String("jwt")
描述
认证方式。
acl_claim_name
类型 String
默认值 acl
描述
用于获取 ACL 规则的 JWT 声明名称。

verify_claims

类型	`Map`
默认值	`[]`
描述	需要验证的自定义声明列表，是一个由名称/值对组成的列表。指定一个键(Key)来查找 JWT 中对应的声明(Claim)，并提供一个预期值(Expected Value)来与声明的实际值进行比较，以确保只有满足特定条件的 JWT 才能被接受和使用。例如要求 JWT 中的特定声明(如 clientid)的值必须与当前连接的客户端 ID 相匹配。预期值可以使用以下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID 身份认证将确认 JWT 中的声明值（从密码字段中获取）与 `verify_claims` 中要求的内容是否匹配。

from
类型 Enum(username,password)
默认值 password
描述
指定客户端连接请求中 JWT 的位置。
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

jwt_jwks

use_jwks
类型 Enum(true)
描述
是否使用 JWKS。
endpoint
类型 String
描述
JWKS 端点，它是一个以 JWKS 格式返回服务端的公钥集的只读端点。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
refresh_interval
类型 Integer
默认值 300
描述
JWKS 刷新间隔。

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	SSL 选项。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mechanism
类型 String("jwt")
描述
认证方式。
acl_claim_name
类型 String
默认值 acl
描述
用于获取 ACL 规则的 JWT 声明名称。

verify_claims

类型	`Map`
默认值	`[]`
描述	需要验证的自定义声明列表，是一个由名称/值对组成的列表。指定一个键(Key)来查找 JWT 中对应的声明(Claim)，并提供一个预期值(Expected Value)来与声明的实际值进行比较，以确保只有满足特定条件的 JWT 才能被接受和使用。例如要求 JWT 中的特定声明(如 clientid)的值必须与当前连接的客户端 ID 相匹配。预期值可以使用以下占位符： `${username}`: 将在运行时被替换为客户端连接时使用的用户名 `${clientid}`: 将在运行时被替换为客户端连接时使用的客户端 ID 身份认证将确认 JWT 中的声明值（从密码字段中获取）与 `verify_claims` 中要求的内容是否匹配。

from
类型 Enum(username,password)
默认值 password
描述
指定客户端连接请求中 JWT 的位置。
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

scram

mechanism
类型 String("scram")
描述
认证方式。
backend
类型 String("built_in_database")
描述
后端类型。
algorithm
类型 Enum(sha256,sha512)
默认值 sha256
描述
Hashing algorithm.
iteration_count
类型 Integer(0..+inf)
默认值 4096
描述
Iteration count.
enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。

ldap

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("ldap")
描述
后端类型。

query_timeout

类型	`Duration`
默认值	`5s`
描述	LDAP 查询的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
server
类型 String
描述
要连接的 IPv4 或 IPv6 地址或主机名。
主机名条目的格式为：主机[:端口]。
如果 [:端口] 未指定，将使用 LDAP 默认端口 389。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

base_dn
类型 String
描述
与基本对象条目（或根）相关的名称。搜索用户的起点。

filter

类型	`String`
默认值	`"(objectClass=mqttUser)"`
描述	定义哪些条件必须被依次满足的过滤器用于搜索匹配一条给定的条目. 筛选器的语法遵循 RFC 4515，并且还支持占位符。

request_timeout

类型	`Duration`
默认值	`10s`
描述	设置每个单独请求所使用的最大时间（以毫秒为单位）。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

method
类型 OneOf(Struct(hash_method),Struct(bind_method))
描述
Authentication method.
hash_method
- type
  类型 Enum(hash)
  默认值 hash
  描述
  Authentication method type.
- password_attribute
  类型 String
  默认值 userPassword
  描述
  指示哪个属性用于表示用户密码。
- is_superuser_attribute
  类型 String
  默认值 isSuperuser
  描述
  指示哪个属性用于表示用户是否为超级用户。
bind_method
- type
  类型 Enum(bind)
  默认值 bind
  描述
  Authentication method type.
- bind_password
  类型 String
  默认值 "${password}"
  描述
  绑定密码的模版

ldap_deprecated

mechanism
类型 String("password_based")
描述
认证方式。
backend
类型 String("ldap")
描述
后端类型。

query_timeout

类型	`Duration`
默认值	`5s`
描述	LDAP 查询的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
设为 true 或 false 以禁用此认证数据源。
server
类型 String
描述
要连接的 IPv4 或 IPv6 地址或主机名。
主机名条目的格式为：主机[:端口]。
如果 [:端口] 未指定，将使用 LDAP 默认端口 389。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

base_dn
类型 String
描述
与基本对象条目（或根）相关的名称。搜索用户的起点。

filter

类型	`String`
默认值	`"(objectClass=mqttUser)"`
描述	定义哪些条件必须被依次满足的过滤器用于搜索匹配一条给定的条目. 筛选器的语法遵循 RFC 4515，并且还支持占位符。

request_timeout

类型	`Duration`
默认值	`10s`
描述	设置每个单独请求所使用的最大时间（以毫秒为单位）。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

password_attribute
类型 String
默认值 userPassword
描述
指示哪个属性用于表示用户密码。
is_superuser_attribute
类型 String
默认值 isSuperuser
描述
指示哪个属性用于表示用户是否为超级用户。

authorization

类型	`Struct(authorization)`
描述	授权（ACL）。EMQX 支持完整的客户端访问控制（ACL）。

authorization

no_match

类型	`Enum(allow,deny)`
默认值	`allow`
描述	如果用户或客户端不匹配 ACL 规则，或者从可配置授权源(比如内置数据库、HTTP API 或 PostgreSQL 等。)内未找到此类用户或客户端时，模式的认访问控制操作。在“授权”中查找更多详细信息。

deny_action
类型 Enum(ignore,disconnect)
默认值 ignore
描述
授权检查拒绝操作时的操作。

cache

类型	`Struct(authz_cache)`

authz_cache

enable
类型 Boolean
默认值 true
描述
启用或禁用授权缓存。
max_size
类型 Integer(1..1048576)
默认值 32
描述
缓存项的最大数量。

ttl

类型	`Duration`
默认值	`1m`
描述	缓存数据的生存时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

sources

类型	`Array(OneOf(Struct(file),Struct(builtin_db),Struct(http_get),Struct(http_post),Struct(redis_single),Struct(redis_sentinel),Struct(redis_cluster),Struct(mysql),Struct(postgresql),Struct(mongo_single),Struct(mongo_rs),Struct(mongo_sharded),Struct(ldap)))`
默认值	`[ { enable = true path = "${EMQX_ETC_DIR}/acl.conf" type = file } ]`
描述	授权（ACL）数据提供者的数组。它被设计为一个数组，而不是哈希映射，因此可以将源按顺序排列形成访问控制链。在授权 '发布' 或 '订阅' 操作时，配置的源会按顺序检查。在检查 ACL 源时，如果未找到客户端（通过用户名或客户端 ID 标识），则继续检查下一个源。一旦返回 '允许' 或 '拒绝' 决定，立即停止检查。如果在任何源中都未找到客户端，则应用 'authorization.no_match' 中配置的默认操作。注意：源元素由它们的 '类型' 标识。不允许配置两个或更多相同类型的源。

file

type
类型 String("file")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者

path

类型	`String`
描述	包含 ACL 规则的文件路径。如果该文件在启动 EMQX 节点之前已经配置好，只要 EMQX 有读取权限，它可以放置在任何位置。即，EMQX 将把它视为只读。如果规则集是从 EMQX Dashboard 或 HTTP API 创建或更新的，将创建一个新文件并放置在 EMQX 的 data_dir 中的 authz 子目录下，旧文件将不再使用。

builtin_db

type
类型 String("built_in_database")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者

http_get

type
类型 String("http")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
url
类型 String
描述
认证服务器地址
request_timeout
类型 String
默认值 30s
描述
HTTP 请求超时。
body
类型 Map($name->String)
描述
HTTP 请求体

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_retries
类型 Integer(0..+inf)
描述
Deprecated since 5.0.4.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

request

类型	`Struct(request)`
描述	Configure HTTP request parameters.

request

method
类型 String
描述
HTTP method.
path
类型 String
描述
URL path.
body
类型 String
描述
HTTP request body.
headers
类型 Map
描述
List of HTTP headers.
max_retries
类型 Integer(0..+inf)
描述
Max retry times if error on sending request.

request_timeout

类型	`Duration`
描述	HTTP request timeout. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

method
类型 String("get")
描述
HTTP 请求方法
headers
类型 Map
默认值 { accept = "application/json" cache-control = no-cache connection = keep-alive keep-alive = "timeout=30, max=1000" }
描述
HTTP Headers 列表 (无 content-type) 。

http_post

type
类型 String("http")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
url
类型 String
描述
认证服务器地址
request_timeout
类型 String
默认值 30s
描述
HTTP 请求超时。
body
类型 Map($name->String)
描述
HTTP 请求体

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_retries
类型 Integer(0..+inf)
描述
Deprecated since 5.0.4.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

request

类型	`Struct(request)`
描述	Configure HTTP request parameters.

request

method
类型 String
描述
HTTP method.
path
类型 String
描述
URL path.
body
类型 String
描述
HTTP request body.
headers
类型 Map
描述
List of HTTP headers.
max_retries
类型 Integer(0..+inf)
描述
Max retry times if error on sending request.

request_timeout

类型	`Duration`
描述	HTTP request timeout. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

method
类型 String("post")
描述
HTTP 请求方法

headers

类型	`Map`
默认值	`{ accept = "application/json" cache-control = no-cache connection = keep-alive content-type = "application/json" keep-alive = "timeout=30, max=1000" }`
描述	HTTP Headers 列表

redis_single

type
类型 String("redis")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The Redis default port 6379 is used if [:Port] is not specified.
redis_type
类型 String("single")
默认值 single
描述
Single mode. Must be set to 'single' when Redis server is running in single mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

database
类型 Integer(0..+inf)
默认值 0
描述
Redis database ID.
auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

cmd
类型 String
描述
用于检索授权数据的数据库查询。

redis_sentinel

type
类型 String("redis")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The Redis default port 6379 is used if `[:Port]` is not specified.

redis_type
类型 String("sentinel")
默认值 sentinel
描述
Sentinel mode. Must be set to 'sentinel' when Redis server is running in sentinel mode.
sentinel
类型 String
描述
The cluster name in Redis sentinel mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

database
类型 Integer(0..+inf)
默认值 0
描述
Redis database ID.
auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

cmd
类型 String
描述
用于检索授权数据的数据库查询。

redis_cluster

type
类型 String("redis")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The Redis default port 6379 is used if `[:Port]` is not specified.

redis_type
类型 String("cluster")
默认值 cluster
描述
Cluster mode. Must be set to 'cluster' when Redis server is running in clustered mode.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

cmd
类型 String
描述
用于检索授权数据的数据库查询。

mysql

type
类型 String("mysql")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The MySQL default port 3306 is used if [:Port] is not specified.
database
类型 String
描述
数据库名字。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
默认值 root
描述
内部数据库的用户名。

password

类型 Secret

描述

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

prepare_statement
类型 Map
描述
SQL 预处理语句列表。
query
类型 String
描述
用于检索授权数据的数据库查询。

postgresql

type
类型 String("postgresql")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
server
类型 String
描述
要连接的 IPv4 或 IPv6 地址或主机名。
一个主机条目的格式为：Host[:Port]。
如果没有指定 [:Port]，将使用 PostgreSQL 默认端口 5432。
database
类型 String
描述
数据库名字。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

auto_reconnect
类型 Boolean
描述
Deprecated since v5.0.15.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

prepare_statement
类型 Map
描述
SQL 预处理语句列表。
query
类型 String
描述
用于检索授权数据的数据库查询。

mongo_single

type
类型 String("mongodb")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
collection
类型 String
描述
包含授权数据的 MongoDB 集合。

filter

类型	`Map`
默认值	`{}`
描述	定义查询中过滤条件的条件表达式。过滤器支持以下占位符 `${username}`：在连接时将用客户端使用的 `用户名` 替换 `${clientid}`：在连接时将用客户端使用的 `客户端 ID` 替换

mongo_type
类型 String("single")
默认值 single
描述
Standalone instance. Must be set to 'single' when MongoDB server is running in standalone mode.
server
类型 String
描述
The IPv4 or IPv6 address or the hostname to connect to.
A host entry has the following form: Host[:Port].
The MongoDB default port 27017 is used if [:Port] is not specified.
w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mongo_rs

type
类型 String("mongodb")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
collection
类型 String
描述
包含授权数据的 MongoDB 集合。

filter

类型	`Map`
默认值	`{}`
描述	定义查询中过滤条件的条件表达式。过滤器支持以下占位符 `${username}`：在连接时将用客户端使用的 `用户名` 替换 `${clientid}`：在连接时将用客户端使用的 `客户端 ID` 替换

mongo_type
类型 String("rs")
默认值 rs
描述
Replica set. Must be set to 'rs' when MongoDB server is running in 'replica set' mode.

