最近有项目需要用MQTT来做实时通讯，但是网上关于MQTT的ssl双向认证的资料十分少，终于在MQTT-Client的作者的github上得到一些回应，现在问题已解决，供大家参考!

MQTT协议是为大量计算能力有限，且工作在低带宽、不可靠的网络的远程传感器和控制设备通讯而设计的协议，它具有以下主要的几项特性：
1、使用发布/订阅消息模式，提供一对多的消息发布，解除应用程序耦合；
2、对负载内容屏蔽的消息传输；
3、使用 TCP/IP 提供网络连接；
4、有三种消息发布服务质量：
“至多一次”，消息发布完全依赖底层 TCP/IP 网络。会发生消息丢失或重复。这一级别可用于如下情况，环境传感器数据，丢失一次读记录无所谓，因为不久后还会有第二次发送。
“至少一次”，确保消息到达，但消息重复可能会发生。
“只有一次”，确保消息到达一次。这一级别可用于如下情况，在计费系统中，消息重复或丢失会导致不正确的结果。
5、小型传输，开销很小（固定长度的头部是 2 字节），协议交换最小化，以降低网络流量；
6、使用 Last Will 和 Testament 特性通知有关各方客户端异常中断的机制；

首先推荐使用MQTT-Client-FrameWork ,现在还一直维护,而且有什么问题提issue也有人回答,MQTT-Client-FrameWork 包提供的客户端类有 MQTTSession 和 MQTTSessionManager，建议使用后者维持静态资源，而且已经封装好自动重连等逻辑。初始化时需要传入相关的网络参数。具体如下：

---参数解释---

• host 主机
• ip 端口
• tls 是否使用ssl/tls认证
• keepalive 心跳是一个时间间隔，客户端有规律地向代理服务器发送PING Request消息。服务器用PING Response消息进行响应，这种机制可以使双方据此判定对方是否还活着以及能否到达。
• clean clean标志位向代理服务器表明客户端是否要建立持续的会话。持续的会话（CleanSession设置为false）意思是代理将存储所有服务质量 (QoS) 为1或2的客户端的订阅信息以及所有错过的消息。如果clean设置为true，则代理将不会存储客户端的任何信息，并将清除之前持续会话的所有信息。
• auth MQTT允许发送用户名和密码以便验证客户端的身份和进行授权。不过，如果密码未加密，也没有实现哈希加密，也未在后台使用TLS，那么密码将以明文形式发送。我们强烈建议你同时使用用户名和密码进行安全传输。在HiveMQ这类的代理上也可以使用SSL证书对客户端进行身份验证，这样就不需要用户名和密码了
• user 如果auth为yes 需要填用户名
• pass 如果auth为yes 需要填密码
• will 是否设遗嘱 是的话需要填写willTopic和willMsg 遗嘱消息是MQTT遗嘱特征的组成部分。当某个客户端恶意断开连接时，遗嘱消息将通知其他客户端。一个连接着的客户端将在CONNECT消息中以MQTT消息和主题的形式提供其遗嘱。如果客户端恶意断开了连接，代理将发送此消息来代表客户端
• willTopic 遗嘱的topic
• willMsg 遗嘱消息 nsdate类型 (注意:遗嘱的内容是改变不了的,亲测!)
• willQos 服务质量(QoS) 等级
• willRetainFlag 会话表示标志表示，代理和客户端之间自从前面的交互以来是否是持久会话。值为0，服务器必须在客户端断开之后继续存储/保持客户端的订阅状态。这些状态包括：
  存储订阅的消息QoS1和QoS2消息
  正在发送消息期间连接丢失导致发送失败的消息
  以便当客户端重新连接时以上消息可以被重新传递。

值为1，服务器需要立刻清理连接状态数据。
(tips:断线重连时 如果为yes,会自动订阅回消息,如果为no,则要手动订阅topic,不然会收不到消息)

• clientId 客户端标识符(不能固定,每个用户需要不同的clientId,相同的会导致掉线),是每个连接到MQTT代理服务器的MQTT客户端的编号。单词identifier本身已经表明，ClientID应当是唯一的。代理服务器使用它来识别客户端以及当前的客户端状态。如果你不想让代理获得当前状态，那么在MQTT3.1.1(当前的标准)中也可以发送一个空的ClientID，这样的话，连接就不会附带任何状态。前提条件是clean为true，否则，连接会被拒绝。

双向认证方法:让后台生成 ca.crt 和 client.p12文件(client.p12文件由client.crt和client.key合成) 我使用的是自签证书

1.使用命令行把crt转化为der格式

openssl x509 -in ca.crt -out ca.der -outform der

MQTTSSLSecurityPolicyTransport *transport = [[MQTTSSLSecurityPolicyTransport alloc]init];
transport.host = d[@"ip"];
transport.port = [d[@"port"] intValue];
transport.tls = YES;
                
