MQTT是一种机器到机器的消息传递协议,旨在为“物联网”设备提供轻量级的发布/订阅通信。它通常用于地理跟踪车队,家庭自动化,环境传感器网络和公用事业规模数据收集。
Mosquitto是一种流行的MQTT服务器(或MQTT中的代理),具有出色的社区支持,易于安装和配置的特点。
在本教程中,我们将安装Mosquitto并设置我们的代理以使用SSL来保护受密码保护的MQTT通信。
在开始本教程之前,您需要:
mqtt.example.com
贯穿始终。
systemctl restart mosquitto
作为renew_hook
,一定要使用在前面的准备步骤配置相同的域。Ubuntu 18.04在其默认软件存储库中有一个新版本的Mosquitto,因此我们可以从那里安装它。
首先,使用非root用户登录并使用apt update
命令更新包列表:
sudo apt update
现在,使用apt install
命令安装Mosquitto :
sudo apt install mosquitto mosquitto-clients
默认情况下,Ubuntu将在安装后启动Mosquitto服务。我们来测试默认配置。我们将使用我们刚刚安装的Mosquitto客户端之一来订阅我们的主题。
主题是您向其发布消息和订阅的标签。他们被安排为一个层次,所以你可以有sensors/outside/temp
和sensors/outside/humidity
,例如。您如何安排主题取决于您和您的需求。在本教程中,我们将使用一个简单的测试主题来测试我们更改的配置。
第二次登录到您的服务器,因此您有两个并排的终端。在新终端中,用于mosquitto_sub
订阅测试主题:
mosquitto_sub -h localhost -t test
-h
用于指定MQTT服务器的主机名,并且-t
指定主题名称。点击ENTER
后您将看不到输出,因为mosquitto_sub
正在等待消息到达。切换回您的其他终端并发布消息:
mosquitto_pub -h localhost -t test -m "hello world"
选项mosquitto_pub
是相同的mosquitto_sub
,虽然这次我们使用附加-m
选项来指定我们的消息。点击ENTER
,你应该看到另一个终端弹出hello world。您已发送了第一条MQTT消息!
输入CTRL+C
第二个终端mosquitto_sub
退出,但保持与服务器的连接打开。我们将在第五步中再次使用它进行另一次测试。
接下来,我们将使用基于密码的身份验证来保护我们的安装。
让我们配置Mosquitto使用密码。Mosquitto包含一个实用程序来生成一个名为mosquitto_passwd
的特殊密码文件。此命令将提示您输入指定用户名的密码,并将结果放入/etc/mosquitto/passwd
。
sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy
现在我们将为Mosquitto打开一个新配置文件,并告诉它使用此密码文件来要求所有连接的登录:
sudo nano /etc/mosquitto/conf.d/default.conf
这应该打开一个空文件。粘贴如下:
allow_anonymous false
password_file /etc/mosquitto/passwd
请务必在文件末尾留下尾随换行符。
allow_anonymous false
将禁用所有未经过身份验证的连接,该password_file
行告诉Mosquitto在哪里查找用户和密码信息。保存并退出该文件。
现在我们需要重启Mosquitto并测试我们的更改。
sudo systemctl restart mosquitto
尝试发布没有密码的邮件:
mosquitto_pub -h localhost -t "test" -m "hello world"
该邮件应被拒绝:
Connection Refused: not authorised.
Error: The connection was refused.
在我们再次尝试使用密码之前,请再次切换到第二个终端窗口,并使用用户名和密码订阅“test”主题:
mosquitto_sub -h localhost -t test -u "sammy" -P "password"
它应该连接并等待消息。您可以将本终端打开并连接到本教程的其余部分,因为我们会定期发送测试消息。
现在再次使用用户名和密码与您的其他终端发布消息:
mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"
该消息应该按照第一步进行。我们已经成功地为Mosquitto添加了密码保护。不幸的是,我们通过互联网发送未加密的密码。我们将通过向Mosquitto添加SSL加密来解决下一步问题。
要启用SSL加密,我们需要告诉Mosquitto存储Let的加密证书的位置。打开我们之前启动的配置文件:
sudo nano /etc/mosquitto/conf.d/default.conf
在文件末尾粘贴以下内容,留下我们已经添加的两行:
. . .