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The MongoDB default port 27017 is used if `[:Port]` is not specified.

w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
r_mode
类型 Enum(master,slave_ok)
默认值 master
描述
Read mode.
replica_set_name
类型 String
描述
Name of the replica set.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mongo_sharded

type
类型 String("mongodb")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
collection
类型 String
描述
包含授权数据的 MongoDB 集合。

filter

类型	`Map`
默认值	`{}`
描述	定义查询中过滤条件的条件表达式。过滤器支持以下占位符 `${username}`：在连接时将用客户端使用的 `用户名` 替换 `${clientid}`：在连接时将用客户端使用的 `客户端 ID` 替换

mongo_type
类型 String("sharded")
默认值 sharded
描述
Sharded cluster. Must be set to 'sharded' when MongoDB server is running in 'sharded' mode.

servers

类型	`String`
描述	A Node list for Cluster to connect to. The nodes should be separated with commas, such as: `Node[,Node].` For each Node should be: The IPv4 or IPv6 address or the hostname to connect to. A host entry has the following form: `Host[:Port]`. The MongoDB default port 27017 is used if `[:Port]` is not specified.

w_mode
类型 Enum(unsafe,safe)
默认值 unsafe
描述
Write mode.
srv_record
类型 Boolean
默认值 false
描述
Use DNS SRV record.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

use_legacy_protocol
类型 Enum(auto,true,false)
默认值 auto
描述
是否使用 MongoDB 的传统协议与数据库通信。默认情况下，将尝试自动确定是否支持较新的协议。
auth_source
类型 String
描述
Database name associated with the user's credentials.
database
类型 String
描述
数据库名字。

topology

类型	`Struct(topology)`

topology

max_overflow

类型	`Integer(0..+inf)`
默认值	`0`
描述	The maximum number of additional workers that can be created when all workers in the pool are busy. This helps to manage temporary spikes in workload by allowing more concurrent connections to the MongoDB server.

overflow_ttl

类型 Duration

描述

overflow_check_period

类型	`Duration`
描述	Period for checking if there are more workers than configured ("overflow"). A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

local_threshold_ms

类型	`Duration`
描述	The size of the latency window for selecting among multiple suitable MongoDB instances. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connect_timeout_ms

类型	`Duration`
描述	The duration to attempt a connection before timing out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_timeout_ms

类型	`Duration`
描述	The duration to attempt to send or to receive on a socket before the attempt times out. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server_selection_timeout_ms

类型	`Duration`
描述	Specifies how long to block for server selection before throwing an exception. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

wait_queue_timeout_ms

类型	`Duration`
描述	The maximum duration that a worker can wait for a connection to become available. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

heartbeat_frequency_ms

类型	`Duration`
默认值	`200s`
描述	Controls when the driver checks the state of the MongoDB deployment. Specify the interval between checks, counted from the end of the previous check until the beginning of the next one. If the number of connections is increased (which will happen, for example, if you increase the pool size), you may need to increase this period as well to avoid creating too many log entries in the MongoDB log file. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

min_heartbeat_frequency_ms

类型	`Duration`
描述	Controls the minimum amount of time to wait between heartbeats. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

ldap

type
类型 String("ldap")
描述
数据后端类型
enable
类型 Boolean
默认值 true
描述
设置为 true 或 false 来禁用此 ACL 提供者
publish_attribute
类型 String
默认值 mqttPublishTopic
描述
表示使用哪个属性来表示允许发布的主题列表。
subscribe_attribute
类型 String
默认值 mqttSubscriptionTopic
描述
表示使用哪个属性来表示允许订阅的主题列表。
all_attribute
类型 String
默认值 mqttPubSubTopic
描述
表示使用哪个属性来表示允许发布和订阅的主题列表。

query_timeout

类型	`Duration`
默认值	`5s`
描述	LDAP 查询超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

server
类型 String
描述
要连接的 IPv4 或 IPv6 地址或主机名。
主机名条目的格式为：主机[:端口]。
如果 [:端口] 未指定，将使用 LDAP 默认端口 389。
pool_size
类型 Integer(1..+inf)
默认值 8
描述
桥接远端服务时使用的连接池大小。
username
类型 String
描述
内部数据库的用户名。

password

类型 Secret

描述

base_dn
类型 String
描述
与基本对象条目（或根）相关的名称。搜索用户的起点。

filter

类型	`String`
默认值	`"(objectClass=mqttUser)"`
描述	定义哪些条件必须被依次满足的过滤器用于搜索匹配一条给定的条目. 筛选器的语法遵循 RFC 4515，并且还支持占位符。

request_timeout

类型	`Duration`
默认值	`10s`
描述	设置每个单独请求所使用的最大时间（以毫秒为单位）。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl

类型	`Struct(ssl)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

node

类型	`Struct(node)`

node

name
类型 String
默认值 "emqx@127.0.0.1"
描述
节点名。格式为 <name>@<host>。其中可以是 IP 地址，也可以是 FQDN。详见 http://erlang.org/doc/reference_manual/distributed.html。
cookie
类型 String
描述
分布式 Erlang 集群使用的 cookie 值。集群间保持一致

max_ports

类型	`Integer(1024..134217727)`
默认值	`1048576`
描述	Erlang 系统同时存在的最大端口数。实际选择的最大值可能比设置的数字大得多。参考: https://www.erlang.org/doc/man/erl.html

dist_buffer_size
类型 Integer(1..2097151)
默认值 8192
描述
Erlang 分布式缓冲区的繁忙阈值，单位是 KB。

data_dir

类型 String

描述

节点数据存放目录，可能会自动创建的子目录如下：

mnesia/<node_name>。EMQX 的内置数据库目录。例如，mnesia/emqx@127.0.0.1。
如果节点要被重新命名（例如，emqx@10.0.1.1）。旧目录应该首先被删除。
configs。在启动时生成的配置，以及集群/本地覆盖的配置。
patches: 热补丁文件将被放在这里。
trace: 日志跟踪文件。

注意: 一个数据 dir 不能被两个或更多的 EMQX 节点同时使用。

global_gc_interval
类型 OneOf(String("disabled"),Duration)
默认值 15m
描述
系统调优参数，设置节点运行多久强制进行一次全局垃圾回收。禁用设置为 disabled。

role

别名	db_role
类型	`Enum(core,replicant)`
默认值	`core`
描述	选择节点的角色。 `core` 节点提供数据的持久性，并负责写入。建议将核心节点放置在不同的机架或不同的可用区。 `repliant` 节点是临时工作节点。从集群中删除它们，不影响数据库冗余建议复制节点多于核心节点。注意：该参数仅在设置`backend`时生效到 `rlog`。

cluster

类型	`Struct(cluster)`

cluster

name
类型 String
默认值 emqxcl
描述
EMQX 集群名称。每个集群都有一个唯一的名称。服务发现时会用于做路径的一部分。

discovery_strategy

类型	`Enum(manual,static,dns,etcd,k8s)`
默认值	`manual`
描述	集群节点发现方式。可选值为: manual: 使用 `emqx ctl cluster` 命令管理集群。 static: 配置静态节点。配置几个固定的节点，新节点通过连接固定节点中的某一个来加入集群。 dns: 使用 DNS A 记录的方式发现节点。 etcd: 使用 etcd 发现节点。 k8s: 使用 Kubernetes API 发现节点。

autoclean

类型	`Duration`
默认值	`24h`
描述	指定多久之后从集群中删除离线节点。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

autoheal
类型 Boolean
默认值 true
描述
集群脑裂自动恢复机制开关。

proto_dist

类型	`Enum(inet_tcp,inet6_tcp,inet_tls,inet6_tls)`
默认值	`inet_tcp`
描述	分布式 Erlang 集群协议类型。可选值为: inet_tcp: 使用 IPv4 inet_tls: 使用 TLS，需要配合 `etc/ssl_dist.conf` 一起使用。 inet6_tcp: IPv6 TCP inet6_tls: IPv6 TLS，与 `etc/ssl_dist.conf` 配合使用。

static

类型	`Struct(cluster_static)`

cluster_static

seeds

类型	`OneOf(String,Array(String))`
默认值	`[]`
描述	集群中的 EMQX 节点名称列表，指定固定的节点列表，多个节点间使用逗号 , 分隔。当 cluster.discovery_strategy 为 static 时，此配置项才有效。适合于节点数量较少且固定的集群。

dns
类型 Struct(cluster_dns)
cluster_dns
- name
  类型 String
  默认值 localhost
  描述
  指定 DNS A 记录的名字。emqx 会通过访问这个 DNS A 记录来获取 IP 地址列表。当cluster.discovery_strategy 为 dns 时有效。
- record_type
  类型 Enum(a,srv)
  默认值 a
  描述
  DNS 记录类型。

etcd

类型	`Struct(cluster_etcd)`

cluster_etcd

server
类型 String
描述
指定 etcd 服务的地址。如有多个服务使用逗号 , 分隔。当 cluster.discovery_strategy 为 etcd 时，此配置项才有效。

prefix

类型	`String`
默认值	`emqxcl`
描述	指定 etcd 路径的前缀。每个节点在 etcd 中都会创建一个路径: v2/keys//<cluster.name>/<node.name> 当 cluster.discovery_strategy 为 etcd 时，此配置项才有效。

node_ttl

类型	`Duration`
默认值	`1m`
描述	指定 etcd 中节点信息的过期时间。当 cluster.discovery_strategy 为 etcd 时，此配置项才有效。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

ssl_options

别名	ssl
类型	`Struct(ssl_client_opts)`
描述	当使用 TLS 连接 etcd 时的配置选项。当 cluster.discovery_strategy 为 etcd 时，此配置项才有效。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

k8s

类型	`Struct(cluster_k8s)`

cluster_k8s

apiserver

类型	`String`
默认值	`"https://kubernetes.default.svc:443"`
描述	指定 Kubernetes API Server。如有多个 Server 使用逗号 , 分隔。当 cluster.discovery_strategy 为 k8s 时，此配置项才有效。

service_name
类型 String
默认值 emqx
描述
指定 Kubernetes 中 EMQX 的服务名。当 cluster.discovery_strategy 为 k8s 时，此配置项才有效。

address_type

类型	`Enum(ip,dns,hostname)`
默认值	`ip`
描述	当使用 k8s 方式集群时，address_type 用来从 Kubernetes 接口的应答里获取什么形式的 Host 列表。指定 `cluster.k8s.address_type` 为 `ip`，则将从 Kubernetes 接口中获取集群中其他节点的 IP 地址。

namespace

类型	`String`
默认值	`default`
描述	当使用 k8s 方式并且 cluster.k8s.address_type 指定为 dns 类型时，可设置 emqx 节点名的命名空间。与 cluster.k8s.suffix 一起使用用以拼接得到节点名列表。

suffix

类型	`String`
默认值	`pod.local`
描述	当使用 k8s 方式并且 cluster.k8s.address_type 指定为 dns 类型时，可设置 emqx 节点名的后缀。与 cluster.k8s.namespace 一起使用用以拼接得到节点名列表。

log

类型	`Struct(log)`

log

console

别名	console_handler
类型	`Struct(console_handler)`

console_handler

level
类型 Enum(debug,info,notice,warning,error,critical,alert,emergency,all)
默认值 warning
描述
当前日志处理进程的日志级别。默认为 warning 级别。
enable
类型 Boolean
默认值 false
描述
启用此日志处理进程。
formatter
别名 format
类型 Enum(text,json)
默认值 text
描述
选择日志格式类型。 text 用于纯文本，json 用于结构化日志记录。

time_offset

类型	`String`
默认值	`system`
描述	日志中的时间戳使用的时间偏移量。可选值为： `system`: 本地系统使用的时区偏移量 `utc`: 0 时区的偏移量 `+-[hh]:[mm]`: 自定义偏移量，比如 "-02:00" 或者 "+00:00" 默认值为本地系统的时区偏移量：`system`。

file

别名	file_handlers
类型	`OneOf(Struct(log_file_handler),Map($handler_name->Struct(log_file_handler)))`
默认值	`{level = warning}`
描述	输出到文件的日志处理进程列表

log_file_handler

path
别名 file, to
类型 String
默认值 "${EMQX_LOG_DIR}/emqx.log"
描述
日志文件路径及名字。
rotation_count
别名 rotation
类型 Integer(1..128)
默认值 10
描述
轮换的最大日志文件数。

