介绍
MQTT是一个机器到机器的消息协议,旨在为物联网
设备提供轻量级发布/订阅通信,通常用于车辆车队的地理跟踪,家庭自动化,环境传感器网络和公用事业规模的数据收集。
Mosquitto是一个流行的MQTT服务器(或 broker,在MQTT语言中)具有很好的社区支持,易于安装和配置。
在本教程中,我们将安装Mosquitto并设置我们的经纪人使用SSL来保护我们的密码保护的MQTT通信。
前提条件
在开始本教程之前,您将需要:
- 一个 Debian 10 服务器,具有非根源的, sudo-enabled 用户和基本的防火墙设置,如在 本 Debian 10 服务器设置教程详细描述。
- 一个域名指向您的服务器,如在我们的 DigitalOcean DNS 产品文档中记录。本教程将使用
mqtt.example.com
在整个过程中。 - 一个可自动更新的 Let’s Encrypt SSL 证书用于使用您的域和 Mosquitto,使用 Certbot 工具生成。
](https://andsky.com/tech/tutorials/how-to-use-certbot-standalone-mode-to-retrieve-let-s-encrypt-ssl-certificates-on-debian-10).您可以在步骤 4 中添加 systemctl restart mosquitto
作为 renew_hook
。 请确保在上一个前提步骤中配置相同的域名。
步骤1:安装蚊子
Debian 10 在其默认软件存储库中有相当新的 Mosquitto 版本,所以我们可以从那里安装它。
首先,使用非根用户登录并使用apt update
更新包列表:
1sudo apt update
现在,使用apt install
来安装 Mosquitto:
1sudo apt install mosquitto mosquitto-clients
默认情况下,Debian 会在安装后启动 Mosquitto 服务. 让我们测试默认配置. 我们将使用我们刚刚安装的 Mosquitto 客户端之一来订阅我们的经纪商的主题。
Topics 是您发布消息并订阅的标签,它们分为等级,因此您可以有传感器 / 外部 / 时间
和传感器 / 外部 / 湿度
,例如.您如何安排主题取决于您和您的需求。
登录你的服务器第二次,所以你有两个终端旁边. 在新的终端中,使用mosquitto_sub
订阅测试主题:
1mosquitto_sub -h localhost -t test
-h
用于指定 MQTT 服务器的主机名称,而 -t
是主题名称. 点击 ENTER
后,您将不会看到输出,因为 mosquitto_sub
正在等待消息到达。
1mosquitto_pub -h localhost -t test -m "hello world"
mosquitto_pub
的选项与mosquitto_sub
相同,但这次我们使用额外的-m
选项来指定我们的消息。点击ENTER
,你应该看到 hello world 在另一个终端出现。
在第二个终端中输入CTRL+C
,以退出mosquitto_sub
,但保持与服务器的连接开放。
接下来,我们将使用基于密码的身份验证来保护我们的安装。
第2步:设置MQTT密码
让我们将 Mosquitto 配置为使用密码。 Mosquitto 包含一个工具来生成一个名为mosquitto_passwd
的特殊密码文件. 此命令将提示您为指定用户名输入密码,并将结果放入/etc/mosquitto/passwd
。
1sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy
现在我们将为 Mosquitto 打开一个新的配置文件,并告诉它使用此密码文件来要求所有连接的登录:
1sudo nano /etc/mosquitto/conf.d/default.conf
这应该打开一个空的文件. 粘贴如下:
1[label /etc/mosquitto/conf.d/default.conf]
2allow_anonymous false
3password_file /etc/mosquitto/passwd
请确保在文件末尾留下一个追踪的新闻。
allow_anonymous false
会禁用所有未经身份验证的连接,而password_file
行会告诉Mosquitto在哪里搜索用户和密码信息。
现在我们需要重新启动 Mosquitto 并测试我们的变化。
1sudo systemctl restart mosquitto
尝试发布没有密码的消息:
1mosquitto_pub -h localhost -t "test" -m "hello world"
该信息应该被拒绝:
1[secondary_label Output]
2Connection Refused: not authorised.
3Error: The connection was refused.
在我们再次尝试密码之前,再次切换到您的第二个终端窗口,并订阅测试
主题,这次使用用户名和密码:
1mosquitto_sub -h localhost -t test -u "sammy" -P "password"
它应该连接并坐下来,等待消息. 您可以让这个终端打开并连接至教程的剩余时间,因为我们会定期发送测试消息。
现在用你的其他终端发布消息,再次使用用户名和密码:
1mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"
我们已经成功地将密码保护添加到Mosquitto。不幸的是,我们正在通过互联网发送未加密的密码。我们将通过向Mosquitto添加SSL加密来解决此问题。
步骤 3 – 配置 MQTT SSL
要启用SSL加密,我们需要告诉Mosquitto我们的Let's Encrypt证书存储在哪里。
1sudo nano /etc/mosquitto/conf.d/default.conf
在文件的末尾插入以下内容,留下我们已经添加的两行:
1[label /etc/mosquitto/conf.d/default.conf]
2. . .
