Verschlüsselte Verbindung aufbauen

[ChrisLasar]

Hi,
reichen die beiden Einträge

certfile /etc/config/server.pem
keyfile /etc/config/server.pem

wirklich für eine verschlüsselte Verbindung?
Benötige ich nicht noch einen Eintrag cafile <ca.crt>?

Das <ca.crt> verwende ich doch dann auch auf dem Client, oder? Woher bekomme ich die Datei? Wer ist der CA?

[mattison16]

Hallo,
es wird auch noch ein Eintrag cafile benötigt:

cafile /etc/config/server.pem
certfile /etc/config/server.pem
keyfile /etc/config/server.pem

Aus der Doku:
At least one of cafile or capath must be provided to enable SSL support.

Wäre schön, wenn die listener-mqtts.conf noch um die Zeile erweitert werden könnte.

Ohne die Zeile wird ein unverschlüsselter LISTENER auf dem Port geöffnet!

Wenn der Client, z.B. mosquitto_pub, eine CA für das Broker Zertifikat benötigt, kann man das Zertifikat aus der /etc/config/server.pem extrahieren (ist ein einfaches Text File) und auf den Client bringen und im Aufruf --cafile <hm.crt> übergeben.
Wenn es ein anderer Client ist, z.B. Microcontroler, liegt es an der Programmierung wie man das Zertifikat des MQTT Brokers für sicher erklärt.
Viele Grüße Mattison