rotation_size

别名	max_size
类型	`OneOf(String("infinity"),Bytesize)`
默认值	`50MB`
描述	此参数控制日志文件轮换。 `infinity` 意味着日志文件将无限增长，否则日志文件将在达到 `max_size`（以字节为单位）时进行轮换。与 rotation count 配合使用。如果 counter 为 10，则是 10 个文件轮换。

level
类型 Enum(debug,info,notice,warning,error,critical,alert,emergency,all)
默认值 warning
描述
当前日志处理进程的日志级别。默认为 warning 级别。
enable
类型 Boolean
默认值 true
描述
启用此日志处理进程。
formatter
别名 format
类型 Enum(text,json)
默认值 text
描述
选择日志格式类型。 text 用于纯文本，json 用于结构化日志记录。

time_offset

类型	`String`
默认值	`system`
描述	日志中的时间戳使用的时间偏移量。可选值为： `system`: 本地系统使用的时区偏移量 `utc`: 0 时区的偏移量 `+-[hh]:[mm]`: 自定义偏移量，比如 "-02:00" 或者 "+00:00" 默认值为本地系统的时区偏移量：`system`。

log_file_handler

path
别名 file, to
类型 String
默认值 "${EMQX_LOG_DIR}/emqx.log"
描述
日志文件路径及名字。
rotation_count
别名 rotation
类型 Integer(1..128)
默认值 10
描述
轮换的最大日志文件数。

rotation_size

别名	max_size
类型	`OneOf(String("infinity"),Bytesize)`
默认值	`50MB`
描述	此参数控制日志文件轮换。 `infinity` 意味着日志文件将无限增长，否则日志文件将在达到 `max_size`（以字节为单位）时进行轮换。与 rotation count 配合使用。如果 counter 为 10，则是 10 个文件轮换。

level
类型 Enum(debug,info,notice,warning,error,critical,alert,emergency,all)
默认值 warning
描述
当前日志处理进程的日志级别。默认为 warning 级别。
enable
类型 Boolean
默认值 true
描述
启用此日志处理进程。
formatter
别名 format
类型 Enum(text,json)
默认值 text
描述
选择日志格式类型。 text 用于纯文本，json 用于结构化日志记录。

time_offset

类型	`String`
默认值	`system`
描述	日志中的时间戳使用的时间偏移量。可选值为： `system`: 本地系统使用的时区偏移量 `utc`: 0 时区的偏移量 `+-[hh]:[mm]`: 自定义偏移量，比如 "-02:00" 或者 "+00:00" 默认值为本地系统的时区偏移量：`system`。

rpc

类型	`Struct(rpc)`

rpc

mode
类型 Enum(sync,async)
默认值 async
描述
在 sync 模式下，发送端等待接收端的 ack 信号。
protocol
别名 driver
类型 Enum(tcp,ssl)
默认值 tcp
描述
集群间通信使用的传输协议。
async_batch_size
类型 Integer
默认值 256
描述
异步模式下，发送的批量消息的最大数量。

port_discovery

类型	`Enum(manual,stateless)`
默认值	`stateless`
描述	`manual`: 通过 `tcp_server_port` 来发现端口。 `stateless`: 使用无状态的方式来发现端口，使用如下算法。如果节点名称是 `emqxN@127.0.0.1`, N 是一个数字，那么监听端口就是 5370 + N。

tcp_server_port
类型 Integer
默认值 5369
描述
RPC 本地服务使用的 TCP 端口。
只有当 rpc.port_discovery 设置为 manual 时，此配置才会生效。
ssl_server_port
类型 Integer
默认值 5369
描述
RPC 本地服务使用的监听 SSL 端口。
只有当 rpc.port_discovery 设置为 manual 且 dirver 设置为 ssl，此配置才会生效。
tcp_client_num
类型 Integer(1..256)
默认值 10
描述
设置本节点与远程节点之间的 RPC 通信通道的最大数量。

connect_timeout

类型	`Duration`
默认值	`5s`
描述	建立 RPC 连接的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

certfile
类型 String
描述
TLS 证书文件的路径，用于验证集群节点的身份。只有当 rpc.driver 设置为 ssl 时，此配置才会生效。
keyfile
类型 String
描述
rpc.certfile 的私钥文件的路径。
注意：此文件内容是私钥，所以需要设置权限为 600。
cacertfile
类型 String
描述
验证 rpc.certfile 的 CA 证书文件的路径。
注意：集群中所有节点的证书必须使用同一个 CA 签发。

send_timeout

类型	`Duration`
默认值	`5s`
描述	发送 RPC 请求的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

authentication_timeout

类型	`Duration`
默认值	`5s`
描述	远程节点认证的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

call_receive_timeout

类型	`Duration`
默认值	`15s`
描述	同步 RPC 的回复超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_keepalive_idle

类型	`Duration(s)`
默认值	`15m`
描述	broker 之间的连接在最后一条消息发送后保持打开的时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_keepalive_interval

类型	`Duration(s)`
默认值	`75s`
描述	keepalive 消息的间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

socket_keepalive_count
类型 Integer
默认值 9
描述
keepalive 探测消息发送失败的次数，直到 RPC 连接被认为已经断开。

socket_sndbuf

类型	`Bytesize`
默认值	`1MB`
描述	TCP 调节参数。TCP 发送缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

socket_recbuf

类型	`Bytesize`
默认值	`1MB`
描述	TCP 调节参数。TCP 接收缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

socket_buffer

类型	`Bytesize`
默认值	`1MB`
描述	TCP 调节参数。用户模式套接字缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

insecure_fallback
类型 Boolean
默认值 true
描述
兼容旧的无鉴权模式

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

tls_versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

listen_address
类型 String
默认值 "0.0.0.0"
描述
指示 RPC 服务器监听的 IP 地址。例如，使用 "0.0.0.0" 表示 IPv4 或 "::" 表示 IPv6。

ipv6_only

类型	`Boolean`
默认值	`false`
描述	此设置仅在 `rpc.listen_address` 被分配了一个 IPv6 地址时有效。如果设置为 `true`，RPC 客户端将仅使用 IPv6 进行连接。否则，即使服务器位于 IPv6 上，客户端也可能选择 IPv4。

sys_topics
类型 Struct(sys_topics)
描述
系统主题配置。
sys_topics
- sys_msg_interval
  类型 OneOf(String("disabled"),Duration)
  默认值 1m
  描述
  发送 $SYS 主题的间隔时间。
- sys_heartbeat_interval
  类型 OneOf(String("disabled"),Duration)
  默认值 30s
  描述
  发送心跳系统消息的间隔时间，它包括：
  
  $SYS/brokers/<node>/uptime
  
  $SYS/brokers/<node>/datetime
- sys_event_messages
  类型 Struct(event_names)
  描述
  客户端事件消息。
  
  event_names
  client_connected
  类型 Boolean
  默认值 true
  描述
  是否开启客户端已连接事件消息。
  
  client_disconnected
  类型 Boolean
  默认值 true
  描述
  是否开启客户端已断开连接事件消息。
  
  client_subscribed
  类型 Boolean
  默认值 false
  描述
  是否开启客户端已成功订阅主题事件消息。
  
  client_unsubscribed
  类型 Boolean
  默认值 false
  描述
  是否开启客户端已成功取消订阅主题事件消息。

force_shutdown

类型	`Struct(force_shutdown)`

force_shutdown

enable
类型 Boolean
默认值 true
描述
启用 force_shutdown 功能。

max_mailbox_size

别名	max_message_queue_len
类型	`Integer(0..inf)`
默认值	`1000`
描述	每个在线客户端在 EMQX 服务器中都是独立的一个进程。该配置可以设为单个进程的邮箱消息队列设置最大长度，当超过该上限时，客户端会被强制下线。

max_heap_size

类型	`Bytesize`
默认值	`32MB`
描述	Heap 的总大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

force_gc

类型	`Struct(force_gc)`

force_gc

enable
类型 Boolean
默认值 true
描述
启用强制垃圾回收。
count
类型 Integer(0..inf)
默认值 16000
描述
在进程收到多少消息之后，对此进程执行垃圾回收。

bytes

类型	`Bytesize`
默认值	`16MB`
描述	在进程处理过多少个字节之后，对此进程执行垃圾回收。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sysmon

类型	`Struct(sysmon)`

sysmon

vm

类型	`Struct(sysmon_vm)`

sysmon_vm

process_check_interval

类型	`Duration`
默认值	`30s`
描述	定期进程限制检查的时间间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

process_high_watermark
类型 String
默认值 80%
描述
在发出相应警报之前，本地节点上可以同时存在多少进程的阈值（以进程百分比表示）。
process_low_watermark
类型 String
默认值 60%
描述
在清除相应警报之前，本地节点上可以同时存在多少进程的阈值（以进程百分比表示）。

long_gc

类型	`OneOf(String("disabled"),Duration)`
默认值	`disabled`
描述	当系统检测到某个 Erlang 进程垃圾回收占用过长时间，会触发一条带有 `long_gc` 关键字的日志。同时还会发布一条主题为 `$SYS/sysmon/long_gc` 的 MQTT 系统消息。

long_schedule

类型	`OneOf(String("disabled"),Duration)`
默认值	`240ms`
描述	启用后，如果 Erlang VM 调度器出现某个任务占用时间过长时，会触发一条带有 'long_schedule' 关键字的日志。同时还会发布一条主题为 `$SYS/sysmon/long_schedule` 的 MQTT 系统消息。

large_heap

类型	`OneOf(String("disabled"),Bytesize)`
默认值	`32MB`
描述	启用后，当一个 Erlang 进程申请了大量内存，系统会触发一条带有 `large_heap` 关键字的 warning 级别日志。同时还会发布一条主题为 `$SYS/sysmon/busy_dist_port` 的 MQTT 系统消息。

busy_dist_port

类型	`Boolean`
默认值	`true`
描述	启用后，当用于集群接点之间 RPC 的连接过忙时，会触发一条带有 `busy_dist_port` 关键字的 warning 级别日志。同时还会发布一条主题为 `$SYS/sysmon/busy_dist_port` 的 MQTT 系统消息。

busy_port

类型	`Boolean`
默认值	`true`
描述	当一个系统接口（例如 TCP socket）过忙，会触发一条带有 `busy_port` 关键字的 warning 级别的日志。同时还会发布一条主题为 `$SYS/sysmon/busy_port` 的 MQTT 系统消息。

os

类型	`Struct(sysmon_os)`

sysmon_os

cpu_check_interval

类型	`Duration`
默认值	`60s`
描述	定期 CPU 检查的时间间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

cpu_high_watermark
类型 String
默认值 80%
描述
在发出相应警报之前可以使用多少系统 CPU 的阈值，以系统 CPU 负载的百分比表示。
cpu_low_watermark
类型 String
默认值 60%
描述
在解除相应警报之前可以使用多少系统 CPU 的阈值，以系统 CPU 负载的百分比表示。
mem_check_interval
类型 OneOf(String("disabled"),Duration)
默认值 60s
描述
定期内存检查的时间间隔。
sysmem_high_watermark
类型 String
默认值 70%
描述
在发出相应报警之前可以分配多少系统内存的阈值，以系统内存的百分比表示。
procmem_high_watermark
类型 String
默认值 5%
描述
在发出相应警报之前，一个 Erlang 进程可以分配多少系统内存的阈值，以系统内存的百分比表示。

alarm

类型	`Struct(alarm)`

alarm

actions

类型	`Array(String)`
默认值	`[log, publish]`
描述	警报激活时触发的动作。目前，支持以下操作：`log` 和 `publish`. `log` 将告警写入日志 (控制台或者文件). `publish` 将告警作为 MQTT 消息发布到系统主题: `$SYS/brokers/emqx@xx.xx.xx.x/alarms/activate` and `$SYS/brokers/emqx@xx.xx.xx.x/alarms/deactivate`

size_limit
类型 Integer(1..3000)
默认值 1000
描述
要保留为历史记录的已停用报警的最大总数。当超过此限制时，将删除最旧的停用报警，以限制总数。

validity_period

类型	`Duration`
默认值	`24h`
描述	停用报警的保留时间。报警在停用时不会立即删除，而是在保留时间之后删除。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

flapping_detect

类型	`Struct(flapping_detect)`

flapping_detect

enable
类型 Boolean
默认值 false
描述
启用抖动检测功能。

window_time

类型	`Duration`
默认值	`1m`
描述	抖动检测的时间窗口。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_count
类型 Integer(0..+inf)
默认值 15
描述
MQTT 客户端在“窗口”时间内允许的最大断开次数

ban_time

类型	`Duration`
默认值	`5m`
描述	抖动的客户端将会被禁止登录多长时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

bridges

类型	`Struct(bridges)`

bridges

webhook

类型	`Map($name->Struct(config))`
描述	转发消息到 HTTP 服务器的 WebHook

config

enable
类型 Boolean
默认值 true
描述
Enable or disable this bridge
description
类型 String
默认值 ""
描述
描述性文本。