listener 1883 localhost
listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
同样,请务必在文件末尾留下尾随换行符。
我们在配置中添加了两个单独的listener
块。第一个,listener 1883 localhost
更新端口上的默认MQTT监听器1883
,这是我们到目前为止所连接的。1883
是标准的未加密MQTT端口。该localhost
行的部分指示Mosquitto仅将此端口绑定到localhost接口,因此无法从外部访问它。无论如何,我们的防火墙都会阻止外部请求,但明确是好的。
listener 8883
在端口上设置加密侦听器8883
。这是MQTT + SSL的标准端口,通常称为MQTTS。接下来的三行: certfile
,cafile
,和keyfile
,都指向Mosquitto到适合我们加密文件建立的加密连接。
保存并退出该文件,然后重新启动Mosquitto以更新设置:
sudo systemctl restart mosquitto
更新防火墙以允许连接到端口8883
。
sudo ufw allow 8883
输出如下所示:
Rule added
Rule added (v6)
现在我们再次使用mosquitto_pub
测试一些不同的SSL选项:
mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"
请注意,我们使用的是完整的主机名而不是localhost
。因为我们发出了mqtt.example.com
SSL证书,如果我们尝试localhost
安全连接,我们会收到一个错误,说主机名与证书主机名不匹配(即使它们都指向同一个Mosquitto服务器)。
--capath /etc/ssl/certs/
启用SSL mosquitto_pub
,并告诉它在哪里查找root证书。这些通常由您的操作系统安装,因为Mac OS,Windows等的路径不同。mosquitto_pub
使用root证书验证Mosquitto服务器的证书是否由Let的加密证书颁发机构正确签名。需要很注意的是mosquitto_pub
而且它没有这个选项不会尝试(或类似的SSL连接--cafile
选项),即使你连接的标准安全端口8883
。
如果测试结果一切正常,我们会再次看到hello出现在另一个mosquitto_sub
终端。这意味着您的服务器已完全设置好!如果您想扩展MQTT协议以使用websockets,您可以按照最后一步操作。
为了在Web浏览器中使用JavaScript来连接MQTT,该协议适用于标准websockets。如果您不需要此功能,则可以跳过此步骤。
我们需要在Mosquitto配置中再添加至少一个listener
块:
sudo nano /etc/mosquitto/conf.d/default.conf
在文件末尾添加以下内容:
. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
同样,请务必在文件末尾留下尾随换行符。
除端口号和protocol websockets
线路外,这与前一个块大致相同。MQTT在websockets上没有官方的标准化端口,但是8083
最常见。
保存并退出该文件,然后重新启动Mosquitto。
sudo systemctl restart mosquitto
现在,在防火墙中打开8083
端口。
sudo ufw allow 8083
要测试此功能,我们将使用基于浏览器的公共MQTT客户端。有一些,但Eclipse Paho JavaScript Client简单易用。在浏览器中打开Paho客户端。你会看到以下内容:
填写连接信息如下:
mqtt.example.com
。8083
。其余字段可以保留其默认值。
按下Connect后,基于Paho浏览器的客户端将连接到您的Mosquitto服务器。
要发布消息,请进入到“ 发布消息”窗格,将“ 主题”填写为“ 测试”,然后在“ 消息”部分中输入任何消息。接下来,按发布。该消息将显示在您的mosquitto_sub
终端中。
我们现在已经建立了一个安全的,受密码保护且受SSL保护的MQTT服务器。这可以作为您梦寐以求的任何项目的强大而安全的消息传递平台。一些与MQTT协议配合良好的流行软件和硬件包括:
这些只是MQTT生态系统中的一些受欢迎的示例。有更多的硬件和软件可以通过此协议。如果您已经拥有最喜欢的硬件平台或软件语言,它可能具有MQTT功能。
想要了解更多关于Linux的开源信息教程,请前往腾讯云+社区学习更多知识。
参考文献:《How to Install and Secure the Mosquitto MQTT Messaging Broker on Ubuntu 18.04》
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。