基于IDF版本v4.3.4,ESP32S2,mqtt服务器为mosquitto。
首先生成证书和密钥,参考MQTT服务-Mosquitto简单安装及TLS双向认证配置 - 程序员大本营,得到以下文件:
ca.crt #自签CA自己的证书,mqtt服务端和客户端需要各持一份,用来校验对方的证书的有效性
ca.key #CA自己的密钥,不能泄漏出去
client.crt #CA颁发给客户端的证书,由客户端保留,服务端用这个校验客户端
client.key #客户端的密钥
server.crt #CA颁发给服务端的证书,由服务端保留,客户端用这个校验服务端
server.key #服务端的密钥
特别注意自签CA时填写的common name部分,由于是自己签发的,所以通常没有域名,可以用服务器ip代替或者干脆空着,这会可能导致校验时报服务器与证书不匹配的错误,需要客户端关闭校验服务端域名的(hostname verify或者common name check)。
然后mosquitto服务器添加一份配置如下,可以不指定tls_version,如果限制了tls版本,则需在idf中确保所支持的tls版本与服务器的一致:idf.py menuconfig->Component config->mbed
TLS->Support TLS xxx protocol。配置完成后重启mosquitto。
log_type all
#不设置端口,那么在外网访问不到该mqtt服务
listener 1883 #mqtt非加密端口
#8883端口是默认的mqtt tls端口,和1883不同,向8883端口发起非加密连接会报Protocol error
listener 8883
cafile /etc/mosquitto/MyCA/ca.crt
certfile /etc/mosquitto/MyCA/server.crt
keyfile /etc/mosquitto/MyCA/server.key
tls_version tlsv1.2
allow_anonymous true #不允许匿名用户require_certificate true #必须提供证书以保证数据安全性use_identity_as_username true # 若require_certificate值为true,use_identity_as_username也必须为true
然后是ESP32的代码部分,基于esp-idf-v4.3.4的样例代码中的ssl_mutual_auth例程,这个例程是与正式网站test.mosquitto.org进行TLS双向认证通信,由于这里用自签CA,没有正式域名,所以需要对原有mqtt客户端配置做修改如下:
const esp_mqtt_client_config_t mqtt_cfg = {
.host = "192.168.0.40",//mqtt服务器的ip
.uri = NULL,//没有正式域名,不要写‘mqtts://192.168.0.40’
.port = 8883,//指定8883端口
.username = "admin",
.password = "123456",
.client_cert_pem = (const char *)client_cert_pem_start,//client.crt
.client_key_pem = (const char *)client_key_pem_start,//client.key
.cert_pem = (const char *)server_cert_pem_start, //ca.crt
.transport = MQTT_TRANSPORT_OVER_SSL,//必须显式指明用ssl,
//.disable_auto_reconnect = false,
.skip_cert_common_name_check = true,//不要校验服务器的域名
};
特别注意以下几个成员:
cert_pem:这个用的是给服务器颁发证书的CA机构的证书,也就是上面的ca.crt,不是服务器的证书server.crt,如果这个证书不能校验和服务器证书,那么在mosquitto的日志中会记录Protoco Error。
transport:因为服务器没有域名,仅通过host和port项无法判断是否启动用ssl,所以这里必须赋值成MQTT_TRANSPORT_OVER_SSL,否则ESP32会输出日志告警“SSL related configs set, but the transport protocol is a non-SSL scheme”,并且无法建立mqtt连接。
skip_cert_common_name_check:由于是自签CA,服务器和签CA机器的都没域名,而且当服务器ip与CA证书的common name内的ip不匹配时,会导致客户端报证书和服务器不匹配的错误,比如返回错误码-0x2700,此时设置skip_cert_common_name_check=true,则即使是服务器与证书不匹配,客户段端也会与服务器建立mqtt连接。
然后编译,烧写程序,运行ok。
查看mosquitto的日志 cat /var/log/mosquitto/mosquitto.log