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

pool_type
类型 Enum(random,hash)
默认值 random
描述
The type of the pool. Can be one of random, hash.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

request
类型 Map
描述
Deprecated since 5.3.2.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

url

类型	`String`
描述	The URL of the HTTP Bridge. Template with variables is allowed in the path, but variables cannot be used in the scheme, host, or port part. For example, `http://localhost:9901/${topic}` is allowed, but `http://${host}:9901/message` or `http://localhost:${port}/message` is not allowed.

direction
类型 String("egress")
描述
Deprecated since 5.0.12.

local_topic

类型	`String`
描述	The MQTT topic filter to be forwarded to the HTTP server. All MQTT 'PUBLISH' messages with the topic matching the local_topic will be forwarded. NOTE: if this bridge is used as the action of a rule (EMQX rule engine), and also local_topic is configured, then both the data got from the rule and the MQTT messages that match local_topic will be forwarded.

method
类型 Enum(post,put,get,delete)
默认值 post
描述
The method of the HTTP request. All the available methods are: post, put, get, delete.
Template with variables is allowed.

headers

类型	`Map`
默认值	`{ accept = "application/json" cache-control = no-cache connection = keep-alive content-type = "application/json" keep-alive = "timeout=5" }`
描述	The headers of the HTTP request. Template with variables is allowed.

body

类型 String

描述

The body of the HTTP request.
If not provided, the body will be a JSON object of all the available fields.
There, 'all the available fields' means the context of a MQTT message when this webhook is triggered by receiving a MQTT message (the local_topic is set), or the context of the event when this webhook is triggered by a rule (i.e. this webhook is used as an action of a rule).
Template with variables is allowed.

max_retries
类型 Integer(0..+inf)
默认值 2
描述
HTTP request max retry times if failed.

request_timeout

类型	`Duration`
描述	Deprecated since v5.0.26. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

resource_opts

类型	`Struct(v1_resource_opts)`
默认值	`{}`
描述	资源相关的选项。

v1_resource_opts

worker_pool_size
类型 Integer(1..1024)
默认值 16
描述
缓存队列 worker 数量。仅对 egress 类型的桥接有意义。当桥接仅有 ingress 方向时，可设置为 0，否则必须大于 0。

health_check_interval

类型	`Duration`
默认值	`15s`
描述	健康检查间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

start_after_created
类型 Boolean
默认值 true
描述
是否在创建资源后立即启动资源。

start_timeout

类型	`Duration`
默认值	`5s`
描述	在回复资源创建请求前等待资源进入健康状态的时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

auto_restart_interval
类型 OneOf(String("infinity"),Duration)
描述
Deprecated since 5.1.0.
query_mode
类型 Enum(sync,async)
默认值 async
描述
请求模式。可选 '同步/异步'，默认为'异步'模式。

request_ttl

别名	request_timeout
类型	`OneOf(Duration,String("infinity"))`
默认值	`45s`
描述	从请求进入缓冲区的时刻开始，如果请求在指定的时间内仍然停留在缓冲区中，或者已经发送但没有及时收到响应或确认，该请求将被视为过期。

inflight_window

别名	async_inflight_window
类型	`Integer(1..+inf)`
默认值	`100`
描述	请求飞行队列窗口大小。当请求模式为异步时，如果需要严格保证来自同一 MQTT 客户端的消息有序，则必须将此值设为 1。

enable_queue
类型 Boolean
描述
Deprecated since v5.0.14.

max_buffer_bytes

别名	max_queue_bytes
类型	`Bytesize`
默认值	`256MB`
描述	每个缓存 worker 允许使用的最大字节数。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

mqtt

类型	`Map($name->Struct(config))`
描述	桥接到另一个 MQTT Broker 的 MQTT 数据桥接

config

enable
类型 Boolean
默认值 true
描述
启用/禁用数据桥接
description
类型 String
默认值 ""
描述
描述性文本。

resource_opts

类型	`Struct(creation_opts)`
默认值	`{}`
描述	资源相关的选项。

creation_opts

worker_pool_size
类型 Integer(1..1024)
默认值 16
描述
缓存队列 worker 数量。仅对 egress 类型的桥接有意义。当桥接仅有 ingress 方向时，可设置为 0，否则必须大于 0。

health_check_interval

类型	`Duration`
默认值	`15s`
描述	健康检查间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

start_after_created
类型 Boolean
默认值 true
描述
是否在创建资源后立即启动资源。

start_timeout

类型	`Duration`
默认值	`5s`
描述	在回复资源创建请求前等待资源进入健康状态的时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

auto_restart_interval
类型 OneOf(String("infinity"),Duration)
描述
Deprecated since 5.1.0.
query_mode
类型 Enum(sync,async)
默认值 async
描述
请求模式。可选 '同步/异步'，默认为'异步'模式。

request_ttl

别名	request_timeout
类型	`OneOf(Duration,String("infinity"))`
默认值	`45s`
描述	从请求进入缓冲区的时刻开始，如果请求在指定的时间内仍然停留在缓冲区中，或者已经发送但没有及时收到响应或确认，该请求将被视为过期。

inflight_window

别名	async_inflight_window
类型	`Integer(1..+inf)`
默认值	`100`
描述	请求飞行队列窗口大小。当请求模式为异步时，如果需要严格保证来自同一 MQTT 客户端的消息有序，则必须将此值设为 1。

enable_queue
类型 Boolean
描述
Deprecated since v5.0.14.

max_buffer_bytes

别名	max_queue_bytes
类型	`Bytesize`
默认值	`256MB`
描述	每个缓存 worker 允许使用的最大字节数。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

mode
类型 Enum(cluster_shareload)
描述
Deprecated since v5.1.0 & e5.1.0.
server
类型 String
描述
The host and port of the remote MQTT broker
clientid_prefix
类型 String
描述
Optional prefix to prepend to the clientid used by egress bridges.
reconnect_interval
类型 String
描述
Deprecated since v5.0.16.
proto_ver
类型 Enum(v3,v4,v5)
默认值 v4
描述
The MQTT protocol version

bridge_mode

类型	`Boolean`
默认值	`false`
描述	If enable bridge mode. NOTE: This setting is only for MQTT protocol version older than 5.0, and the remote MQTT broker MUST support this feature. If bridge_mode is set to true, the bridge will indicate to the remote broker that it is a bridge not an ordinary client. This means that loop detection will be more effective and that retained messages will be propagated correctly.

username
类型 String
描述
The username of the MQTT protocol

password

类型 Secret

描述

The password of the MQTT protocol
A string holding some sensitive information, such as a password. When secret starts with file://, the rest of the string is interpreted as a path to a file containing the secret itself: whole content of the file except any trailing whitespace characters is considered a secret value. Note: when clustered, all EMQX nodes should have the same file present before using file:// secrets.

clean_start
类型 Boolean
默认值 true
描述
Whether to start a clean session when reconnecting a remote broker for ingress bridge

keepalive

类型	`String`
默认值	`300s`
描述	MQTT Keepalive. Time interval is a string that contains a number followed by time unit: - `ms` for milliseconds, `s` for seconds, `m` for minutes, `h` for hours; or combination of whereof: `1h5m0s`

retry_interval

类型	`String`
默认值	`15s`
描述	Message retry interval. Delay for the MQTT bridge to retry sending the QoS1/QoS2 messages in case of ACK not received. Time interval is a string that contains a number followed by time unit: - `ms` for milliseconds, `s` for seconds, `m` for minutes, `h` for hours; or combination of whereof: `1h5m0s`

max_inflight
类型 Integer(0..+inf)
默认值 32
描述
Max inflight (sent, but un-acked) messages of the MQTT protocol

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

ingress

类型 Struct(ingress)

描述

The ingress config defines how this bridge receive messages from the remote MQTT broker, and then send them to the local broker.
Template with variables is allowed in 'remote.qos', 'local.topic', 'local.qos', 'local.retain', 'local.payload'.
NOTE: if this bridge is used as the input of a rule, and also 'local.topic' is configured, then messages got from the remote broker will be sent to both the 'local.topic' and the rule.

ingress

pool_size

类型	`Integer(1..+inf)`
默认值	`8`
描述	Size of the pool of MQTT clients that will ingest messages from the remote broker. This value will be respected only if 'remote.topic' is a shared subscription topic or topic-filter (for example `$share/name1/topic1` or `$share/name2/topic2/#`), otherwise only a single MQTT client will be used. Each MQTT client will be assigned 'clientid' of the form '${clientid_prefix}:${bridge_name}:ingress:${node}:${n}' where 'n' is the number of a client inside the pool. NOTE: Non-shared subscription will not work well when EMQX is clustered.

remote
类型 Struct(ingress_remote)
描述
The configs about subscribing to the remote broker.
ingress_remote
- topic
  类型 String
  描述
  Receive messages from which topic of the remote broker
- qos
  类型 Integer(0..2)
  默认值 1
  描述
  The QoS level to be used when subscribing to the remote broker
local
类型 Struct(ingress_local)
描述
The configs about sending message to the local broker.
ingress_local
- topic
  类型 String
  描述
  Send messages to which topic of the local broker.
  Template with variables is allowed.
- qos
  类型 OneOf(Integer(0..2),String)
  默认值 "${qos}"
  描述
  The QoS of the MQTT message to be sent.
  Template with variables is allowed.
- retain
  类型 OneOf(Boolean,String)
  默认值 "${retain}"
  描述
  The 'retain' flag of the MQTT message to be sent.
  Template with variables is allowed.
- payload
  类型 String
  描述
  The payload of the MQTT message to be sent.
  Template with variables is allowed.

egress

类型 Struct(egress)

描述

The egress config defines how this bridge forwards messages from the local broker to the remote broker.
Template with variables is allowed in 'remote.topic', 'local.qos', 'local.retain', 'local.payload'.
NOTE: if this bridge is used as the action of a rule, and also 'local.topic' is configured, then both the data got from the rule and the MQTT messages that matches 'local.topic' will be forwarded.

egress

pool_size

类型	`Integer(1..+inf)`
默认值	`8`
描述	Size of the pool of MQTT clients that will publish messages to the remote broker. Each MQTT client will be assigned 'clientid' of the form '${clientid_prefix}:${bridge_name}:egress:${node}:${n}' where 'n' is the number of a client inside the pool.

local
类型 Struct(egress_local)
描述
The configs about receiving messages from local broker.
egress_local
- topic
  类型 String
  描述
  The local topic to be forwarded to the remote broker
remote
类型 Struct(egress_remote)
描述
The configs about sending message to the remote broker.
egress_remote
- topic
  类型 String
  描述
  Forward to which topic of the remote broker.
  Template with variables is allowed.
- qos
  类型 OneOf(Integer(0..2),String)
  默认值 1
  描述
  The QoS of the MQTT message to be sent.
  Template with variables is allowed.
- retain
  类型 OneOf(Boolean,String)
  默认值 false
  描述
  The 'retain' flag of the MQTT message to be sent.
  Template with variables is allowed.
- payload
  类型 String
  描述
  The payload of the MQTT message to be sent.
  Template with variables is allowed.

connectors

类型	`Struct(connectors)`

connectors

http

类型	`Map($name->Struct(config_connector))`
描述	HTTP Connector Config

config_connector

enable
类型 Boolean
默认值 true
描述
Enable or disable this connector
description
类型 String
默认值 ""
描述
描述性文本。

url

类型	`String`
描述	The URL of the HTTP Bridge. Template with variables is allowed in the path, but variables cannot be used in the scheme, host, or port part. For example, `http://localhost:9901/${topic}` is allowed, but `http://${host}:9901/message` or `http://localhost:${port}/message` is not allowed.

headers

类型	`Map`
默认值	`{ accept = "application/json" cache-control = no-cache connection = keep-alive content-type = "application/json" keep-alive = "timeout=5" }`
描述	The headers of the HTTP request. Template with variables is allowed.

connect_timeout

类型	`Duration`
默认值	`15s`
描述	The timeout when connecting to the HTTP server. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

retry_interval

类型	`Duration`
描述	Deprecated since 5.0.4. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

pool_type
类型 Enum(random,hash)
默认值 random
描述
The type of the pool. Can be one of random, hash.
pool_size
类型 Integer(1..+inf)
默认值 8
描述
The pool size.

enable_pipelining

类型	`Integer(1..+inf)`
默认值	`100`
描述	A positive integer. Whether to send HTTP requests continuously, when set to 1, it means that after each HTTP request is sent, you need to wait for the server to return and then continue to send the next request.

request
类型 Map
描述
Deprecated since 5.3.2.