NSString*  ca = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"ca" ofType:@"der"];
NSString*  client = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"certificate" ofType:@"p12"];
transport.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
                
MQTTSSLSecurityPolicy *securityPolicy = [MQTTSSLSecurityPolicy policyWithPinningMode:MQTTSSLPinningModeCertificate];
securityPolicy.allowInvalidCertificates = YES;
securityPolicy.validatesDomainName = NO;
securityPolicy.validatesCertificateChain = NO;
securityPolicy.pinnedCertificates = @[[NSData dataWithContentsOfFile:ca]];
transport.securityPolicy = securityPolicy;
                
self.sessionManager = [[MQTTSessionManager alloc]init];
                
NSDictionary *dic = @{@"subject":@"disconnect"};
NSData *data = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil];

[self.sessionManager connectTo:d[@"ip"] 
                            port: [d[@"port"] intValue] 
                            tls:YES
                            keepalive:60
                            clean:NO 
                            auth:YES 
                            user:@"username" 
                            pass:@"password" 
                            will:YES 
                            willTopic:@"/topic/lastwill" 
                            willMsg:data 
                            willQos:0 
                            willRetainFlag:NO 
                            withClientId: @"clientid" 
                            securityPolicy:securityPolicy 
                            certificates: 
[MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"]];

// 添加监听状态观察者
self.sessionManager.delegate = self;
[self.sessionManager addObserver:self
                                      forKeyPath:@"state"
                                         options:NSKeyValueObservingOptionInitial | NSKeyValueObservingOptionNew
                                         context:nil];

//订阅topic                
self.sessionManager.subscriptions = [NSDictionary dictionaryWithObject:[NSNumber numberWithInt:MQTTQosLevelExactlyOnce] forKey:@"/topic/mqtt"];

// 获取服务器返回数据

- (void)handleMessage:(NSData *)data onTopic:(NSString *)topic retained:(BOOL)retained {
    NSLog(@"------------->>%@",topic);
    
    NSString *dataString = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
    NSLog(@"%@",dataString);

}
   
- (void)observeValueForKeyPath:(NSString *)keyPath ofObject:(id)object change:(NSDictionary *)change context:(void *)context {
    switch (self.manager.state) {
        case MQTTSessionManagerStateClosed:
            break;
        case MQTTSessionManagerStateClosing:
            break;
        case MQTTSessionManagerStateConnected:
            break;
        case MQTTSessionManagerStateConnecting:
            break;
        case MQTTSessionManagerStateError:
            break;
        case MQTTSessionManagerStateStarting:
        default:
            break;
      }
}

另外提供一个未封装的session的双向认证方法:

    MQTTSSLSecurityPolicyTransport *transport = [[MQTTSSLSecurityPolicyTransport alloc] init];
    transport.host = @"192.168.1.19";
    transport.port = 8000;
    transport.tls = YES;
    
    NSString*  ca = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"ca" ofType:@"der"];
    NSString*  client = [[NSBundle bundleForClass:[MQTTSession class]] pathForResource:@"certificate" ofType:@"p12"];
    transport.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
    
    MQTTSSLSecurityPolicy *securityPolicy = [MQTTSSLSecurityPolicy policyWithPinningMode:MQTTSSLPinningModeCertificate];
    securityPolicy.allowInvalidCertificates = YES;
    securityPolicy.validatesDomainName = NO;
    securityPolicy.validatesCertificateChain = NO;
    securityPolicy.pinnedCertificates = @[[NSData dataWithContentsOfFile:ca]];
    transport.securityPolicy = securityPolicy;
    
    _session = [[MQTTSession alloc] init];
    _session.transport = transport;
    _session.delegate = self;
    _session.willFlag = YES;
    _session.userName = @"userName";
    _session.password = @"password";
    _session.willQoS = MQTTQosLevelAtLeastOnce;
    _session.willRetainFlag = NO;
    _session.cleanSessionFlag = YES;
    _session.willTopic = @"/app/lastwill" ;
    _session.certificates = [MQTTSSLSecurityPolicyTransport clientCertsFromP12:client passphrase:@"password"];
    NSDictionary *dic = @{@"subject":@"disconnect"};
    NSData *data1 = [NSJSONSerialization dataWithJSONObject:dic options:NSJSONWritingPrettyPrinted error:nil];
    _session.willMsg = data1;
    _session.clientId = @"ssid";
    [_session connectAndWaitTimeout:30];  //this is part of the synchronous API
    
    [_session subscribeToTopic:@"/topic/event" atLevel:1 subscribeHandler:^(NSError *error, NSArray<NSNumber *> *gQoss){
        
    }];

参考:

• https://help.aliyun.com/document_detail/47755.html?spm=5176.doc44878.6.650.ZzdGf6
• https://coyee.com/search?q=mqtt
• https://github.com/novastone-media/MQTT-Client-Framework/issues/396