首页 > 文章列表 > Go语言MQTT客户端如何正确加载并使用包含IP SAN的证书?

Go语言MQTT客户端如何正确加载并使用包含IP SAN的证书?

154 2025-03-18

Go语言MQTT客户端如何正确加载并使用包含IP SAN的证书?

Go语言MQTT客户端证书加载及IP SAN问题解决

本文介绍如何使用Go语言客户端连接需要CA证书的MQTT服务器,并重点解决证书缺少IP SAN导致连接失败的问题。

Go语言客户端加载证书的常见方法如下:

certPool := x509.NewCertPool()
caCertPath := "./mqtts-certificate.pem"

caCert, err := ioutil.ReadFile(caCertPath)
if err != nil {
    fmt.Println("读取证书文件错误:", err)
    return
}
certPool.AppendCertsFromPEM(caCert)

tlsConfig := &tls.Config{
    RootCAs:    certPool,
    MaxVersion: tls.VersionTLS12,
    MinVersion: tls.VersionTLS12,
}

conn, err := tls.Dial("tcp", "183.230.40.16:8883", tlsConfig)
if err != nil {
    panic(err)
}

然而,如果出现连接错误,很可能是因为您的证书mqtts-certificate.pem缺少IP SAN (Subject Alternative Name),这与一些MQTT客户端(例如mqtt.fx)的证书要求不同。

验证证书是否包含IP SAN:

您可以使用以下命令检查证书是否包含服务器IP地址的IP SAN:

openssl x509 -in MQTTS-certificate.pem -noout -text | grep "Subject Alternative Name"

如果命令输出包含服务器IP地址(例如183.230.40.16),则证书有效。否则,您需要获取包含正确IP SAN的有效证书。 请确保您的证书包含服务器IP地址作为IP SAN,以确保Go语言MQTT客户端能够成功连接。

来源:1740272255