如何在CentOS 7上安装和保护Mosquitto MQTT消息传递代理-系统运维-优客志

介绍

MQTT是一种机器到机器消息协议，旨在为“物联网”设备提供轻量级发布/订阅通信。它通常用于车辆的地理跟踪车队，家庭自动化，环境传感器网络和公用事业规模的数据收集。 Mosquitto是一个受欢迎的MQTT服务器（或代理，在MQTT中的用法），具有良好的社区支持，易于安装和配置。在本教程中，我们将安装Mosquitto，从Let's Encrypt检索SSL证书，并设置我们的代理使用SSL来保护受密码保护的MQTT通信。

先决条件

在开始本教程之前，您需要：

具有非root，启用sudo的用户和基本防火墙的CentOS 7服务器。这个（和更多）在新的CentOS 7服务器清单中有所有。
指向您的服务器的域名，按照如何使用DigitalOcean设置主机名。本教程将使用mqtt.example.com。
可选， nano文本编辑器。安装您喜欢的文本编辑器。本教程将使用nano整个，你可以随时安装它与sudo yum -y install nano 。

第1步 - 安装Mosquitto

默认情况下，CentOS 7没有 mosquitto包。要安装它，我们将首先安装一个名为Extra Packages for Enterprise Linux或EPEL的额外软件存储库。这个存储库包含了在CentOS，Red Hat和其他面向企业的Linux发行版上安装的附加软件。使用非root用户登录，并使用 yum软件包管理器安装 epel-release软件包。

sudo yum -y install epel-release

这将EPEL存储库信息添加到我们的系统。 -y选项会在整个过程中自动为yes回答几个提示。现在我们可以安装 mosquitto包。

sudo yum -y install mosquitto

该包有一个简单的默认配置，所以让我们运行它来测试我们的安装。

sudo systemctl start mosquitto

我们还需要启用服务，以确保它启动时，我们重新启动系统：

sudo systemctl enable mosquitto

现在让我们测试默认配置。 mosquitto包附带一些命令行MQTT客户端。我们将使用其中一个订阅我们的经纪人的主题。主题是您向其发布消息和订阅的标签。它们被布置为层次结构，因此，例如，您可以具有 sensors/outside/temp和 sensors/outside/humidity 。如何安排主题取决于你和你的需要。在本教程中，我们将使用一个简单的测试主题来测试我们的配置更改。第二次登录到您的服务器，因此您有两个端子并排。在新终端中，使用 mosquitto_sub订阅测试主题：

mosquitto_sub -h localhost -t test

-h用于指定MQTT服务器的主机名， -t是主题名。由于 mosquitto_sub正在等待消息到达，因此在按 ENTER后没有输出。切换回您的其他终端并发布消息：

mosquitto_pub -h localhost -t test -m "hello world"

mosquitto_pub的选项与 mosquitto_pub相同，但是这次我们使用附加的 -m选项来指定我们的消息。按 ENTER ，你应该看到 hello world弹出在另一个终端。您发送了第一个MQTT消息！在第二个终端中输入 CTRL+C ，退出 mosquitto_sub ，但保持与服务器的连接打开。我们将在第5步中再次使用它进行另一个测试。接下来，我们将使用Certbot（新的Let's Encrypt客户端）使用SSL保护我们的安装。

第2步 - 安装并运行Certbot让我们加密证书

Let's Encrypt是一项新服务，通过自动API提供免费的SSL证书。官方Let's Encrypt客户端称为Certbot，它包含在我们在上一步中安装的EPEL存储库中。用 yum安装Certbot。

sudo yum -y install certbot

Certbot需要回答Let's Encrypt API发出的加密挑战，以证明我们控制我们的域。它使用端口 80 （HTTP）和/或 443 （HTTPS）来完成此操作。我们只使用端口 80 ，所以让我们允许在该端口上的传入流量。使用 firewall-cmd添加HTTP服务。

sudo firewall-cmd --permanent --add-service=http

重新加载防火墙，以使更改生效。

sudo firewall-cmd --reload

我们现在可以运行Certbot获取我们的证书。我们将使用 --standalone选项告诉Certbot自己处理HTTP质询请求，以及 --standalone-supported-challenges http-01将通信限制为端口 80 。 -d用于指定您想要证书的域，并且 certonly告知Certbot只是检索证书，而不执行任何其他配置步骤。

sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d mqtt.example.com

运行命令时，系统将提示您输入电子邮件地址并同意服务条款。这样做后，您应该会看到一条消息，告诉您进程成功以及您的证书存储在何处。我们有我们的证书。现在我们需要确保Certbot在它们即将到期时自动更新它们。