ssl

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	启用 SSL 连接。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

resource_opts

类型	`Struct(connector_resource_opts)`
默认值	`{}`
描述	资源相关的选项。

connector_resource_opts

health_check_interval

类型	`Duration`
默认值	`15s`
描述	健康检查间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

start_after_created
类型 Boolean
默认值 true
描述
是否在创建资源后立即启动资源。

start_timeout

类型	`Duration`
默认值	`5s`
描述	在回复资源创建请求前等待资源进入健康状态的时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

actions

类型	`Struct(actions)`

actions

http

别名	webhook
类型	`Map($name->Struct(http_action))`
描述	HTTP Action Config

http_action

enable
类型 Boolean
默认值 true
描述
Enable or disable this bridge
connector
类型 String
描述
由动作指定的连接器名称，用于选择外部资源。
description
类型 String
默认值 ""
描述
描述性文本。

parameters

类型	`Struct(parameters_opts)`
描述	The parameters for HTTP action.

parameters_opts

path

类型	`String`
描述	The URL path for this Action. This path will be appended to the Connector's `url` configuration to form the full URL address. Template with variables is allowed in this option. For example, `/room/{$room_no}`

method
类型 Enum(post,put,get,delete)
默认值 post
描述
The method of the HTTP request. All the available methods are: post, put, get, delete.
Template with variables is allowed.

headers

类型	`Map`
默认值	`{ accept = "application/json" cache-control = no-cache connection = keep-alive content-type = "application/json" keep-alive = "timeout=5" }`
描述	The headers of the HTTP request. Template with variables is allowed.

body

类型 String

描述

max_retries
类型 Integer(0..+inf)
默认值 2
描述
HTTP request max retry times if failed.

request_timeout

类型	`Duration`
描述	Deprecated since v5.0.26. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

resource_opts

类型	`Struct(action_resource_opts)`
默认值	`{}`
描述	资源相关的选项。

action_resource_opts

worker_pool_size
类型 Integer(1..1024)
默认值 16
描述
缓存队列 worker 数量。仅对 egress 类型的桥接有意义。当桥接仅有 ingress 方向时，可设置为 0，否则必须大于 0。

health_check_interval

类型	`Duration`
默认值	`15s`
描述	健康检查间隔。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

query_mode
类型 Enum(sync,async)
默认值 async
描述
请求模式。可选 '同步/异步'，默认为'异步'模式。

request_ttl

别名	request_timeout
类型	`OneOf(Duration,String("infinity"))`
默认值	`45s`
描述	从请求进入缓冲区的时刻开始，如果请求在指定的时间内仍然停留在缓冲区中，或者已经发送但没有及时收到响应或确认，该请求将被视为过期。

inflight_window

别名	async_inflight_window
类型	`Integer(1..+inf)`
默认值	`100`
描述	请求飞行队列窗口大小。当请求模式为异步时，如果需要严格保证来自同一 MQTT 客户端的消息有序，则必须将此值设为 1。

max_buffer_bytes

别名	max_queue_bytes
类型	`Bytesize`
默认值	`256MB`
描述	每个缓存 worker 允许使用的最大字节数。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

retainer

类型	`Struct(retainer)`

retainer

enable
类型 Boolean
默认值 true
描述
是否开启消息保留功能

msg_expiry_interval

类型	`Duration`
默认值	`0s`
描述	消息保留时间。0 代表永久保留 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

msg_clear_interval

类型	`Duration`
默认值	`0s`
描述	消息清理间隔。0 代表不进行清理 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

max_payload_size

类型	`Bytesize`
默认值	`1MB`
描述	消息大小最大值 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

stop_publish_clear_msg

类型	`Boolean`
默认值	`false`
描述	当 PUBLISH 消息的保留标志被设置且有效载荷为空时，是否继续发布消息。参见： http://docs.oasis-open.org/mqtt/mqtt/v3.1.1/os/mqtt-v3.1.1-os.html#_Toc398718038

delivery_rate
别名 deliver_rate
类型 String
描述
发送保留消息的最大速率

backend

类型	`Struct(mnesia_config)`
描述	保留消息的存储后端

mnesia_config

type
类型 String("built_in_database")
默认值 built_in_database
描述
后端类型
storage_type
类型 Enum(ram,disc)
默认值 ram
描述
选择消息是存放在磁盘还是内存中
max_retained_messages
类型 Integer(0..+inf)
默认值 0
描述
消息保留的数量上限。0 表示无限

index_specs

类型	`Array(Integer)`
默认值	`[ [1, 2, 3], [1, 3], [2, 3], [3] ]`
描述	Retainer index specifications: list of arrays of positive ascending integers. Each array specifies an index. Numbers in an index specification are 1-based word positions in topics. Words from specified positions will be used for indexing. For example, it is good to have `[2, 4]` index to optimize `+/X/+/Y/...` topic wildcard subscriptions.

telemetry
类型 Struct(telemetry)
telemetry
- enable
  类型 Boolean
  描述
  设置为 false 可以关闭数据发送。
delayed
类型 Struct(delayed)
delayed
- enable
  类型 Boolean
  默认值 true
  描述
  是否启用
- max_delayed_messages
  类型 Integer
  默认值 0
  描述
  延迟消息的数量上限(0 代表不限数量)

plugins

类型	`Struct(plugins)`

plugins

states
类型 Array(Struct(state))
默认值 []
描述
一组插件的状态。插件将按照定义的顺序启动
state
- name_vsn
  类型 String
  描述
  插件的名称{name}-{version}。
  它应该与插件的发布包名称一致，如 my_plugin-0.1.0。
- enable
  类型 Boolean
  描述
  设置为“true”以启用此插件。
install_dir
类型 String
默认值 plugins
描述
插件安装包的目录，出于安全考虑，该目录应该值允许 emqx，或用于运行 EMQX 服务的用户拥有写入权限。

check_interval

类型	`Duration`
描述	Deprecated since 5.0.24. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dashboard

类型	`Struct(dashboard)`

dashboard

listeners

类型	`Struct(listeners)`
描述	Dashboard 监听器设置。监听器必须有唯一的端口号和 IP 地址的组合。例如，可以通过指定 IP 地址 0.0.0.0 来监听机器上给定端口上的所有配置的 IP 地址。或者，可以为每个监听器指定唯一的 IP 地址，但使用相同的端口。

listeners

http

类型	`Struct(http)`
描述	TCP listeners

http

bind
类型 String
默认值 0
描述
监听地址和端口，热更新此配置时，会重启 Dashboard 服务。
num_acceptors
类型 Integer
默认值 8
描述
TCP 协议的 Socket acceptor 池大小, 通常配置为 CPU 核数
max_connections
类型 Integer
默认值 512
描述
同时处理的最大连接数。
backlog
类型 Integer
默认值 1024
描述
排队等待连接的队列的最大长度。

send_timeout

类型	`Duration`
默认值	`10s`
描述	发送响应内容的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

inet6
类型 Boolean
默认值 false
描述
启用 IPv6，如果机器不支持 IPv6，请关闭此选项，否则会导致 Dashboard 无法使用。
ipv6_v6only
类型 Boolean
默认值 false
描述
当开启 inet6 功能的同时禁用 IPv4-to-IPv6 映射。该配置仅在 inet6 功能开启时有效。

proxy_header

类型	`Boolean`
默认值	`false`
描述	启用 Proxy Protocol 以提取客户端连接的原始信息，要求使用了代理服务器并且代理服务器也启用 Proxy Protocol。注意：一旦开启了这个功能，就无法再处理普通的 HTTP 请求。

https

类型	`Struct(https)`
描述	SSL listeners

https

bind
类型 String
默认值 0
描述
监听地址和端口，热更新此配置时，会重启 Dashboard 服务。

ssl_options

类型	`Struct(ssl_options)`
描述	Dashboard 监听器的 SSL/TLS 选项。

ssl_options

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

num_acceptors
类型 Integer
默认值 8
描述
TCP 协议的 Socket acceptor 池大小, 通常配置为 CPU 核数
max_connections
类型 Integer
默认值 512
描述
同时处理的最大连接数。
backlog
类型 Integer
默认值 1024
描述
排队等待连接的队列的最大长度。

send_timeout

类型	`Duration`
默认值	`10s`
描述	发送响应内容的超时时间。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

inet6
类型 Boolean
默认值 false
描述
启用 IPv6，如果机器不支持 IPv6，请关闭此选项，否则会导致 Dashboard 无法使用。
ipv6_v6only
类型 Boolean
默认值 false
描述
当开启 inet6 功能的同时禁用 IPv4-to-IPv6 映射。该配置仅在 inet6 功能开启时有效。

proxy_header

类型	`Boolean`
默认值	`false`
描述	启用 Proxy Protocol 以提取客户端连接的原始信息，要求使用了代理服务器并且代理服务器也启用 Proxy Protocol。注意：一旦开启了这个功能，就无法再处理普通的 HTTP 请求。

token_expired_time

类型	`Duration`
默认值	`60m`
描述	登录成功返回的 JWT token 过期时间，默认为 60 分钟。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

cors

类型	`Boolean`
默认值	`false`
描述	CORS（Cross-Origin Resource Sharing，跨域资源共享）允许服务器响应来自任何来源（域名、协议或端口）的请求，启用后允许另一个域名下的服务直接通过 JavaScript 调用 EMQX REST API。

gateway

类型	`Struct(gateway)`

gateway

stomp

类型	`Struct(stomp)`

stomp

frame
类型 Struct(stomp_frame)
stomp_frame
- max_headers
  类型 Integer(0..+inf)
  默认值 10
  描述
  The maximum number of Header
- max_headers_length
  类型 Integer(0..+inf)
  默认值 1024
  描述
  允许的 Header 字符串的最大长度
- max_body_length
  类型 Integer
  默认值 65536
  描述
  Maximum number of bytes of Body allowed per Stomp packet

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 `listeners.tcp.\<name>.mountpoint` 设置为 `some_tenant` 的情况下订阅 `t`，则客户端实际上订阅了 `some_tenant/t` 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 `t` 发送消息，则该消息被路由到所有订阅了 `some_tenant/t` 的客户端，因此客户端 A 将收到该消息，带有主题名称`t`。设置为 `""` 以禁用该功能。挂载点字符串中可用的变量： `${clientid}`：clientid `${username}`：用户名

listeners

类型	`Struct(tcp_listeners)`

tcp_listeners

tcp

类型	`Map($name->Struct(tcp_listener))`
描述	从监听器名称到配置参数的映射。

tcp_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

tcp_options

类型	`Struct(tcp_opts)`
描述	TCP Socket 配置。

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

proxy_protocol

类型	`Boolean`
默认值	`false`
描述	是否开启 Proxy Protocol V1/2。当 EMQX 集群部署在 HAProxy 或 Nginx 后需要获取客户端真实 IP 时常用到该选项。参考：https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	接收 Proxy Protocol 报文头的超时时间。如果在超时内没有收到 Proxy Protocol 包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 listeners.tcp.\<name>.mountpoint 设置为 some_tenant 的情况下订阅 t，则客户端实际上订阅了 some_tenant/t 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 t 发送消息，则该消息被路由到所有订阅了 some_tenant/t 的客户端，因此客户端 A 将收到该消息，带有主题名称t。设置为 "" 以禁用该功能。挂载点字符串中可用的变量：

