EMQX启用单向认证的SSl/TLS连接的配置步骤

先确保您已经安装了 OpenSSL

执行openssl version -a 获取 openssl.cnf 目录

生成自签名服务端证书

1. CA 证书生成 server-ca.crt

openssl req \
    -new \
    -newkey rsa:2048 \
    -days 365 \
    -nodes \
    -x509 \
    -subj "/C=CN/O=EMQ Technologies Co., Ltd/CN=EMQ CA" \
    -keyout server-ca.key \
    -out server-ca.crt

subj 依据实际使用情况调整

2. 服务端秘钥生成 server.key

openssl genrsa -out server.key 2048

3. 生成服务端证书请求文件 server.csr

openssl req -new -key server.key -config 
 /etc/pki/tls/openssl.cnf -out server.csr

需要注意openssl.cnf的路径

4. 用 CA 证书给服务端证书签名，生成服务端证书 server.crt

openssl x509 -req \
    -days 365 \
    -sha256 \
    -in server.csr \
    -CA server-ca.crt \
    -CAkey server-ca.key \
    -CAcreateserial -out server.crt \
    -extensions v3_req -extfile /etc/pki/tls/openssl.cnf

5. 查看服务端证书信息

openssl x509 -noout -text -in server.crt

6. 验证证书

openssl verify -CAfile server-ca.crt server.crt

EMQX Dashboard的配置

MQTTX client的配置

参考官网地址：https://docs.emqx.com/zh/cloud/latest/deployments/tls_ssl.html#生成自签名证书