物联网入门：搭建MQTT服务器

导言

MQTT(消息队列遥测传输)是ISO 标准下基于发布/订阅范式的消息协议。它工作在 TCP/IP协议族上，是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议。

Mosquitto是一款实现了消息推送协议 MQTT v3.1 的开源消息代理软件，提供轻量级的，支持可发布/可订阅的的消息推送模式，使设备对设备之间的短消息通信变得简单，比如现在应用广泛的低功耗传感器，手机、嵌入式计算机、微型控制器等移动设备。它具有强大的社区支持，并且易于安装和配置。

在本教程中，我们将教你安装Mosquitto，并通过腾讯云免费的SSL证书进行加密配置。

准备

在开始本教程之前，您需要：

• 一台安装Centos 7系统的服务器，我们建议您使用腾讯云免费的开发者实验室进行试验。
• 一个指向服务器的域名，可以参考腾讯云快速添加域名解析，本教程将使用mqtt.example.com进行简介。
• nano文本编辑器。本教程将自始至终使用nano，您可以使用sudo yum -y install nano命令进行安装或者替换您最喜欢的文本编辑器。

第一步、安装Mosquitto

在默认情况下，CentOS 7没有mosquitto程序包。首先我们将安装一个额外的软件软件包，即Epel。这个存储库囊括了安装在CentOS、RedHat和其他面向企业的Linux发行版上的附加软件。

使用yum包管理器来安装epel-release包。

sudo yum -y install epel-release

这条命令会将Epel存储库信息添加到我们的系统中，-y选项在整个过程中对一些提示自动回答“是”。现在我们可以安装mosquitto包。

sudo yum -y install mosquitto

这个包附带了一个简单的默认配置，所以让我们运行它来测试我们的安装。

sudo systemctl start mosquitto

我们还需要启用服务，以确保它在重新启动系统时启动：

sudo systemctl enable mosquitto

现在让我们测试默认配置。mosquitto包附带了一些MQTT客户端命令行。我们将使用其中一个订阅代理上的主题。

主题是您发布消息并订阅的标签。它们按等级排列，你可以有sensors/outside/temp和sensors/outside/humidity。在本教程中，我们将使用一个简单的测试主题来测试配置。

您需要创建一个新的终端，创建方法很简单，重新打开一个新的终端页面，重新登录服务器即可。在新的终端中，使用mosquitto_sub订阅测试主题：

mosquitto_sub -h localhost -t test

-h用于指定MQTT服务器的主机名，-t是主题名。ENTER后没有输出，是因为mosquitto_sub在等待消息的到来。切换回另一个终端并发布一条消息：

mosquitto_pub -h localhost -t test -m "hello world"

mosquitto_pub的选项与mosquitto_sub相同，这一次我们使用了额外的-m选项来指定我们的消息。点击ENTER，你应该看看hello world 输出在在另一个终端中。你已经学会发送第一条MQTT信息！

在第二个终端中按下CTRL+C退出mosquitto_sub，不要关闭其他终端哦，后面我们还要进行测试。

第二步、申请腾讯云SSl加密证书

1. 申请入口

进入SSL证书管理控制台

单击【申请证书】

查看申请域名型证书型号，单击【确定】

2. 填写申请

填写申请域名，例如qcloud.com，cloud.tencent.com，demo.test.qlcoud.com。

3.1 手动DNS验证方式

证书默认支持收到DNS验证，验证方法可查看详情。

3.2 选择自动DNS验证方式

如果所申请域名成功添加云解析平台，可以支持自动DNS验证，验证方法可查看详情。

4.1 提交申请后验证身份

提交申请成功后弹窗提示如下，需要前往【证书详情页】获取CName记录添加解析：

获取CName记录如Tips中显示，需要尽快成功添加解析，方可通过CA机构审核：

4.2 提交申请失败

如遇到下图所示弹窗，是提交域名未通过CA机构安全审核，具体原因参考安全审核失败原因。

第三步、配置MQTT密码

Mosquitto包含一个工具，用于生成一个特殊的密码文件，名为mosquitto_passwd。此工具将提示您输入指定用户名的密码，并将结果放在/etc/mosquitto/passwd.

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

现在，我们将替换默认的配置文件，并告诉Mosquito使用这个密码文件来要求所有连接的登录。首先，删除现有的mosquitto.conf.

sudo rm /etc/mosquitto/mosquitto.conf

现在打开一个新的空配置。

sudo nano /etc/mosquitto/mosquitto.conf

粘贴在下面。

allow_anonymous false
password_file /etc/mosquitto/passwd

allow_anonymous false将禁用所有未经身份验证的连接，并且password_file告诉Mosquitto在哪里查找用户和密码，保存并退出文件。

现在我们需要重新启动Mosquitto并测试。

sudo systemctl restart mosquitto

尝试在没有密码的情况下发布消息。

mosquitto_pub -h localhost -t "test" -m "hello world"

你应该看到被拒绝的信息：

Connection Refused: not authorised.
Error: The connection was refused.

