EMQ X 服务器 SSLTLS 安全连接配置指南

EMQ X 内置对 TLS/DTLS 的支持，包括支持单双向认证、X.509 证书等多种身份认证和 LB Proxy Protocol V1/2 等。你可以为 EMQ X 支持的所有协议启用 TLS/DTLS，也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文以自签证书的方式介绍如何在 EMQ X 中为 MQTT 启用 TLS。

查看证书

查看证书

创建 Root CA 自签名证书的步骤与前文一致，不再赘述。

与前文类似，只不过需要将 Root CA 的信息替换成 Second CA 的。最后我们将得到以下文件：

Note: Client 既可以使用 root-cacert.pem 与 second-cacert.pem 合并后的 cacert.pem ，也可以使用 second-cacert.pem 。

假设你已经成功安装了 EMQ X，我们将之前生成的证书一并拷贝到 emqx/etc/certs 目录下：

然后修改 emqx.conf 配置如下：

启动 EMQ X 并将日志等级改为 Debug。

使用 openssl s_client 连接 EMQ X 并发送一个 Client ID 为 "a" 的 MQTT Connect 报文。

如果你在 emqx/log/erlang.log.1 中看到以下日志，说明 SSL 认证成功。

EMQ X 继续保持运行，编译并启动 emqtt 。

连接建立成功，可以正常订阅发布，SSL 单向认证测试通过。

EMQ X 继续保持运行，启动 mqtt.fx，参照下图完成配置：

**Note: **这里只能使用 second-cacert.pem 作为 CA Certificate。

点击 Connect 按钮，连接成功，并且可以正常订阅发布，SSL 双向认证通过。

修改 emqx.conf 配置如下：

启动 EMQ X 并将日志等级改为 Debug。

使用 openssl s_client 连接 EMQ X 并发送一个 Client ID 为 "a" 的 MQTT Connect 报文。

如果你在 emqx/log/erlang.log.1 中看到以下日志，说明 SSL 双向认证成功。

EMQ X 继续保持运行，启动 emqtt 。

连接建立成功，可以正常订阅发布，SSL 双向认证测试通过。

EMQ X 继续保持运行，启动 mqtt.fx，参照下图完成配置：

Note: CA File 可以使用 root-cacert.pem 与 second-cacert.pem 合并后的 cacert.pem ，也可以使用 second-cacert.pem 。

点击 Connect 按钮，连接成功，并且可以正常订阅发布，SSL 双向认证通过。

使用SSL开启重协商的服务都会受该漏洞影响

该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的，renegotiation被用于浏览器到服务器之间的验证。

虽然目前可以在不启用renegotiation进程的情况下使用HTTPS，但很多服务器的默认设置均启用了renegotiation功能。

该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说，则需要20台电脑和120Kbps的网络连接即可实现。

SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。

一、Apache解决办法：

升级到Apache 2.2.15以后版本

二、IIS解决办法：

IIS 5.0启用SSL服务时，也会受影响。可以升级IIS 6.0到更高的版本。

三、Lighttpd解决办法：

建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。

四、Nginx解决办法：

0.7.x升级到nginx 0.7.64

0.8.x升级到 0.8.23 以及更高版本。

五、Tomcat解决办法：

1、使用NIO connector代替BIO connector，因为NIO不支持重协商，参考如下配置：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol">

（可能会影响Tomcat性能）；

2、配置Nginx反向代理，在Nginx中修复OpenSSL相关问题。

六、Squid解决办法:

升级到3.5.24以及以后版本

扩展资料：

分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的。

分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，这样就使得这种攻击在发生的时候隐蔽性是非常好的，同时要对攻击进行检测也是非常困难的，因此这种攻击方式也成为了非常难以防范的攻击。

参考资料来源：百度百科--分布式拒绝服务攻击

---