基于IDF版本v4.3.4,ESP32S2,mqtt服务器为mosquitto。

首先生成证书和密钥,参考MQTT服务-Mosquitto简单安装及TLS双向认证配置 - 程序员大本营,得到以下文件:

ca.crt  #自签CA自己的证书,mqtt服务端和客户端需要各持一份,用来校验对方的证书的有效性

ca.key #CA自己的密钥,不能泄漏出去  

client.crt #CA颁发给客户端的证书,由客户端保留,服务端用这个校验客户端

client.key #客户端的密钥

server.crt #CA颁发给服务端的证书,由服务端保留,客户端用这个校验服务端

server.key #服务端的密钥

特别注意自签CA时填写的common name部分,由于是自己签发的,所以通常没有域名,可以用服务器ip代替或者干脆空着,这会可能导致校验时报服务器与证书不匹配的错误,需要客户端关闭校验服务端域名的(hostname  verify或者common name check)。

然后mosquitto服务器添加一份配置如下,可以不指定tls_version,如果限制了tls版本,则需在idf中确保所支持的tls版本与服务器的一致:idf.py menuconfig->Component config->mbed

TLS->Support TLS xxx protocol。配置完成后重启mosquitto。

log_type all

#不设置端口,那么在外网访问不到该mqtt服务
listener 1883 #mqtt非加密端口
#8883端口是默认的mqtt tls端口,和1883不同,向8883端口发起非加密连接会报Protocol error
listener 8883 

cafile /etc/mosquitto/MyCA/ca.crt
certfile /etc/mosquitto/MyCA/server.crt
keyfile /etc/mosquitto/MyCA/server.key

tls_version tlsv1.2
allow_anonymous true    #不允许匿名用户require_certificate true #必须提供证书以保证数据安全性use_identity_as_username true  # 若require_certificate值为true,use_identity_as_username也必须为true

然后是ESP32的代码部分,基于esp-idf-v4.3.4的样例代码中的ssl_mutual_auth例程,这个例程是与正式网站test.mosquitto.org进行TLS双向认证通信,由于这里用自签CA,没有正式域名,所以需要对原有mqtt客户端配置做修改如下:

const esp_mqtt_client_config_t mqtt_cfg = {
        .host = "192.168.0.40",//mqtt服务器的ip
        .uri = NULL,//没有正式域名,不要写‘mqtts://192.168.0.40’
        .port = 8883,//指定8883端口
        .username = "admin",
        .password = "123456",
        .client_cert_pem = (const char *)client_cert_pem_start,//client.crt
        .client_key_pem = (const char *)client_key_pem_start,//client.key
        .cert_pem = (const char *)server_cert_pem_start, //ca.crt
        .transport = MQTT_TRANSPORT_OVER_SSL,//必须显式指明用ssl,
        //.disable_auto_reconnect = false,
        .skip_cert_common_name_check = true,//不要校验服务器的域名
    };

特别注意以下几个成员:

cert_pem:这个用的是给服务器颁发证书的CA机构的证书,也就是上面的ca.crt,不是服务器的证书server.crt,如果这个证书不能校验和服务器证书,那么在mosquitto的日志中会记录Protoco Error。

transport:因为服务器没有域名,仅通过host和port项无法判断是否启动用ssl,所以这里必须赋值成MQTT_TRANSPORT_OVER_SSL,否则ESP32会输出日志告警“SSL related configs set, but the transport protocol is a non-SSL scheme”,并且无法建立mqtt连接。

skip_cert_common_name_check:由于是自签CA,服务器和签CA机器的都没域名,而且当服务器ip与CA证书的common name内的ip不匹配时,会导致客户端报证书和服务器不匹配的错误,比如返回错误码-0x2700,此时设置skip_cert_common_name_check=true,则即使是服务器与证书不匹配,客户段端也会与服务器建立mqtt连接。

然后编译,烧写程序,运行ok。

适用于esp32的中文ttf字库 esp32 tls_适用于esp32的中文ttf字库

 查看mosquitto的日志 cat /var/log/mosquitto/mosquitto.log

适用于esp32的中文ttf字库 esp32 tls_物联网_02