第3步 - 设置Certbot自动续订

让我们加密的证书只有九十天有效。这是为了鼓励用户自动执行证书续订过程。我们需要设置一个定期运行的命令来检查到期的证书并自动更新。为了每天运行更新检查，我们将使用 cron作为运行周期性作业的标准系统服务。我们通过打开和编辑名为 crontab的文件告诉 cron要做什么。

sudo EDITOR=nano crontab -e

EDITOR=nano将使 nano编辑器中的crontab文件打开。如果您希望使用默认 vi编辑器，请将其关闭。您现在应该看到默认的 crontab ，一个空白文件。粘贴到以下行，然后保存并关闭文件。

crontab

15 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"

该行的 15 3 * * *部分表示“每天上午3:15运行以下命令”。 Certbot的 renew命令将检查系统上安装的所有证书，并更新任何设置为在三十天内到期的证书。 --noninteractive告知Certbot不要等待用户输入。 --post-hook "systemctl restart mosquitto"将重新启动Mosquitto以获取新证书，但前提是证书已更新。现在，自动证书更新已设置，我们将回到配置Mosquitto更安全。

第4步 - 配置MQTT密码

让我们配置Mosquitto使用密码。 Mosquitto包含一个实用程序来生成一个名为 mosquitto_passwd的特殊密码文件。此命令将提示您输入指定用户名的密码，并将结果放在 /etc/mosquitto/passwd 。

sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy

现在我们将替换默认配置文件，并告诉Mosquitto使用此密码文件要求所有连接登录。首先，删除现有的 mosquitto.conf 。

sudo rm /etc/mosquitto/mosquitto.conf

现在打开一个新的，空白的配置。

sudo nano /etc/mosquitto/mosquitto.conf

粘贴在以下。

/etc/mosquitto/mosquitto.conf

allow_anonymous false
password_file /etc/mosquitto/passwd

allow_anonymous false将禁用所有未验证的连接， password_file行告诉Mosquitto在哪里查找用户和密码信息。保存并退出文件。现在我们需要重新启动Mosquitto并测试我们的更改。

sudo systemctl restart mosquitto

尝试发布不带密码的邮件。

mosquitto_pub -h localhost -t "test" -m "hello world"

该邮件应该被拒绝：

OutputConnection Refused: not authorised.
Error: The connection was refused.

在我们再次尝试使用密码，再次切换到您的第二个终端窗口，并订阅'测试'主题，使用用户名和密码这次：

mosquitto_sub -h localhost -t test -u "sammy" -P "password"

它应该连接和坐，等待消息。您可以将此终端保持打开并连接到本教程的其余部分，因为我们将定期发送测试消息。现在与您的其他终端发布消息，再次使用用户名和密码：

mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"

消息应该通过，如第1步中所示。我们已成功添加密码保护Mosquitto。不幸的是，我们通过互联网发送密码未加密。我们将通过添加SSL加密到Mosquitto来解决。

第5步 - 配置MQTT SSL

要启用SSL加密，我们需要告诉Mosquitto我们的加密证书存储在哪里。打开我们以前启动的配置文件。

sudo nano /etc/mosquitto/mosquitto.conf

粘贴到文件末尾的下面，留下我们已经添加的两行：

/etc/mosquitto/mosquitto.conf

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

我们在配置中添加了两个独立的 listener块。第一个， listener 1883 localhost更新端口 1883上的默认MQTT监听器，这是我们一直连接到目前为止。 1883是标准的未加密MQTT端口。该行的 localhost部分指示Mosquitto仅将此端口绑定到localhost接口，因此无法从外部访问。外部请求将被我们的防火墙阻止，但是很好明确。 listener 8883在端口 8883上设置加密的监听器。这是MQTT + SSL的标准端口，通常称为MQTTS。接下来的三行， certfile ， cafile和 keyfile ，都将Mosquitto指向相应的Let's Encrypt文件来设置加密连接。保存并退出文件。在我们重新启动Mosquitto加载新的配置之前，我们需要修复默认 mosquitto服务文件中的一件事。这是 systemd用来确定如何运行 mosquitto 。在您喜欢的编辑器中打开它。

