MQTT/SSL 监听器 - 8883

SSL 监听端口:

  1. listener.ssl.external = 8883

接收池大小:

  1. listener.ssl.external.acceptors = 16

最大并发连接数:

  1. listener.ssl.external.max_connections = 102400

每秒最大创建连接数:

  1. listener.ssl.external.max_conn_rate = 500

监听器使用的 Zone:

  1. listener.ssl.external.zone = external

挂载点:

  1. ## listener.ssl.external.mountpoint = devicebound/

访问控制规则:

  1. listener.ssl.external.access.1 = allow all

TCP 数据接收速率限制:

  1. ## listener.ssl.external.rate_limit = 1024,4096

EMQ X 集群部署在 HAProxy 或 Nginx 时,是否启用代理协议 V1/2:

  1. ## listener.ssl.external.proxy_protocol = on

代理协议的超时时间:

  1. ## listener.ssl.external.proxy_protocol_timeout = 3s

TLS 版本,防止 POODLE 攻击:

  1. ## listener.ssl.external.tls_versions = tlsv1.2,tlsv1.1,tlsv1

TLS 握手超时时间:

  1. listener.ssl.external.handshake_timeout = 15s

包含用户私钥的文件的路径:

  1. listener.ssl.external.keyfile = etc/certs/key.pem

包含用户证书的文件的路径:

  1. listener.ssl.external.certfile = etc/certs/cert.pem

包含 CA 证书的文件的路径:

  1. ## listener.ssl.external.cacertfile = etc/certs/cacert.pem

包含 dh-params 的文件的路径:

  1. ## listener.ssl.external.dhfile = etc/certs/dh-params.pem

配置 verify 模式,服务器只在 verify_peer 模式下执行 x509 路径验证,并向客户端发送一个证书请求:

  1. ## listener.ssl.external.verify = verify_peer

服务器为 verify_peer 模式时,如果客户端没有要发送的证书,服务器是否返回失败:

  1. ## listener.ssl.external.fail_if_no_peer_cert = true

SSL cipher suites:

  1. listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-DES-CBC3-SHA,ECDH-ECDSA-AES256-GCM-SHA384,ECDH-RSA-AES256-GCM-SHA384,ECDH-ECDSA-AES256-SHA384,ECDH-RSA-AES256-SHA384,DHE-DSS-AES256-GCM-SHA384,DHE-DSS-AES256-SHA256,AES256-GCM-SHA384,AES256-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDH-ECDSA-AES128-GCM-SHA256,ECDH-RSA-AES128-GCM-SHA256,ECDH-ECDSA-AES128-SHA256,ECDH-RSA-AES128-SHA256,DHE-DSS-AES128-GCM-SHA256,DHE-DSS-AES128-SHA256,AES128-GCM-SHA256,AES128-SHA256,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,ECDH-ECDSA-AES256-SHA,ECDH-RSA-AES256-SHA,AES256-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,ECDH-ECDSA-AES128-SHA,ECDH-RSA-AES128-SHA,AES128-SHA

是否启动更安全的 renegotiation 机制:

  1. ## listener.ssl.external.secure_renegotiate = off

是否允许客户端重用一个已存在的会话:

  1. ## listener.ssl.external.reuse_sessions = on

是否强制根据服务器指定的顺序而不是客户端指定的顺序设置密码:

  1. ## listener.ssl.external.honor_cipher_order = on

使用客户端证书中的 CN、EN 或 CRT 字段作为用户名。注意,“verify” 应该设置为 “verify_peer”:

  1. ## listener.ssl.external.peer_cert_as_username = cn

挂起连接的队列的最大长度:

  1. ## listener.ssl.external.backlog = 1024

TCP 发送超时时间:

  1. ## listener.ssl.external.send_timeout = 15s

发送超时时是否关闭 TCP 连接:

  1. ## listener.ssl.external.send_timeout_close = on

用于 MQTT 连接的 TCP 接收缓冲区(os 内核):

  1. #listener.ssl.external.recbuf = 2KB

用于 MQTT 连接的 TCP 发送缓冲区(os 内核):

  1. ## listener.ssl.external.sndbuf = 4KB

驱动程序使用的用户级软件缓冲区的大小,不要与选项 sndbuf 和 recbuf 混淆, 它们对应于内核套接字缓冲区。建议使用 val(buffer) >= max(val(sndbuf),val(recbuf)) 来避免不必要的复制带来的性能问题。当设置 sndbuf 或 recbuf 值时,val(buffer) 自动设置为上述最大值:

  1. ## listener.ssl.external.buffer = 4KB

是否设置 buffer = max(sndbuf, recbuf):

  1. ## listener.ssl.external.tune_buffer = off

是否设置 TCP_NODELAY 标志。如果启用该选项,发送缓冲区一旦有数据就会尝试发送:

  1. ## listener.ssl.external.nodelay = true

是否设置 SO_REUSEADDR 标志:

  1. listener.ssl.external.reuseaddr = true