在我们再次尝试使用密码登录之前，请再次切换到您的第二个终端窗口，并使用用户名和密码订阅“test”主题：

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

现在用另一个终端使用用户名和密码发布一条消息：

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

消息应该按照步骤1执行。我们已经成功地为Mosquitto增加了密码保护。但是，我们在互联网上发送未加密的密码。接下来，我们将通过向Mosquitto添加SSL加密来修复这个问题。

第四步、配置MQTT SSL

为了启用SSL加密，我们需要告诉Mosquitto我们的加密证书存储在哪里。打开我们以前的配置文件。

sudo nano /etc/mosquitto/mosquitto.conf

在文件末尾粘贴以下内容，写下下面的内容：

. . .
listener 1883 localhost
​
listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

我们要增加两个单独的listener到配置。第一个，listener 1883 localhost，更新1883端口上的默认mqtt侦听器。1883是标准的未加密的MQTT端口。Mosquitto只将该端口绑定到localhost接口，因此无法从外部访问它。外部请求无论如何都会被防火墙阻止。

listener 8883在端口上设置加密侦听器8883端口。这是MQTT+SSL的标准端口，通常称为MQTTS。接下来的三行，certfile,cafile和keyfile，填写您在腾讯云申请到的证书地址。

保存并退出文件。

在重新启动Mosquitto以加载新配置之前，我们需要安装一个mosquitto服务文件。systemd这个文件用于确定如何运行mosquitto。在你最喜欢的编辑器里打开它。

sudo nano /etc/systemd/system/multi-user.target.wants/mosquitto.service

找一行写着User=mosquitto然后删除它，然后保存并退出该文件。

Mosquitto仍将作为mosquitto用户，但是当它第一次启动时，它将具有root特权，并自动安装您申请的SSl证书。在装载证书后，它将自动变为到mosquitto的用户。

我们需要重新加载systemd，因此它会注意到我们对服务文件所做的更改。

sudo systemctl daemon-reload

现在我们可以重新启动Mosquitto来更新设置。

sudo systemctl restart mosquitto

更新防火墙以允许连接到8883端口。

sudo firewall-cmd --permanent --add-port=8883/tcp

重新加载防火墙。

sudo firewall-cmd --reload

现在我们再次使用mosquitto_pub，和以前不同，我们需要加上几个不同的SSL选项。

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --cafile /etc/ssl/certs/ca-bundle.crt -u "sammy" -P "password"

我们使用的是完整的主机名，而不是localhost。因为我们的ssl证书是为mqtt.example.com，如果我们尝试连接到localhost我们将得到一个错误，即主机名与证书主机名不匹配。

--cafile /etc/ssl/certs/ca-bundle.crt为mosquitto_pub启用SSL，并告诉它在哪里查找根证书。它们通常是由操作系统安装的，所以对于MacOS、Windows等来说，路径是不同的。mosquitto_pub使用根证书来验证Mosmisto服务器的证书是否已由腾讯云所签发的证书颁发机构正确地签名。重要的是要注意mosquitto_pub和mosquitto_sub如果没有此选项，将不会尝试使用ssl连接，即使您正在连接到标准的安全端口8883。

如果一切顺利，我们将看到Hello again出现在另一个mosquitto_sub终端。这意味着您的服务器已经完全设置好了！如果您希望扩展MQTT协议以使用WebSocket，则可以执行最后一步。

第五步-在WebSocket上配置MQTT(可选)

为了在Web浏览器中使用JavaScript来使用MQTT，该协议被调整为在标准WebSocket上工作。如果不需要此功能，则可以跳过此步骤。

我们需要再次打开mosquitto配置文件

sudo nano /etc/mosquitto/mosquitto.conf

在文件末尾添加以下内容：

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

除了端口号和协议websockets行之外，这与前一个块大致相同。MQTT在websockets上没有官方标准化端口，但8083是最常见的。

保存并退出文件，然后重新启动Mosquitto。

sudo systemctl restart mosquitto

在防火墙里打开端口8083。

sudo firewall-cmd --permanent --add-port=8083/tcp

重新载入防火墙。

sudo firewall-cmd --reload

为了测试这个功能，我们将使用一个公共的、基于浏览器的MQTT客户端。在浏览器中打开mqtt-admin （校者注：这个页面已经失效了，你可以访问：https://github.com/hobbyquaker/mqtt-admin 获取项目自己搭建服务端），您将看到以下内容：

请按以下方式填写连接信息：

• 协议应该是WSS(代表websocket secure)
• 寄主应该是你的Mosquitto服务器的域名，mqtt.example.com.
• 端口应该是8083
• 用户应该是你的Mosquitto用户名；在这里，我们用sammy.
• 密码应该是你选择的密码。
• ClientId可以保留默认值，MQTT-admin.

保存设置，mqtt-admin会连接到你的Mosquitto服务器。

结语

现在，我们已经建立了一个安全的、受密码保护的MQTT服务器，并使用了腾讯云SSL证书。这将作为一个强大和安全的消息传递平台，无论你梦想什么项目。与MQTT协议很好地工作的一些流行的软件和硬件包括：

• OwnTracks一个开源的地理跟踪应用程序，你可以安装在你的手机上。 OwnTracks将定期向您的MQTT服务器报告位置信息，然后您可以将其存储并显示在地图上，或者根据您的位置创建警报和激活物联网硬件。
• Node-RED是一个基于浏览器的图形界面，用于“连接”物联网。您可以将一个节点的输出拖到另一个节点的输入中，并可以通过筛选器、不同协议之间的信息路由到数据库，等等。MQTT得到了Node-red的很好的支持.
• ESP 8266是一种价格低廉的具有MQTT功能的wifi微控制器。

这些只是MQTT生态系统中几个流行的例子。外面有更多的硬件和软件来表达协议。如果您已经有了最喜欢的硬件平台或软件语言，那么它可能具有MQTT功能。让你们的“东西”互相交谈，玩得开心！

参考文献：《How To Install and Secure the Mosquitto MQTT Messaging Broker on CentOS 7》