1. 권한 거부 - server.key

증상

<aside>

Error: Unable to load server key file "/mosquitto/certs/server.key" OpenSSL Error: error:8000000D:system library::Permission denied

</aside>

원인

• openssl이 생성한 key 파일 기본 권한이 600으로, mosquitto 유저가 읽지 못함

해결

• gen-key.sh에 권한 설정 추가

# 공개키는 644, 개인키는 600 (보안의 핵심)
chmod 644 ca.crt server.crt
chmod 600 ca.key server.key 

2. TLS 연결 실패 - 호스트명 불일치

증상

<aside>

브로커 연결 실패 → 에러 코드: -1 (C-client Logs)

</aside>

원인

• 현대 TLS는 CN 대신 SAN으로 호스트명을 검증하는데, 인증서에 SAN이 없어서 검증 실패

<aside>

서버 인증서 CN : mqtt-broker 클라이언트 접속: host.docker.internal ← 불일치

</aside>

해결

• SAN 추가 후 인증서 재생성

#SAN 설정 파일 생성
echo "subjectAltName=DNS:host.docker.internal" > /tmp/san.ext

# CA가 서버 인증서에 서명
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \\
    -out server.crt -days 365 \\
    -extfile /tmp/san.ext

3. TLS 연결 실패 - SSL 라이브러리 연결 실패