最近有项目需要用MQTT来做实时通讯,但是网上关于MQTT的ssl双向认证的资料十分少,终于在MQTT-Client的作者的github上得到一些回应,现在问题已解决,供大家参考!
MQTT协议是为大量计算能力有限,且工作在低带宽、不可靠的网络的远程传感器和控制设备通讯而设计的协议,它具有以下主要的几项特性:
1、使用发布/订阅消息模式,提供一对多的消息发布,解除应用程序耦合;
2、对负载内容屏蔽的消息传输;
3、使用 TCP/IP 提供网络连接;
4、有三种消息发布服务质量:
“至多一次”,消息发布完全依赖底层 TCP/IP 网络。会发生消息丢失或重复。这一级别可用于如下情况,环境传感器数据,丢失一次读记录无所谓,因为不久后还会有第二次发送。
“至少一次”,确保消息到达,但消息重复可能会发生。
“只有一次”,确保消息到达一次。这一级别可用于如下情况,在计费系统中,消息重复或丢失会导致不正确的结果。
5、小型传输,开销很小(固定长度的头部是 2 字节),协议交换最小化,以降低网络流量;
6、使用 Last Will 和 Testament 特性通知有关各方客户端异常中断的机制;
首先推荐使用MQTT-Client-FrameWork ,现在还一直维护,而且有什么问题提issue也有人回答,MQTT-Client-FrameWork 包提供的客户端类有 MQTTSession 和 MQTTSessionManager,建议使用后者维持静态资源,而且已经封装好自动重连等逻辑。初始化时需要传入相关的网络参数。具体如下:
---参数解释---
- host 主机
- ip 端口
- tls 是否使用ssl/tls认证
- keepalive 心跳是一个时间间隔,客户端有规律地向代理服务器发送PING Request消息。服务器用PING Response消息进行响应,这种机制可以使双方据此判定对方是否还活着以及能否到达。
- clean clean标志位向代理服务器表明客户端是否要建立持续的会话。持续的会话(CleanSession设置为false)意思是代理将存储所有服务质量 (QoS) 为1或2的客户端的订阅信息以及所有错过的消息。如果clean设置为true,则代理将不会存储客户端的任何信息,并将清除之前持续会话的所有信息。
- auth MQTT允许发送用户名和密码以便验证客户端的身份和进行授权。不过,如果密码未加密,也没有实现哈希加密,也未在后台使用TLS,那么密码将以明文形式发送。我们强烈建议你同时使用用户名和密码进行安全传输。在HiveMQ这类的代理上也可以使用SSL证书对客户端进行身份验证,这样就不需要用户名和密码了
- user 如果auth为yes 需要填用户名
- pass 如果auth为yes 需要填密码
- will 是否设遗嘱 是的话需要填写willTopic和willMsg 遗嘱消息是MQTT遗嘱特征的组成部分。当某个客户端恶意断开连接时,遗嘱消息将通知其他客户端。一个连接着的客户端将在CONNECT消息中以MQTT消息和主题的形式提供其遗嘱。如果客户端恶意断开了连接,代理将发送此消息来代表客户端
- willTopic 遗嘱的topic
- willMsg 遗嘱消息 nsdate类型 (注意:遗嘱的内容是改变不了的,亲测!)
