作者：ptonlix
來源：CSDN
原文：https://blog.csdn.net/ptonlix/article/details/79866925

本人是轉載的。

前言

這是一個使用C語言實現的MQTT/TLS的客戶端程序，主要應用在各類嵌入式產品。如果想使用在Android設備上，讀者可以參考Paho mqtt。

簡單介紹MQTT

MQTT遙測傳輸（MQ Telemetry Transport，MQTT）是一個輕量級的基于代理的發(fā)布/訂閱式消息傳輸協(xié)議，它的設計目標是開放、簡單、輕量和易于實現。這些特征使它適用于各種受限環(huán)境，比如，但不限于：
網絡代價昂貴，低帶寬或不可靠。
在嵌入設備中運行，處理器和內存資源有限。
該協(xié)議的特性包括：
使用發(fā)布/訂閱消息模式，提供一對多的消息分發(fā)，解除應用程序耦合。
消息傳輸對有效載荷內容不可知。
使用TCP/IP提供基礎網絡連接。
有3個消息發(fā)布服務質量級別：
“至多一次”，消息發(fā)布完全依賴于底層TCP/IP網絡。消息有可能丟失或重復。這一級別可應用于如下情景，如環(huán)境傳感器數據，丟失一次讀記錄無所謂，因為很快下一次讀記錄就會產生。
“至少一次”，確保消息到達，但消息重復有可能發(fā)生。
“只有一次”，確保消息到達且只到達一次。這一級別可用于如計費系統(tǒng)等場景，在計費系統(tǒng)中，消息丟失或重復可能會導致生成錯誤的費用。
輕量傳輸，開銷很小（固定頭部的長度只有2字節(jié)），協(xié)議交換最小化，以降低網絡流量。
提供一種機制，當客戶端異常中斷時，利用 Last Will 和 Testament 特性來通知有關各方。

該協(xié)議規(guī)范主要分為3個主要部分：

對所有類型的數據包都通用的消息格式
每種特定數據包的具體細節(jié)
數據包如何在服務器和客戶端之間傳輸
上面的介紹，都很常見，不想深究的話，只需要了解，MQTT可以根據不同的主題，去訂閱和發(fā)布消息。

簡單介紹TLS

這里我推薦一個個網站，我個人認為介紹TLS比較通俗易懂：
http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html

編程角度去簡單理解TLS：

image.png

LS是在TCP/IP協(xié)議中位于應用層和TCP層中間， 例如：
MQTT / HTTP
———
TLS
———
TCP
———
IP
———
數據鏈路層
———
物理層

搭建MQTT服務器

在實現MQTT客戶端之前，我們需要有一個服務器去驗證我們的客戶端，所以我們先搭建一個MQTT服務器。
我的環(huán)境是在ubuntu kylin 64位機器上，我使用的是mosquitto來搭建MQTT服務器。

sudo apt-get install mosquitto

對于Ubuntu系統(tǒng)來說，直接運行該命令就可以安裝了，可能其他系統(tǒng)不行，那就需要百度mosquitto源碼來安裝，過程也很簡單網上很多教程。
安裝成功后，接下來我們需要配置mosquitto.conf文件，這是mosquitto的啟動時需要加載的文件。

cd /etc/mosquitto
sudo vi mosquitto.conf

1.配置用戶名密碼

這里需要配置三個字段
allow_anonymous允許匿名
password_file密碼文件
acl_file訪問控制列表

生成用戶名密碼

mosquitto_passwd -c /etc/mosquitto/passwd pub_client
-c :是新打開文件
之后鍵入密碼

mosquitto_passwd /etc/mosquitto/passwd sub_client
之后鍵入密碼

生成acl_file文件
sudo vi /etc/mosquitto/acl
輸入內容
user pub_client
topic write mtopic/#

user sub_client
topic read mtopic/#

這個文件是添加MQTT Topic和用戶的關系

2.使用openssl 生成服務器證書和客戶端證書

我們的客戶端采用TLS雙向驗證，如有需要可以進行相應的修改變成單向驗證。

安裝openssl
sudo apt-get install openssl

創(chuàng)建CA證書
1.在/home/ptonlix/work”目錄下創(chuàng)建openssl目錄：
mkdir -p /home/ptonlix/work/openssl
2.將原openssl目錄下的ssl/misc/CA.sh拷貝到自己創(chuàng)建的測試目錄下：
cp /usr/lib/ssl/misc/CA.sh /home/ptonlix/work/openssl
3.創(chuàng)建主證書：
./CA.sh -newca
按照提示完成需要填寫的信息，若生成成功會在當前目錄下的demoCA目錄下生成證書文件，demoCA/private/cakey.pem為ca證書私鑰，demoCA/cacert.pem為ca根證書。

生成服務器證書

1.生成服務器私鑰：
openssl genrsa -des3 -out server.key 1024
2.生成csr文件：
openssl req -new -key server.key -out server.csr
3.簽名并生成證書：
openssl ca -in server.csr -out server.crt
生成客戶端證書
1.生成客戶端私鑰：
openssl genrsa -des3 -out client.key 1024
2生成csr文件：
openssl req -new -key client.key -out client.csr
3簽名并生成證書：
openssl ca -in client.csr -out client.crt
完成mosquitto.conf文件
現在已經生成了上述幾個文件了，現在根據上述文件的路徑來配置相應的配置文件的字段，下面貼上我的例子，僅供參考：

pid_file /var/run/mosquitto.pid

persistence true
persistence_location /var/lib/mosquitto/
allow_anonymous false
password_file /etc/mosquitto/passwd
acl_file /etc/mosquitto/acl
#log_dest file /var/log/mosquitto/mosquitto.log
cafile /home/ptonlix/work/ca_certificates/cacert.pem
certfile /home/ptonlix/work/certs/server.crt
keyfile /home/ptonlix/work/certs/server.key
require_certificate true
port 8883
#include_dir /etc/mosquitto/conf.d

如果需要上述字段的詳細解釋，大家可以百度，可以參考mosquitto自帶的例子，路徑如下：

/usr/share/doc/mosquitto/examples/mosquitto.conf
運行mosquitto服務器
mosquitto -c mosquitto.conf

輸入你生成CA證書時的密碼，即可運行mqtt服務器，帶TLS的！！