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

ssl

类型	`Map($name->Struct(ssl_listener))`
描述	从监听器名称到配置参数的映射。

ssl_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

tcp_options

类型	`Struct(tcp_opts)`
描述	TCP Socket 配置。

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

proxy_protocol

类型	`Boolean`
默认值	`false`
描述	是否开启 Proxy Protocol V1/2。当 EMQX 集群部署在 HAProxy 或 Nginx 后需要获取客户端真实 IP 时常用到该选项。参考：https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	接收 Proxy Protocol 报文头的超时时间。如果在超时内没有收到 Proxy Protocol 包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

ssl_options

类型	`Struct(listener_ssl_opts)`
描述	SSL Socket 配置。

listener_ssl_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

enable
类型 Boolean
默认值 true
描述
是否启用该网关
enable_stats
类型 Boolean
默认值 true
描述
是否开启客户端统计

idle_timeout

类型	`Duration`
默认值	`30s`
描述	客户端连接过程的空闲时间。该配置用于：一个新创建的客户端进程如果在该时间间隔内没有收到任何客户端请求，将被直接关闭。一个正在运行的客户进程如果在这段时间后没有收到任何客户请求，将进入休眠状态以节省资源。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

clientinfo_override
类型 Struct(clientinfo_override)
描述
ClientInfo 重写。
clientinfo_override
- username
  类型 String
  描述
  username 重写模板
- password
  类型 String
  描述
  password 重写模板
- clientid
  类型 String
  描述
  clientid 重写模板

lwm2m

类型	`Struct(lwm2m)`

lwm2m

xml_dir
类型 String
描述
LwM2M Resource 定义的 XML 文件目录路径。

lifetime_min

类型	`Duration`
默认值	`15s`
描述	允许 LwM2M 客户端允许设置的心跳最小值。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

lifetime_max

类型	`Duration`
默认值	`86400s`
描述	允许 LwM2M 客户端允许设置的心跳最大值。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

qmode_time_window

类型	`Duration(s)`
默认值	`22s`
描述	在 QMode 模式下，LwM2M 网关认为网络链接有效的时间窗口的值。例如，在收到客户端的更新信息后，在这个时间窗口内的任何信息都会直接发送到 LwM2M 客户端，而超过这个时间窗口的所有信息都会暂时储存在内存中。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

auto_observe
类型 Boolean
默认值 false
描述
自动 Observe REGISTER 数据包的 Object 列表。

update_msg_publish_condition

类型	`Enum(always,contains_object_list)`
默认值	`contains_object_list`
描述	发布 UPDATE 事件消息的策略。 always: 只要收到 UPDATE 请求，就发送更新事件。 contains_object_list: 仅当 UPDATE 请求携带 Object 列表时才发送更新事件。

translators

类型	`Struct(lwm2m_translators)`
描述	LwM2M 网关订阅/发布消息的主题映射配置。

lwm2m_translators

command
类型 Struct(translator)
描述
下行命令主题。对于每个成功上线的新 LwM2M 客户端，网关会创建一个订阅关系来接收下行消息并将其发送给客户端
translator
- topic
  类型 String
  描述
  主题名称
- qos
  类型 Integer(0..2)
  默认值 0
  描述
  QoS 等级
response
类型 Struct(translator)
描述
用于网关发布来自 LwM2M 客户端的确认事件的主题。
translator
- topic
  类型 String
  描述
  主题名称
- qos
  类型 Integer(0..2)
  默认值 0
  描述
  QoS 等级

notify

类型	`Struct(translator)`
描述	用于发布来自 LwM2M 客户端的通知事件的主题。在成功 Observe 到 LwM2M 客户端的资源后，如果客户端报告任何资源状态的变化，网关将通过该主题发送通知事件

translator

topic
类型 String
描述
主题名称
qos
类型 Integer(0..2)
默认值 0
描述
QoS 等级

register
类型 Struct(translator)
描述
用于发布来自 LwM2M 客户端的注册事件的主题。
translator
- topic
  类型 String
  描述
  主题名称
- qos
  类型 Integer(0..2)
  默认值 0
  描述
  QoS 等级
update
类型 Struct(translator)
描述
用于发布来自 LwM2M 客户端的更新事件的主题。
translator
- topic
  类型 String
  描述
  主题名称
- qos
  类型 Integer(0..2)
  默认值 0
  描述
  QoS 等级

mountpoint

类型	`String`
默认值	`"lwm2m/${endpoint_name}/"`
描述	发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 `listeners.tcp.\<name>.mountpoint` 设置为 `some_tenant` 的情况下订阅 `t`，则客户端实际上订阅了 `some_tenant/t` 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 `t` 发送消息，则该消息被路由到所有订阅了 `some_tenant/t` 的客户端，因此客户端 A 将收到该消息，带有主题名称`t`。设置为 `""` 以禁用该功能。挂载点字符串中可用的变量： `${clientid}`：clientid `${username}`：用户名

listeners

类型	`Struct(udp_listeners)`

udp_listeners

udp

类型	`Map($name->Struct(udp_listener))`
描述	从监听器名称到配置参数的映射。

udp_listener

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls

类型	`Map($name->Struct(dtls_listener))`
描述	从监听器名称到配置参数的映射。

dtls_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls_options

类型	`Struct(dtls_opts)`
描述	DTLS Socket 配置

dtls_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[dtlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

enable
类型 Boolean
默认值 true
描述
是否启用该网关
enable_stats
类型 Boolean
默认值 true
描述
是否开启客户端统计

idle_timeout

类型	`Duration`
默认值	`30s`
描述	客户端连接过程的空闲时间。该配置用于：一个新创建的客户端进程如果在该时间间隔内没有收到任何客户端请求，将被直接关闭。一个正在运行的客户进程如果在这段时间后没有收到任何客户请求，将进入休眠状态以节省资源。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

clientinfo_override
类型 Struct(clientinfo_override)
描述
ClientInfo 重写。
clientinfo_override
- username
  类型 String
  描述
  username 重写模板
- password
  类型 String
  描述
  password 重写模板
- clientid
  类型 String
  描述
  clientid 重写模板

mqttsn

类型	`Struct(mqttsn)`

mqttsn

gateway_id
类型 Integer
默认值 1
描述
MQTT-SN 网关 ID。当 broadcast 打开时，MQTT-SN 网关会使用该 ID 来广播 ADVERTISE 消息
broadcast
类型 Boolean
默认值 false
描述
是否周期性广播 ADVERTISE 消息

enable_qos3

类型	`Boolean`
默认值	`true`
描述	是否允许无连接的客户端发送 QoS 等于 -1 的消息。该功能主要用于支持轻量的 MQTT-SN 客户端实现，它不会向网关建立连接，注册主题，也不会发起订阅；它只使用 QoS 为 -1 来发布消息

subs_resume
类型 Boolean
默认值 false
描述
在会话被重用后，网关是否主动向客户端注册对已订阅主题名称

predefined

类型	`Array(Struct(mqttsn_predefined))`
默认值	`[]`
描述	预定义主题列表。预定义的主题列表，是一组主题 ID 和主题名称的映射关系。使用预先定义的主题列表，可以减少 MQTT-SN 客户端和网关对于固定主题的注册请求

mqttsn_predefined

id
类型 Integer(1..1024)
描述
主题 ID。范围：1-65535
topic
类型 String
描述
主题名称。注：不支持通配符

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 `listeners.tcp.\<name>.mountpoint` 设置为 `some_tenant` 的情况下订阅 `t`，则客户端实际上订阅了 `some_tenant/t` 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 `t` 发送消息，则该消息被路由到所有订阅了 `some_tenant/t` 的客户端，因此客户端 A 将收到该消息，带有主题名称`t`。设置为 `""` 以禁用该功能。挂载点字符串中可用的变量： `${clientid}`：clientid `${username}`：用户名

listeners

类型	`Struct(udp_listeners)`

udp_listeners

udp

类型	`Map($name->Struct(udp_listener))`
描述	从监听器名称到配置参数的映射。

udp_listener

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls

类型	`Map($name->Struct(dtls_listener))`
描述	从监听器名称到配置参数的映射。

dtls_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls_options

类型	`Struct(dtls_opts)`
描述	DTLS Socket 配置

dtls_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[dtlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

enable
类型 Boolean
默认值 true
描述
是否启用该网关
enable_stats
类型 Boolean
默认值 true
描述
是否开启客户端统计

idle_timeout

类型	`Duration`
默认值	`30s`
描述	客户端连接过程的空闲时间。该配置用于：一个新创建的客户端进程如果在该时间间隔内没有收到任何客户端请求，将被直接关闭。一个正在运行的客户进程如果在这段时间后没有收到任何客户请求，将进入休眠状态以节省资源。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

clientinfo_override
类型 Struct(clientinfo_override)
描述
ClientInfo 重写。
clientinfo_override
- username
  类型 String
  描述
  username 重写模板
- password
  类型 String
  描述
  password 重写模板
- clientid
  类型 String
  描述
  clientid 重写模板

coap

类型	`Struct(coap)`

coap

heartbeat

类型	`Duration`
默认值	`30s`
描述	CoAP 网关要求客户端的最小心跳间隔时间。当 `connection_required` 开启后，该参数用于检查客户端连接是否存活 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

connection_required
类型 Boolean
默认值 false
描述
是否开启连接模式。连接模式是非标准协议的功能。它维护 CoAP 客户端上线、认证、和连接状态的保持

notify_type

类型	`Enum(non,con,qos)`
默认值	`qos`
描述	投递给 CoAP 客户端的通知消息类型。当客户端 Observe 一个资源（或订阅某个主题）时，网关会向客户端推送新产生的消息。其消息类型可设置为： non: 不需要客户端返回确认消息; con: 需要客户端返回一个确认消息; qos: 取决于消息的 QoS 等级; QoS 0 会以 `non` 类型下发，QoS 1/2 会以 `con` 类型下发

subscribe_qos

类型	`Enum(qos0,qos1,qos2,coap)`
默认值	`coap`
描述	客户端订阅请求的默认 QoS 等级。当 CoAP 客户端发起订阅请求时，如果未携带 `qos` 参数则会使用该默认值。默认值可设置为： qos0、 qos1、qos2: 设置为固定的 QoS 等级 coap: 依据订阅操作的 CoAP 报文类型来动态决定当订阅请求为 `non-confirmable` 类型时，取值为 qos0 当订阅请求为 `confirmable` 类型时，取值为 qos1

publish_qos

类型	`Enum(qos0,qos1,qos2,coap)`
默认值	`coap`
描述	客户端发布请求的默认 QoS 等级。当 CoAP 客户端发起发布请求时，如果未携带 `qos` 参数则会使用该默认值。默认值可设置为： qos0、qos1、qos2: 设置为固定的 QoS 等级 coap: 依据发布操作的 CoAP 报文类型来动态决定当发布请求为 `non-confirmable` 类型时，取值为 qos0 当发布请求为 `confirmable` 类型时，取值为 qos1

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 `listeners.tcp.\<name>.mountpoint` 设置为 `some_tenant` 的情况下订阅 `t`，则客户端实际上订阅了 `some_tenant/t` 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 `t` 发送消息，则该消息被路由到所有订阅了 `some_tenant/t` 的客户端，因此客户端 A 将收到该消息，带有主题名称`t`。设置为 `""` 以禁用该功能。挂载点字符串中可用的变量： `${clientid}`：clientid `${username}`：用户名

listeners

类型	`Struct(udp_listeners)`

udp_listeners

udp

类型	`Map($name->Struct(udp_listener))`
描述	从监听器名称到配置参数的映射。

udp_listener

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls

类型	`Map($name->Struct(dtls_listener))`
描述	从监听器名称到配置参数的映射。

dtls_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls_options

类型	`Struct(dtls_opts)`
描述	DTLS Socket 配置

dtls_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[dtlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

enable
类型 Boolean
默认值 true
描述
是否启用该网关
enable_stats
类型 Boolean
默认值 true
描述
是否开启客户端统计

idle_timeout

类型	`Duration`
默认值	`30s`
描述	客户端连接过程的空闲时间。该配置用于：一个新创建的客户端进程如果在该时间间隔内没有收到任何客户端请求，将被直接关闭。一个正在运行的客户进程如果在这段时间后没有收到任何客户请求，将进入休眠状态以节省资源。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

clientinfo_override
类型 Struct(clientinfo_override)
描述
ClientInfo 重写。
clientinfo_override
- username
  类型 String
  描述
  username 重写模板
- password
  类型 String
  描述
  password 重写模板
- clientid
  类型 String
  描述
  clientid 重写模板

exproto

类型	`Struct(exproto)`

exproto

server

类型	`Struct(exproto_grpc_server)`
描述	配置 ExProto 网关需要启动的 `ConnectionAdapter` 服务。该服务用于提供客户端的认证、发布、订阅和数据下行等功能。

exproto_grpc_server

bind
类型 String
描述
服务监听地址和端口。

ssl_options

类型	`Struct(ssl_server_opts)`
描述	服务 SSL 配置。

ssl_server_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

handler

类型	`Struct(exproto_grpc_handler)`
描述	配置 ExProto 网关需要请求的 `ConnectionHandler` 服务地址。该服务用于给 ExProto 提供客户端的 Socket 事件处理、字节解码、订阅消息接收等功能。

exproto_grpc_handler

address
类型 String
描述
对端 gRPC 服务器地址。

service_name

类型	`OneOf(String("ConnectionHandler"),String("ConnectionUnaryHandler"))`
默认值	`ConnectionUnaryHandler`
描述	用于处理连接事件的服务名称在初始版本中，我们期望使用流来提高 ConnectionHandler 中请求的效率。但不幸的是，不同流之间的事件顺序混乱。这导致 OnSocketCreated 事件可能会在 OnReceivedBytes 之后到达。因此，自 v5.0.25 起，我们添加了 `ConnectionUnaryHandler` 服务，并强制在其中使用了 Unary，以避免顺序问题。

