MQTT单向认证服务器域名证书到期重签后,设备无法连上服务器

Moderator: ESP_Bob

xlfdan
Posts: 4
Joined: Wed Nov 25, 2020 8:09 am

MQTT单向认证服务器域名证书到期重签后,设备无法连上服务器

Postby xlfdan » Wed Nov 25, 2020 8:16 am

各位人才,您好,请教一个MQTT证书的问题如下,感谢您能回答一下:

1,
我们的域名证书是由 CA(证书签发机构) 的成员之一TrustAsia OV TLS Pro CA颁发的,
这个证书存放在服务器上,同时用来做为 HTTPS 网站(443端口)和 MQTT broker SSL certificate(8883端口)单向认证证书。
我们的MQTT设备的固件中,也导入并使用了这同一个的证书。

请注意:这个证书是由时间限制的,到期之后,必须要向CA重新再签发一个,这样,这个证书的内容就改变了。
这导致我们的MQTT设备无法连上MQTT服务器,请问,在MQTT的设备上,有没有一个"通用"的证书,
在设备上使用这个通用证书之后,不管服务器上的证书如何更新,设备都可以正常连接上MQTT服务器。

请问这个"通用"证书存在吗?在哪里可以得到它?

2,
如果事实上不存在一个上面的“通用”证书,那么我们应该在设备端导入什么样的证书,才能保持和服务器的连接而不管服务器上面
证书是否更新了。


3,
在乐鑫ESP编程指南中:
https://docs.espressif.com/projects/esp ... t=cert_pem
生成ESP32固件中使用的证书方法如下:
openssl s_client -showcerts -connect mqtt.eclipse.org:8883 </dev/null 2>/dev/null|openssl x509 -outform PEM >mqtt_eclipse_org.pem

如果设备中已经到入了上面生成的mqtt_eclipse_org.pem,
那么当服务器上面的域名证书到期并重新签发了,也就是证书改变了,那么已经出货的设备还能够正常连接到MQTT SSL 服务器吗?

如果不能连接到MQTT服务器,那么该如何处理?

athurg
Posts: 3
Joined: Thu Jan 28, 2021 7:39 am

Re: MQTT单向认证服务器域名证书到期重签后,设备无法连上服务器

Postby athurg » Thu Jan 28, 2021 7:56 am

考虑做OTA?

ROM自带一份缺省证书,上电后检测Flash上是否有证书,如果没有就写进去。

然后MQTT库始终使用Flash上的证书。

在运行时,通过某种方式(比如HTTP下载)热更新证书,并保存到Flash上并重启,这样就可以保持更新了。

Who is online

Users browsing this forum: No registered users and 12 guests