- willQos 服务质量(QoS) 等级
- willRetainFlag 会话表示标志表示,代理和客户端之间自从前面的交互以来是否是持久会话。值为0,服务器必须在客户端断开之后继续存储/保持客户端的订阅状态。这些状态包括:
存储订阅的消息QoS1和QoS2消息
正在发送消息期间连接丢失导致发送失败的消息
以便当客户端重新连接时以上消息可以被重新传递。
值为1,服务器需要立刻清理连接状态数据。
(tips:断线重连时 如果为yes,会自动订阅回消息,如果为no,则要手动订阅topic,不然会收不到消息)
- clientId 客户端标识符(不能固定,每个用户需要不同的clientId,相同的会导致掉线),是每个连接到MQTT代理服务器的MQTT客户端的编号。单词identifier本身已经表明,ClientID应当是唯一的。代理服务器使用它来识别客户端以及当前的客户端状态。如果你不想让代理获得当前状态,那么在MQTT3.1.1(当前的标准)中也可以发送一个空的ClientID,这样的话,连接就不会附带任何状态。前提条件是clean为true,否则,连接会被拒绝。
双向认证方法:让后台生成 ca.crt 和 client.p12文件(client.p12文件由client.crt和client.key合成) 我使用的是自签证书
1.使用命令行把crt转化为der格式
openssl x509 -in ca.crt -out ca.der -outform der
MQTTSSLSecurityPolicyTransport *transport = [[MQTTSSLSecurityPolicyTransport alloc]init];
transport.host = d[@"ip"];
transport.port = [d[@"port"] intValue];
transport.tls = YES;
NSString* ca = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"ca" ofType:@"der"];
NSString* client = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"certificate" ofType:@"p12"];
transport.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
MQTTSSLSecurityPolicy *securityPolicy = [MQTTSSLSecurityPolicy policyWithPinningMode:MQTTSSLPinningModeCertificate];
securityPolicy.allowInvalidCertificates = YES;
securityPolicy.validatesDomainName = NO;
securityPolicy.validatesCertificateChain = NO;
securityPolicy.pinnedCertificates = @[[NSData dataWithContentsOfFile:ca]];
transport.securityPolicy = securityPolicy;
self.sessionManager = [[MQTTSessionManager alloc]init];
NSDictionary *dic = @{@"subject":@"disconnect"};
NSData *data = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil];
[self.sessionManager connectTo:d[@"ip"]
port: [d[@"port"] intValue]
tls:YES
keepalive:60
clean:NO
auth:YES
user:@"username"
pass:@"password"
will:YES
willTopic:@"/topic/lastwill"
willMsg:data
willQos:0
willRetainFlag:NO
withClientId: @"clientid"
securityPolicy:securityPolicy
certificates:
[MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"]];
// 添加监听状态观察者
self.sessionManager.delegate = self;
[self.sessionManager addObserver:self
forKeyPath:@"state"
options:NSKeyValueObservingOptionInitial | NSKeyValueObservingOptionNew
context:nil];
//订阅topic
self.sessionManager.subscriptions = [NSDictionary dictionaryWithObject:[NSNumber numberWithInt:MQTTQosLevelExactlyOnce] forKey:@"/topic/mqtt"];
// 获取服务器返回数据
- (void)handleMessage:(NSData *)data onTopic:(NSString *)topic retained:(BOOL)retained {
NSLog(@"------------->>%@",topic);
NSString *dataString = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
NSLog(@"%@",dataString);
}
- (void)observeValueForKeyPath:(NSString *)keyPath ofObject:(id)object change:(NSDictionary *)change context:(void *)context {
switch (self.manager.state) {
case MQTTSessionManagerStateClosed:
break;
case MQTTSessionManagerStateClosing:
break;
case MQTTSessionManagerStateConnected:
break;
case MQTTSessionManagerStateConnecting:
break;
case MQTTSessionManagerStateError:
break;
case MQTTSessionManagerStateStarting:
default:
break;
}
}
另外提供一个未封装的session的双向认证方法:
MQTTSSLSecurityPolicyTransport *transport = [[MQTTSSLSecurityPolicyTransport alloc] init];
transport.host = @"192.168.1.19";
transport.port = 8000;
transport.tls = YES;
NSString* ca = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"ca" ofType:@"der"];
NSString* client = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"certificate" ofType:@"p12"];
transport.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
MQTTSSLSecurityPolicy *securityPolicy = [MQTTSSLSecurityPolicy policyWithPinningMode:MQTTSSLPinningModeCertificate];
securityPolicy.allowInvalidCertificates = YES;
securityPolicy.validatesDomainName = NO;
securityPolicy.validatesCertificateChain = NO;
securityPolicy.pinnedCertificates = @[[NSData dataWithContentsOfFile:ca]];
transport.securityPolicy = securityPolicy;
_session = [[MQTTSession alloc] init];
_session.transport = transport;
_session.delegate = self;
_session.willFlag = YES;
_session.userName = @"userName";
_session.password = @"password";
_session.willQoS = MQTTQosLevelAtLeastOnce;
_session.willRetainFlag = NO;
_session.cleanSessionFlag = YES;
_session.willTopic = @"/app/lastwill" ;
_session.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
NSDictionary *dic = @{@"subject":@"disconnect"};
NSData *data1 = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil];
_session.willMsg = data1;
_session.clientId = @"ssid";
[_session connectAndWaitTimeout:30]; //this is part of the synchronous API
[_session subscribeToTopic:@"/topic/event" atLevel:1 subscribeHandler:^(NSError *error, NSArray *gQoss){
}];
参考:
- https://help.aliyun.com/document_detail/47755.html?spm=5176.doc44878.6.650.ZzdGf6
- https://coyee.com/search?q=mqtt
- https://github.com/novastone-media/MQTT-Client-Framework/issues/396