ssl_options

类型	`Struct(ssl_client_opts)`
描述	gRPC 客户端的 SSL 配置。

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

mountpoint

类型	`String`
默认值	`""`
描述	发布或订阅时，在所有主题前增加前缀字符串。当消息投递给订阅者时，前缀字符串将从主题名称中删除。挂载点是用户可以用来实现不同监听器之间的消息路由隔离的一种方式。例如，如果客户端 A 在 `listeners.tcp.\<name>.mountpoint` 设置为 `some_tenant` 的情况下订阅 `t`，则客户端实际上订阅了 `some_tenant/t` 主题。类似地，如果另一个客户端 B（连接到与客户端 A 相同的侦听器）向主题 `t` 发送消息，则该消息被路由到所有订阅了 `some_tenant/t` 的客户端，因此客户端 A 将收到该消息，带有主题名称`t`。设置为 `""` 以禁用该功能。挂载点字符串中可用的变量： `${clientid}`：clientid `${username}`：用户名

listeners

类型	`Struct(tcp_udp_listeners)`

tcp_udp_listeners

tcp

类型	`Map($name->Struct(tcp_listener))`
描述	从监听器名称到配置参数的映射。

tcp_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

tcp_options

类型	`Struct(tcp_opts)`
描述	TCP Socket 配置。

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

proxy_protocol

类型	`Boolean`
默认值	`false`
描述	是否开启 Proxy Protocol V1/2。当 EMQX 集群部署在 HAProxy 或 Nginx 后需要获取客户端真实 IP 时常用到该选项。参考：https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	接收 Proxy Protocol 报文头的超时时间。如果在超时内没有收到 Proxy Protocol 包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

ssl

类型	`Map($name->Struct(ssl_listener))`
描述	从监听器名称到配置参数的映射。

ssl_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

tcp_options

类型	`Struct(tcp_opts)`
描述	TCP Socket 配置。

tcp_opts

active_n
类型 Integer
默认值 100
描述
为此套接字指定{active，N}选项
See: https://erlang.org/doc/man/inet.html#setopts-2
backlog
类型 Integer(1..+inf)
默认值 1024
描述
TCP backlog 定义了挂起连接队列可以增长到的最大长度。

send_timeout

类型	`Duration`
默认值	`15s`
描述	连接的 TCP 发送超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

send_timeout_close
类型 Boolean
默认值 true
描述
如果发送超时，则关闭连接。

recbuf

类型	`Bytesize`
描述	连接的 TCP 接收缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	连接的 TCP 发送缓冲区（OS 内核）。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
默认值	`4KB`
描述	驱动程序使用的用户空间缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

high_watermark

类型	`Bytesize`
默认值	`1MB`
描述	当 VM 套接字实现内部排队的数据量达到此限制时，套接字将设置为忙碌状态。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

nodelay
类型 Boolean
默认值 true
描述
连接的 TCP_NODELAY 标识
reuseaddr
类型 Boolean
默认值 true
描述
连接的 SO_REUSEADDR 标识。

keepalive

类型	`String`
默认值	`none`
描述	为 MQTT 连接在 TCP 或 SSL 上启用 TCP 保活。值是以逗号分隔的三个数字，格式为 'Idle,Interval,Probes' Idle: 在服务器开始发送保活探测之前，连接需要处于空闲状态的秒数（Linux 默认为 7200）。 Interval: TCP 保活探测间隔的秒数（Linux 默认值为 75）。 Probes: 在放弃并终止连接之前，从另一端未获得响应时要发送的 TCP 保活探测的最大数量（Linux 默认值为 9 次）。例如 "240,30,5" 表示：在连接空闲 240 秒后发送 TCP 保活探测，每隔 30 秒发送一次，直到收到响应，如果连续丢失 5 个响应，连接应该被关闭。默认值为 'none'

proxy_protocol

类型	`Boolean`
默认值	`false`
描述	是否开启 Proxy Protocol V1/2。当 EMQX 集群部署在 HAProxy 或 Nginx 后需要获取客户端真实 IP 时常用到该选项。参考：https://www.haproxy.com/blog/haproxy/proxy-protocol/

proxy_protocol_timeout

类型	`Duration`
默认值	`3s`
描述	接收 Proxy Protocol 报文头的超时时间。如果在超时内没有收到 Proxy Protocol 包，EMQX 将关闭 TCP 连接。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

ssl_options

类型	`Struct(listener_ssl_opts)`
描述	SSL Socket 配置。

listener_ssl_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

udp

类型	`Map($name->Struct(udp_listener))`
描述	从监听器名称到配置参数的映射。

udp_listener

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls

类型	`Map($name->Struct(dtls_listener))`
描述	从监听器名称到配置参数的映射。

dtls_listener

acceptors
类型 Integer
默认值 16
描述
Acceptor 进程池大小。

udp_options

类型	`Struct(udp_opts)`

udp_opts

active_n
类型 Integer
默认值 100
描述
为 Socket 指定 {active, N} 选项。参见：https://erlang.org/doc/man/inet.html#setopts-2

recbuf

类型	`Bytesize`
描述	Socket 在内核空间接收缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	Socket 在内核空间发送缓冲区的大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

buffer

类型	`Bytesize`
描述	Socket 在用户空间的缓冲区大小。 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

reuseaddr
类型 Boolean
默认值 true
描述
允许重用本地处于 TIME_WAIT 的端口号。

enable
类型 Boolean
默认值 true
描述
是否启用该监听器。
bind
类型 String
描述
监听器绑定的 IP 地址或端口。
max_connections
类型 OneOf(Integer(1..+inf),String("infinity"))
默认值 1024
描述
监听器支持的最大连接数。
max_conn_rate
类型 Integer
默认值 1000
描述
监听器支持的最大连接速率。
enable_authn
类型 Boolean
默认值 true
描述
配置 true （默认值）启用客户端进行身份认证。配置 false 时，将不对客户端做任何认证。

mountpoint

类型 String

描述

${clientid}：clientid
${username}：用户名

access_rules
类型 Array(String)
默认值 []
描述
配置监听器的访问控制规则。见：https://github.com/emqtt/esockd#allowdeny

dtls_options

类型	`Struct(dtls_opts)`
描述	DTLS Socket 配置

dtls_opts

cacertfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cacert.pem"`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
默认值	`"${EMQX_ETC_DIR}/certs/cert.pem"`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
默认值 "${EMQX_ETC_DIR}/certs/key.pem"
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[dtlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

dhfile

类型	`String`
描述	如果协商使用 Diffie-Hellman 密钥交换的密码套件，则服务器将使用包含 PEM 编码的 Diffie-Hellman 参数的文件的路径。如果未指定，则使用默认参数。注意：TLS 1.3 不支持`dhfile`选项。

fail_if_no_peer_cert

类型	`Boolean`
默认值	`false`
描述	TLS/DTLS 服务器与 {verify，verify_peer} 一起使用。如果设置为 true，则如果客户端没有要发送的证书，即发送空证书，服务器将失败。如果设置为 false，则仅当客户端发送无效证书（空证书被视为有效证书）时才会失败。

honor_cipher_order

类型	`Boolean`
默认值	`true`
描述	一个重要的安全设置，它强制根据服务器指定的顺序而不是客户机指定的顺序设置密码，从而强制服务器管理员执行（通常配置得更正确）安全顺序。

client_renegotiation

类型	`Boolean`
默认值	`true`
描述	在支持客户机发起的重新协商的协议中，这种操作的资源成本对于服务器来说高于客户机。这可能会成为拒绝服务攻击的载体。 SSL 应用程序已经采取措施来反击此类尝试，但通过将此选项设置为 false，可以严格禁用客户端发起的重新协商。默认值为 true。请注意，由于基础密码套件可以加密的消息数量有限，禁用重新协商可能会导致长期连接变得不可用。

handshake_timeout

类型	`Duration`
默认值	`15s`
描述	握手完成所允许的最长时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

gc_after_handshake
类型 Boolean
默认值 false
描述
内存使用调优。如果启用，将在 TLS/SSL 握手完成后立即执行垃圾回收。TLS/SSL 握手建立后立即进行 GC。

ocsp

类型	`Struct(ocsp)`

ocsp

enable_ocsp_stapling
类型 Boolean
默认值 false
描述
是否为监听器启用 OCSP Stapling 功能。如果设置为 true，需要定义 OCSP Responder 的 URL 和证书签发者的 PEM 文件路径。
responder_url
类型 String
描述
用于检查服务器证书的 OCSP Responder 的 URL。
issuer_pem
类型 String
描述
服务器证书的 OCSP 签发者的 PEM 编码证书。

refresh_interval

类型	`Duration`
默认值	`5m`
描述	为服务器刷新 OCSP 响应的周期。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

refresh_http_timeout

类型	`Duration`
默认值	`15s`
描述	检查 OCSP 响应时，HTTP 请求的超时。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable_crl_check
类型 Boolean
默认值 false
描述
是否为该监听器启用 CRL 检查。

enable
类型 Boolean
默认值 true
描述
是否启用该网关
enable_stats
类型 Boolean
默认值 true
描述
是否开启客户端统计

idle_timeout

类型	`Duration`
默认值	`30s`
描述	客户端连接过程的空闲时间。该配置用于：一个新创建的客户端进程如果在该时间间隔内没有收到任何客户端请求，将被直接关闭。一个正在运行的客户进程如果在这段时间后没有收到任何客户请求，将进入休眠状态以节省资源。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

clientinfo_override
类型 Struct(clientinfo_override)
描述
ClientInfo 重写。
clientinfo_override
- username
  类型 String
  描述
  username 重写模板
- password
  类型 String
  描述
  password 重写模板
- clientid
  类型 String
  描述
  clientid 重写模板

prometheus

类型	`OneOf(Struct(recommend_setting),Struct(legacy_deprecated_setting))`
默认值	`{}`

recommend_setting

enable_basic_auth
类型 Boolean
默认值 false
描述
Enable or disable basic authentication for prometheus scrape api, not for Push Gateway

push_gateway

类型	`Struct(push_gateway)`
描述	Push Gateway is optional, should not be configured if prometheus is to scrape EMQX.

push_gateway

enable
类型 Boolean
默认值 false
描述
Enable or disable Pushgateway
url
类型 String
默认值 "http://127.0.0.1:9091"
描述
URL of Pushgateway server. Pushgateway is optional, should not be configured if prometheus is to scrape EMQX.

interval

类型	`Duration`
默认值	`15s`
描述	数据推送间隔 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

headers
类型 Map
默认值 {}
描述
推送到 Push Gateway 的 HTTP Headers 列表。
例如， { Authorization = "some-authz-tokens"}

job_name

类型	`String`
默认值	`"${name}/instance/${name}~${host}"`
描述	推送到 Push Gateway 的 Job 名称。可用变量为： ${name}: EMQX 节点的名称。 ${host}: EMQX 节点主机名。例如，当 EMQX 节点名为 `emqx@127.0.0.1` 则 name 变量的值为 `emqx`，host 变量的值为 `127.0.0.1`。默认值为: `${name}/instance/${name}~${host}`

collectors

类型	`Struct(collectors)`
描述	The internal advanced metrics of the virtual machine are initially disabled and are usually only enabled during performance testing. Enabling them will increase the CPU load.