3listener 1883 localhost
4
5listener 8883
6certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
7cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
8keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
再次,请确保在文件末尾留下一个追踪的新闻。
我们将两个单独的倾听器
块添加到配置中。第一个倾听器1883 localhost
更新了默认的MQTT倾听器在端口1883上,这是我们迄今为止所连接的。1883
是默认的未加密MQTT端口。
Listener 8883
在端口8883
上设置了一个加密的倾听器,这是MQTT + SSL的标准端口,通常被称为MQTTS。接下来的三个行,certfile
,cafile
和keyfile
,都指向Mosquitto到相应的Let’s Encrypt文件来设置加密连接。
保存和退出文件,然后重新启动 Mosquitto 以更新设置:
1sudo systemctl restart mosquitto
更新防火墙以允许连接到端口8883
。
1sudo ufw allow 8883
1[secondary_label Output]
2Rule added
3Rule added (v6)
现在我们再次使用mosquitto_pub
进行测试,为SSL提供了几个不同的选项:
1mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"
请注意,我们正在使用完整的主机名称而不是localhost
。由于我们的SSL证书为mqtt.example.com
发行,如果我们尝试安全连接到localhost
,我们会收到一个错误,称主机名称不匹配证书主机名称(即使它们都指向相同的Mosquitto服务器)。
--capath /etc/ssl/certs/
允许 SSL 用于 mosquitto_pub
,并告诉您在哪里寻找根证书. 这些证书通常由您的操作系统安装,因此路径不同于 Mac OS、Windows 等。 mosquitto_pub
使用根证书来验证 Mosquitto 服务器的证书是否被 Let's Encrypt 证书机构正确签名。 重要的是要注意, mosquitto_pub
和 mosquitto_sub' 不会尝试没有此选项(或类似的
cafile选项)的 SSL 连接,即使您连接到标准安全端口
8883`。
如果测试顺利,我们将看到 hello再次 在其他mosquitto_sub
终端中出现,这意味着您的服务器已完全设置! 如果您想扩展MQTT协议以与websockets合作,您可以按照最后一步。
步骤 4 — 配置 MQTT over Websockets (可选)
为了使用JavaScript在网页浏览器中使用MQTT进行交谈,该协议被调整为通过标准网页连接器工作。
我们需要为我们的 Mosquitto 配置添加另一个倾听器
块:
1sudo nano /etc/mosquitto/conf.d/default.conf
在文件的末尾,添加以下内容:
1[label /etc/mosquitto/conf.d/default.conf]
2. . .
3listener 8083
4protocol websockets
5certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
6cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
7keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
再次,请确保在文件末尾留下一个追踪的新闻。
这与前一个区块大多相同,除了端口号和协议网盘
行之外,MQTT网盘上没有官方的标准化端口,但8083
是最常见的。
保存和退出文件,然后重新启动 Mosquitto。
1sudo systemctl restart mosquitto
现在,打开防火墙中的端口8083
。
1sudo ufw allow 8083
要测试这个功能,我们将使用一个公共的,基于浏览器的MQTT客户端. 有一些在那里,但 Eclipse Paho JavaScript Client是简单和简单的使用。
如下填写连接信息:
- Host 应该是您的 Mosquitto 服务器的域名,
mqtt.example.com
. - Port 应该是
8083
. - ClientId 可以留到默认值, ** js-utility-DI1m6** .
- Path 可以留到默认值, ** /mqtt** .
- 用户名应该是您的 Mosquitto 用户名;在这里,我们使用了 ** sammy .
- Password 应该是您选择的密码。
剩余的字段可以留给其默认值。
点击 Connect 后,基于 Paho 浏览器的客户端将连接到您的 Mosquitto 服务器。
要发布消息,请导航到 ** 发布消息 ** 窗口,填写 ** 主题** 作为 ** 测试** ,然后在 ** 消息** 部分输入任何消息。
结论
我们现在已经设置了一个安全的,密码保护的和SSL安全的MQTT服务器,这可以作为一个强大的和安全的消息传输平台,无论您梦想的项目。
- OwnTracks,一个可在手机上安装的开源地理跟踪应用程序。OwnTracks会定期向您的MQTT服务器报告位置信息,然后您可以在地图上存储和显示,或者创建警报并根据您的位置激活物联网硬件。
- Node-RED是一个基于浏览器的图形界面,用于
连接
物联网。您可以将一个节点的输出拖动到另一个节点的输入,并可以通过各种协议之间的过滤器导航信息到数据库,等等。MKTT非常受Node-RED的支持。 - ESP32是具有MTTQ功能的廉价WiFi微控制
这些只是MQTT生态系统中的一些受欢迎的例子,有更多的硬件和软件在外面说话协议. 如果你已经有一个最喜欢的硬件平台,或软件语言,它可能有MQTT功能。