TLS证书验证失败

Question

我在一个Raspberry Pi中建立了一个Mosquitto代理，并使用OpenSSL创建了自签名的TLS服务器证书。配置工作为，我可以从终端以及从MQTTBox和MQTT.fx成功地将与莫基托客户端连接起来。

但是，当试图连接Python和Paho-MQTT时，出现以下错误

import paho.mqtt.client as mqtt

# SETTINGS & CONSTANTS
(...)
TLS_CA = "./tls/mqtt.crt"

# MQTT CALLBACKS
(...)

# INIT & CONNECT CLIENT
client = mqtt.Client(DEVICE_ID)
(...)
client.tls_set(TLS_CA)                                                                     
client.username_pw_set(MQTT_USER, MQTT_PSWD)                                               
client.connect(MQTT_HOST, MQTT_PORT, MQTT_KEEPALIVE)

我得到以下错误：

File "/usr/lib/python3.4/ssl.py", line 804, in do_handshake
self._sslobj.do_handshake()
ssl.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)

我尝试过很多事情：

1)将自签名证书插入Raspbian ca证书中。

sudo mkdir /usr/local/share/ca-certificates/extra
sudo cp mqtt.crt /usr/local/share/ca-certificates/extra/mqtt.crt
sudo update-ca-certificates

2)使用泛美卫生组织的tls_set()选项。我认为ca_certs=mqtt.crt和tls_version=ssl.PROTOCOL_TLSv1应该足够了。

3)使用tls_insecure_set(True)。我知道这不是一个有效的解决办法，但我只是想尝试一下，如果发生了什么。结果仍然是CERTIFICATE_VERIFY_FAILED错误

4)使用Python 2.7.9和Python3.4.2

实际上我的想法已经用光了

Answer 1

经过很长一段时间的尝试和阅读，我意识到这个问题是由自我签署的证书引起的。我为CA和broker生成了具有不同公共名称的新证书，一切看起来都很好。