如何在 Ubuntu 16.04 上安装 Mosquitto MQTT 消息传递代理并确保其安全

介绍

MQTT是一个机器到机器的消息协议,旨在为物联网设备提供轻量级发布/订阅通信,通常用于车辆车队的地理跟踪,家庭自动化,环境传感器网络和公用事业规模的数据收集。

Mosquitto是一个流行的MQTT服务器(或 broker,在MQTT语言中)具有很好的社区支持,易于安装和配置。

在本教程中,我们将安装Mosquitto,从Let's Encrypt获取SSL证书,并设置我们的经纪人使用SSL来保护我们的密码保护的MQTT通信。

前提条件

在开始本教程之前,您将需要:

• 一个 Ubuntu 16.04 服务器,具有非根, sudo 启用的用户和基本的防火墙设置,如在 本 Ubuntu 16.04 服务器设置教程中详细描述)。
• 一个域名指向您的服务器,如在 How to Set Up a Host Name with DigitalOcean。

步骤1:安装蚊子

Ubuntu 16.04 在其默认软件存储库中具有相当新的 Mosquitto 版本. 与您的非根用户登录并安装 Mosquitto 以apt-get。

1sudo apt-get install mosquitto mosquitto-clients

默认情况下,Ubuntu将在安装后启动Mosquitto服务. 让我们测试默认配置. 我们将使用我们刚刚安装的Mosquitto客户端之一来订阅我们的经纪人主题。

Topics 是您发布消息并订阅的标签,它们分为等级,因此您可以有传感器 / 外部 / 时间和传感器 / 外部 / 湿度,例如.您如何安排主题取决于您和您的需求。

登录你的服务器第二次,所以你有两个终端旁边. 在新的终端中,使用mosquitto_sub订阅测试主题:

1mosquitto_sub -h localhost -t test

-h 用于指定 MQTT 服务器的主机名称,而 -t 是主题名称. 点击 ENTER 后,您将不会看到输出,因为 mosquitto_sub 正在等待消息到达。

1mosquitto_pub -h localhost -t test -m "hello world"

mosquitto_pub的选项与mosquitto_sub相同,但这次我们使用额外的-m选项来指定我们的消息。点击ENTER,你应该看到 hello world 在另一个终端出现。

在第二个终端中输入CTRL+C,以退出mosquitto_sub,但保持与服务器的连接开放。

接下来,我们将使用Certbot,新的Let's Encrypt客户端,以SSL来保护我们的安装。

步骤 2 — 安装 Let’s Encrypt 证书的 Certbot

Let's Encrypt是一个新的服务,通过自动化API提供免费SSL证书,有很多客户端可以与API交谈,Ubuntu在其默认存储中包含官方客户端,但它有点过时,缺乏我们需要的一个重要功能。

相反,我们将从Ubuntu PPA安装官方客户端,或 Personal Package Archive. 这些是替代性存储库,包装更新的或更模糊的软件。

1sudo add-apt-repository ppa:certbot/certbot

接下来,更新包列表以获取新存储库的包信息。

1sudo apt-get update

最后,安装正式的 Let’s Encrypt 客户端,称为certbot。

1sudo apt-get install certbot

现在我们已经安装了certbot,让我们运行它来获得我们的证书。

步骤3 - 运行Certbot

certbot需要回答由 Let’s Encrypt API 发布的加密挑战,以证明我们控制了我们的域。它使用端口 80’ (HTTP) 和/或 443’ (HTTPS) 来完成这项任务。

1sudo ufw allow http

1[secondary_label Output]
2Rule added

现在我们可以运行Certbot来获取我们的证书,我们将使用--standalone选项告诉Certbot自己处理HTTP挑战请求,而--standalone-supported-challenges http-01将通信限制到端口80。

1sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d mqtt.example.com

在运行命令时,您将被要求输入电子邮件地址并同意服务条款. 这样做后,您应该看到一个消息,告诉您过程成功,您的证书存储在哪里。

现在我们需要确保Certbot在即将到期时自动更新它们。

步骤 4 – 设置 Certbot 自动更新

Let's Encrypt 的证书仅有效90天,以鼓励用户自动更新证书,我们需要设置一个定期运行命令,以检查证书的到期期,并自动更新。

要每天运行更新检查,我们将使用cron,这是运行定期任务的标准系统服务,我们会告诉cron通过打开和编辑名为crontab的文件来做什么。

1sudo crontab -e

您将被要求选择文本编辑器. 选择您最喜欢的,您将被呈现的默认 crontab 其中有一些帮助文本。

1[label crontab]
2. . .
315 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"

这个行的15 3 * * *部分意味着每天下午3点15分运行以下命令。Certbot的更新命令会检查系统上安装的所有证书,并更新任何在不到30天内到期的证书。

--post-hook "systemctl restart mosquitto" 将重新启动 Mosquitto 以获取新证书,但只有在证书被更新的情况下。这个 post-hook' 功能是 Let's Encrypt 客户端的旧版本所缺少的,以及为什么我们从 PPA 安装而不是默认的 Ubuntu 存储库。如果没有它,我们将不得不每天重新启动 Mosquitto,即使没有证书实际上被更新。

现在自动更新证书已经设置,我们将回到配置Mosquitto以更安全。

步骤5:设置MQTT密码

让我们将 Mosquitto 配置为使用密码。 Mosquitto 包含一个工具来生成一个名为mosquitto_passwd的特殊密码文件. 此命令将提示您为指定用户名输入密码,并将结果放入/etc/mosquitto/passwd。

1sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

现在我们将为 Mosquitto 打开一个新的配置文件,并告诉它使用此密码文件来要求所有连接的登录:

1sudo nano /etc/mosquitto/conf.d/default.conf

这应该打开一个空的文件. 粘贴如下:

1[label /etc/mosquitto/conf.d/default.conf]
2allow_anonymous false
3password_file /etc/mosquitto/passwd

allow_anonymous false会禁用所有未经身份验证的连接,而password_file行会告诉Mosquitto在哪里搜索用户和密码信息。

现在我们需要重新启动 Mosquitto 并测试我们的变化。

1sudo systemctl restart mosquitto

尝试发布没有密码的消息:

1mosquitto_pub -h localhost -t "test" -m "hello world"

该信息应该被拒绝:

1[secondary_label Output]
2Connection Refused: not authorised.
3Error: The connection was refused.

在我们再次尝试密码之前,再次切换到您的第二个终端窗口,并订阅测试主题,这次使用用户名和密码:

1mosquitto_sub -h localhost -t test -u "sammy" -P "password"

它应该连接并坐下来,等待消息. 您可以让这个终端打开并连接至教程的剩余时间,因为我们会定期发送测试消息。

现在用你的其他终端发布消息,再次使用用户名和密码:

1mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

我们已经成功地将密码保护添加到Mosquitto。不幸的是,我们正在通过互联网发送未加密的密码。我们将通过向Mosquitto添加SSL加密来解决此问题。

步骤 6 – 配置 MQTT SSL

要启用SSL加密,我们需要告诉Mosquitto我们的Let's Encrypt证书存储在哪里。

1sudo nano /etc/mosquitto/conf.d/default.conf

在文件的末尾插入以下内容,留下我们已经添加的两行:

1[label /etc/mosquitto/conf.d/default.conf]
2. . .
3listener 1883 localhost
4
5listener 8883
6certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
7cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
8keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

我们将两个单独的倾听器块添加到配置中。第一个倾听器1883 localhost更新了默认的MQTT倾听器在端口1883上,这是我们迄今为止所连接的。1883是默认的未加密MQTT端口。

Listener 8883在端口8883上设置了一个加密的倾听器,这是MQTT + SSL的标准端口,通常被称为MQTTS。接下来的三个行,certfile,cafile和keyfile,都指向Mosquitto到相应的Let’s Encrypt文件来设置加密连接。

保存和退出文件,然后重新启动 Mosquitto 以更新设置:

1sudo systemctl restart mosquitto

更新防火墙以允许连接到端口8883。

1sudo ufw allow 8883

1[secondary_label Output]
2Rule added

现在我们再次使用mosquitto_pub进行测试,为SSL提供了几个不同的选项:

1mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --capath /etc/ssl/certs/ -u "sammy" -P "password"

请注意,我们正在使用完整的主机名称而不是localhost。由于我们的SSL证书为mqtt.example.com发行,如果我们尝试安全连接到localhost,我们会收到一个错误,称主机名称不匹配证书主机名称(即使它们都指向相同的Mosquitto服务器)。

--capath /etc/ssl/certs/ 允许 SSL 用于 mosquitto_pub,并告诉您在哪里寻找根证书. 这些证书通常由您的操作系统安装,因此路径不同于 Mac OS、Windows 等。 mosquitto_pub 使用根证书来验证 Mosquitto 服务器的证书是否被 Let's Encrypt 证书机构正确签名。 重要的是要注意, mosquitto_pub 和 mosquitto_sub' 不会尝试没有此选项(或类似的 cafile选项)的 SSL 连接,即使您连接到标准安全端口8883`。

如果测试顺利,我们将看到 hello再次 在其他mosquitto_sub终端中出现,这意味着您的服务器已完全设置! 如果您想扩展MQTT协议以与websockets合作,您可以按照最后一步。

步骤 7 — 配置 MQTT 通过 Web 插件(可选)

为了使用JavaScript在网页浏览器中使用MQTT进行交谈,该协议被调整为通过标准网页连接器工作。

我们需要为我们的 Mosqiutto 配置添加另一个倾听器块:

1sudo nano /etc/mosquitto/conf.d/default.conf

在文件的末尾,添加以下内容:

1[label /etc/mosquitto/conf.d/default.conf]
2. . .
3listener 8083
4protocol websockets
5certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
6cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
7keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

这与前一个区块大多相同,除了端口号和协议网盘行之外,MQTT网盘上没有官方的标准化端口,但8083是最常见的。

保存和退出文件,然后重新启动 Mosquitto。

1sudo systemctl restart mosquitto

现在,打开防火墙中的端口8083。

1sudo ufw allow 8083

要测试这个功能,我们将使用一个公共的,基于浏览器的 MQTT 客户端. 有一些在那里,但 Eclipse Paho JavaScript Client是简单和简单的使用。 打开您的浏览器中的 Paho 客户端. 你会看到以下内容:

如下填写连接信息:

• Host 应该是您的 Mosquitto 服务器的域名, mqtt.example.com.
• Port 应该是 8083.
• ClientId 可以留到默认值, ** js-utility-DI1m6**.
• Path 可以留到默认值, ** /ws**.
• Username 应该是您的 Mosquitto 用户名;在这里,我们使用了 ** sammy**。

剩余的字段可以留给其默认值。

点击 Connect 后,基于 Paho 浏览器的客户端将连接到您的 Mosquitto 服务器。

要发布消息,请导航到 ** 发布消息 ** 窗口,填写 ** 主题** 作为 ** 测试** ,然后在 ** 消息** 部分输入任何消息。

结论

我们现在已经设置了一个安全的,密码保护的MQTT服务器,从Let's Encrypt服务自动更新SSL证书,这将作为一个强大而安全的消息传输平台,无论您梦想的项目。

• OwnTracks,一个可在手机上安装的开源地理跟踪应用程序。OwnTracks会定期向您的MQTT服务器报告位置信息,然后您可以存储并显示在地图上,或者创建警报并根据您的位置激活物联网硬件。
• Node-RED是一个基于浏览器的图形界面,用于连接物联网。您可以将一个节点的输出拖动到另一个节点的输入,并可以通过各种协议之间的过滤器将信息路由到数据库,到数据库等。MKTT非常受Node-RED的支持。 (ESP8266)(https://espressif.com/en/products/hardware/esp8266ex/overview)是一种廉价的WiFi微控制

这些只是MQTT生态系统中的一些受欢迎的例子,有更多的硬件和软件在外面说话协议. 如果你已经有一个最喜欢的硬件平台,或软件语言,它可能有MQTT功能。