collectors

vm_dist
类型 Enum(disabled,enabled)
默认值 disabled
描述
开启或关闭 VM 分布采集器，收集 Erlang 分布机制中涉及的套接字和进程的信息。
mnesia
类型 Enum(enabled,disabled)
默认值 disabled
描述
开启或关闭 Mnesia 采集器, 使用 mnesia:system_info/1 收集 Mnesia 相关指标
vm_statistics
类型 Enum(enabled,disabled)
默认值 disabled
描述
开启或关闭 VM 统计采集器, 使用 erlang:statistics/1 收集 Erlang VM 相关指标
vm_system_info
类型 Enum(enabled,disabled)
默认值 disabled
描述
开启或关闭 VM 系统信息采集器, 使用 erlang:system_info/1 收集 Erlang VM 相关指标

vm_memory

类型	`Enum(enabled,disabled)`
默认值	`disabled`
描述	开启或关闭 VM 内存采集器, 使用 erlang:memory/0 收集 Erlang 虚拟机动态分配的内存信息，同时提供基本的 (D)ETS 统计信息

vm_msacc
类型 Enum(enabled,disabled)
默认值 disabled
描述
开启或关闭 VM msacc 采集器, 使用 erlang:statistics(microstate_accounting) 收集微状态计数指标

legacy_deprecated_setting

push_gateway_server
类型 String
默认值 "http://127.0.0.1:9091"
描述
Deprecated since 5.4.0, use prometheus.push_gateway.url instead

interval

类型	`Duration`
默认值	`15s`
描述	Deprecated since 5.4.0, use `prometheus.push_gateway.interval` instead A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

headers
类型 Map
默认值 {}
描述
Deprecated since 5.4.0, use prometheus.push_gateway.headers instead
job_name
类型 String
默认值 "${name}/instance/${name}~${host}"
描述
Deprecated since 5.4.0, use prometheus.push_gateway.job_name instead
enable
类型 Boolean
默认值 false
描述
Deprecated since 5.4.0, use prometheus.push_gateway.url instead
vm_dist_collector
类型 Enum(disabled,enabled)
默认值 disabled
描述
Deprecated since 5.4.0, use prometheus.collectors.vm_dist instead
mnesia_collector
类型 Enum(enabled,disabled)
默认值 disabled
描述
Deprecated since 5.4.0, use prometheus.collectors.mnesia instead
vm_statistics_collector
类型 Enum(enabled,disabled)
默认值 disabled
描述
Deprecated since 5.4.0, use prometheus.collectors.vm_statistics instead
vm_system_info_collector
类型 Enum(enabled,disabled)
默认值 disabled
描述
Deprecated, use prometheus.collectors.vm_system_info instead
vm_memory_collector
类型 Enum(enabled,disabled)
默认值 disabled
描述
Deprecated since 5.4.0, use prometheus.collectors.vm_memory instead
vm_msacc_collector
类型 Enum(enabled,disabled)
默认值 disabled
描述
Deprecated since 5.4.0, use prometheus.collectors.vm_msacc instead

exhook

类型	`Struct(exhook)`

exhook

servers

类型	`Array(Struct(server))`
默认值	`[]`
描述	ExHook 服务器列表

server

name
类型 String
描述
ExHook 服务器名称
enable
类型 Boolean
默认值 true
描述
开启这个 Exhook 服务器
url
类型 String
描述
gRPC 服务器地址

request_timeout

类型	`Duration`
默认值	`5s`
描述	gRPC 服务器请求超时 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

failed_action
类型 Enum(deny,ignore)
默认值 deny
描述
当 gRPC 请求失败后的操作

ssl

类型	`Struct(ssl_conf)`

ssl_conf

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

socket_options

类型	`Struct(socket_options)`
默认值	`{keepalive = true, nodelay = true}`

socket_options

keepalive

类型	`Boolean`
默认值	`true`
描述	当没有其他数据交换时，是否向连接的对端套接字定期的发送探测包。如果另一端没有响应，则认为连接断开，并向控制进程发送错误消息。

nodelay
类型 Boolean
默认值 true
描述
如果为 true，则为套接字设置 TCP_NODELAY 选项，这意味着会立即发送数据包

recbuf

类型	`Bytesize`
描述	套接字的最小接收缓冲区大小 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

sndbuf

类型	`Bytesize`
描述	套接字的最小发送缓冲区大小 A string that represents a number of bytes, for example: `10B`, `640kb`, `4MB`, `1GB`. Units are interpreted as powers of 1024, and the unit part is case-insensitive.

auto_reconnect

类型	`OneOf(String("false"),Duration)`
默认值	`60s`
描述	自动重连到 gRPC 服务器的设置。当 gRPC 服务器不可用时，Exhook 将会按照这里设置的间隔时间进行重连，并重新初始化注册的钩子

pool_size
类型 Integer(1..+inf)
默认值 8
描述
gRPC 客户端进程池大小

psk_authentication

类型	`Struct(psk_authentication)`

psk_authentication

enable
类型 Boolean
默认值 false
描述
是否开启 TLS PSK 支持

init_file

类型	`String`
描述	如果设置了初始化文件，EMQX 将在启动时从初始化文件中导入 PSK 信息到内建数据库中。这个文件需要按行进行组织，每一行必须遵守如下格式: `PSKIdentity:SharedSecret` 例如: `mydevice1:c2VjcmV0`

separator
类型 String
默认值 ":"
描述
PSK 文件中 PSKIdentity 和 SharedSecret 之间的分隔符
chunk_size
类型 Integer
默认值 50
描述
将 PSK 文件导入到内建数据时每个块的大小

slow_subs

类型	`Struct(slow_subs)`

slow_subs

enable
类型 Boolean
默认值 false
描述
开启慢订阅

threshold

类型	`Duration`
默认值	`500ms`
描述	慢订阅统计的阈值 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

expire_interval

类型	`Duration`
默认值	`300s`
描述	慢订阅记录的有效时间 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

top_k_num
类型 Integer(1..+inf)
默认值 10
描述
慢订阅统计表的记录数量上限
stats_type
类型 Enum(whole,internal,response)
默认值 whole
描述
慢订阅的统计类型

opentelemetry

类型	`Struct(opentelemetry)`

opentelemetry

metrics

类型	`Struct(otel_metrics)`
描述	Open Telemetry Metrics configuration.

otel_metrics

enable
类型 Boolean
默认值 false
描述
启用或禁用 open telemetry 指标

interval

别名	scheduled_delay
类型	`Duration`
默认值	`10s`
描述	The delay interval between two consecutive exports of Open Telemetry signals. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

logs

类型	`Struct(otel_logs)`
描述	Open Telemetry Logs configuration. If enabled, EMQX installs a log handler that formats events according to Open Telemetry log data model and exports them to the configured Open Telemetry collector or backend.

otel_logs

level
类型 Enum(debug,info,notice,warning,error,critical,alert,emergency,all)
默认值 warning
描述
The log level of the Open Telemetry log handler.
enable
类型 Boolean
默认值 false
描述
启用或禁用 open telemetry 指标

scheduled_delay

类型	`Duration`
默认值	`1s`
描述	The delay interval between two consecutive exports of Open Telemetry signals. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

traces

类型	`Struct(otel_traces)`
描述	Open Telemetry Traces configuration.

otel_traces

enable
类型 Boolean
默认值 false
描述
启用或禁用 open telemetry 指标

scheduled_delay

类型	`Duration`
默认值	`5s`
描述	The delay interval between two consecutive exports of Open Telemetry signals. A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

filter

类型	`Struct(trace_filter)`
描述	Open Telemetry Trace Filter configuration

trace_filter

trace_all

类型	`Boolean`
默认值	`false`
描述	If enabled, all published messages are traced, a new trace ID is generated if it can't be extracted from the message. Otherwise, only messages published with trace context are traced. Disabled by default.

exporter

类型	`Struct(otel_exporter)`
描述	Open Telemetry Exporter

otel_exporter

endpoint
类型 String
默认值 "http://localhost:4317"
描述
The target URL to which the exporter is going to send Open Telemetry signal data.

ssl_options

类型	`Struct(ssl_client_opts)`
默认值	`{enable = false}`
描述	SSL configuration for the Open Telemetry exporter

ssl_client_opts

cacertfile

类型	`String`
描述	受信任的 PEM 格式 CA 证书捆绑文件此文件中的证书用于验证 TLS 对等方的证书。如果要信任新 CA，请将新证书附加到文件中。无需重启 EMQX 即可加载更新的文件，因为系统会定期检查文件是否已更新（并重新加载）注意：从文件中失效（删除）证书不会影响已建立的连接。

cacerts
类型 Boolean
描述
Deprecated since 5.1.4.

certfile

类型	`String`
描述	PEM 格式证书链文件此文件中的证书应与证书颁发链的顺序相反。也就是说，主机的证书应该放在文件的开头，然后是直接颁发者 CA 证书，依此类推，一直到根 CA 证书。根 CA 证书是可选的，如果想要添加，应加到文件到最末端。

keyfile
类型 String
描述
PEM 格式的私钥文件。
verify
类型 Enum(verify_peer,verify_none)
默认值 verify_none
描述
启用或禁用对等验证。
reuse_sessions
类型 Boolean
默认值 true
描述
启用 TLS 会话重用。

depth

类型	`Integer(0..+inf)`
默认值	`10`
描述	在有效的证书路径中，可以跟随对等证书的非自颁发中间证书的最大数量。因此，如果深度为 0，则对等方必须由受信任的根 CA 直接签名；如果是 1，路径可以是 PEER、中间 CA、ROOT-CA；如果是 2，则路径可以是 PEER、中间 CA1、中间 CA2、ROOT-CA。

password
类型 String
描述
包含用户密码的字符串。仅在私钥文件受密码保护时使用。

versions

类型	`Array(String)`
默认值	`[tlsv1.3, tlsv1.2]`
描述	支持所有 TLS/DTLS 版本注：PSK 的 Ciphers 无法在 `tlsv1.3` 中使用，如果打算使用 PSK 密码套件，请确保这里配置为 `["tlsv1.2","tlsv1.1"]`。

ciphers

类型	`Array(String)`
默认值	`[]`
描述	此配置保存由逗号分隔的 TLS 密码套件名称，或作为字符串数组。例如 `"TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256"`或 `["TLS_AES_256_GCM_SHA384","TLS_AES_128_GCM_SHA256"]`。密码（及其顺序）定义了客户端和服务器通过网络连接加密信息的方式。选择一个好的密码套件对于应用程序的数据安全性、机密性和性能至关重要。名称应为 OpenSSL 字符串格式（而不是 RFC 格式）。 EMQX 配置文档提供的所有默认值和示例都是 OpenSSL 格式注意：某些密码套件仅与特定的 TLS `版本`兼容（'tlsv1.1'、'tlsv1.2'或'tlsv1.3'）。不兼容的密码套件将被自动删除。例如，如果只有 `versions` 仅配置为 `tlsv1.3`。为其他版本配置密码套件将无效。注：PSK 的 Ciphers 不支持 tlsv1.3 如果打算使用 PSK 密码套件, `tlsv1.3` 应在`ssl.versions`中禁用。 PSK 密码套件： `"RSA-PSK-AES256-GCM-SHA384,RSA-PSK-AES256-CBC-SHA384, RSA-PSK-AES128-GCM-SHA256,RSA-PSK-AES128-CBC-SHA256, RSA-PSK-AES256-CBC-SHA,RSA-PSK-AES128-CBC-SHA, RSA-PSK-DES-CBC3-SHA,RSA-PSK-RC4-SHA"`

secure_renegotiate

类型	`Boolean`
默认值	`true`
描述	SSL 参数重新协商是一种允许客户端和服务器动态重新协商 SSL 连接参数的功能。 RFC 5746 定义了一种更安全的方法。通过启用安全的重新协商，您就失去了对不安全的重新协商的支持，从而容易受到 MitM 攻击。

log_level

类型	`Enum(emergency,alert,critical,error,warning,notice,info,debug,none,all)`
默认值	`notice`
描述	SSL 握手的日志级别。默认值是 'notice'，可以设置为 'debug' 用来调查 SSL 握手的问题。

hibernate_after

类型	`Duration`
默认值	`5s`
描述	在闲置一定时间后休眠 SSL 进程，减少其内存占用。 A string that represents a time duration, for example: `10s`, `2.5m`, `1h30m`, `1W2D`, or `2345ms`, which is the smallest unit. When precision is specified, finer portions of the duration may be ignored: writing `1200ms` for `Duration(s)` is equivalent to writing `1s`. The unit part is case-insensitive.

enable
类型 Boolean
默认值 false
描述
启用 TLS。

server_name_indication

类型 OneOf(String("disable"),String)

描述

api_key

类型	`Struct(api_key)`

api_key

bootstrap_file

类型	`String`
默认值	`""`
描述	用于在启动 EMQX 时，添加 API 密钥，其格式为 {appid}:{secret}，多个密钥用换行分隔。： `7e729ae70d23144b:2QILI9AcQ9BYlVqLDHQNWN2saIjBV4egr1CZneTNKr9CpK ec3907f865805db0:Ee3taYltUKtoBVD9C3XjQl9C6NXheip8Z9B69BpUv5JxVHL`

类型	`Integer`
默认值	`100`
描述	为此套接字指定{active，N}选项 See: https://erlang.org/doc/man/inet.html#setopts-2

配置手册 ​

listeners

tcp

enable

bind

acceptors

max_connections

mountpoint

enable_authn

max_conn_rate

messages_rate

bytes_rate

access_rules

proxy_protocol

proxy_protocol_timeout

tcp_options

active_n

backlog

send_timeout

send_timeout_close

recbuf

sndbuf

buffer

high_watermark

nodelay

reuseaddr

keepalive

ssl

enable

bind

acceptors

max_connections

mountpoint

enable_authn

max_conn_rate

messages_rate

bytes_rate

access_rules

proxy_protocol

proxy_protocol_timeout

tcp_options

active_n

backlog

send_timeout

send_timeout_close

recbuf

sndbuf

buffer

high_watermark

nodelay

reuseaddr

keepalive

ssl_options

cacertfile

cacerts

certfile

keyfile

verify

reuse_sessions

depth

password

versions

ciphers

secure_renegotiate

log_level

hibernate_after

dhfile

fail_if_no_peer_cert

honor_cipher_order

client_renegotiation

handshake_timeout

gc_after_handshake

ocsp

enable_ocsp_stapling

responder_url

issuer_pem

refresh_interval

refresh_http_timeout

enable_crl_check

ws

配置手册