sudo nano /etc/systemd/system/multi-user.target.wants/mosquitto.service

查找一条表示 User=mosquitto并将其删除的行，然后保存并退出该文件。 Mosquitto仍将作为 mosquitto用户运行，但是当它首次启动时，它将具有 root权限，并且将能够加载我们的Let's Encrypt证书（出于安全原因，它被限制为 root访问权限）。加载证书后，它将下载到蚊子用户。我们需要重新加载 systemd本身，所以它注意到我们对服务文件所做的更改。

sudo systemctl daemon-reload

现在我们可以重新启动Mosquitto更新设置。

sudo systemctl restart mosquitto

更新防火墙以允许连接到端口 8883 。

sudo firewall-cmd --permanent --add-port=8883/tcp

并重新加载防火墙。

sudo firewall-cmd --reload

现在我们再次使用 mosquitto_pub测试，有几个不同的SSL选项。

mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --cafile /etc/ssl/certs/ca-bundle.crt -u "sammy" -P "password"

请注意，我们使用完整的主机名而不是 localhost 。因为我们的SSL证书是针对 mqtt.example.com发出的，如果我们尝试到 localhost的安全连接，我们会收到一个错误，指出主机名与证书主机名不匹配（即使它们都指向同一个Mosquitto服务器）。 --cafile /etc/ssl/certs/ca-bundle.crt为 --cafile /etc/ssl/certs/ca-bundle.crt启用SSL，并告知它在哪里查找根证书。这些通常由操作系统安装，因此对于Mac OS，Windows等， mosquitto_pub使用根证书来验证Mosquitto服务器的证书是否由Let's Encrypt证书颁发机构正确签名。请注意，即使您连接到 8883的标准安全端口， mosquitto_pub和 mosquitto_sub也不会尝试使用此选项（或类似的 --capath选项）的SSL连接。如果一切顺利的测试，我们会看到 你好再次出现在另一个 mosquitto_sub终端。这意味着您的服务器已完全设置！如果你想扩展MQTT协议来使用websockets，你可以按照最后一步。

第6步 - 通过WebSocket配置MQTT（可选）

为了使用Web浏览器中的JavaScript来讲MQTT，协议适用于在标准websockets上工作。如果您不需要此功能，则可以跳过此步骤。我们需要添加一个 listener块到我们的Mosquitto配置。

sudo nano /etc/mosquitto/mosquitto.conf

在文件的末尾，添加以下内容：

/etc/mosquitto/mosquitto.conf

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

这 protocol websockets与上一个块相同，除了端口号和 protocol websockets行。没有用于MQTT的官方标准化端口通过websockets，但 8083是最常见的。保存并退出文件，然后重新启动Mosquitto。

sudo systemctl restart mosquitto

现在，打开防火墙中的端口 8083 。

sudo firewall-cmd --permanent --add-port=8083/tcp

并且最后一次重新加载防火墙。

sudo firewall-cmd --reload

为了测试这个功能，我们将使用一个基于浏览器的公共MQTT客户端。有几个，但是 mqtt-admin是简单和直接。在浏览器中打开mqtt-admin 。您将看到以下内容： mqtt-admin的初始屏幕

按如下所示填写连接信息：

协议应该是wss （这代表web的ocket s ecure）。
主机应该是您的Mosquitto服务器的域， mqtt.example.com 。
端口应为8083 。
用户应该是您的Mosquitto用户名; 在这里，我们使用sammy 。
密码应该是您选择的密码。
ClientId可以保留默认值mqtt-admin 。

按下 保存设置后 ， mqtt-admin将连接到您的Mosquitto服务器。在下一个屏幕中，填写 Topic作为测试，输入任何有关 Payload的消息，然后按发布。该消息将显示在 mosquitto_sub终端中。

结论

我们现在已经设置了一个安全的，密码保护的MQTT服务器，使用来自Let's Encrypt服务的自动更新SSL证书。这将作为一个强大和安全的消息平台，用于任何项目你梦想。一些流行的软件和硬件与MQTT协议工作良好包括：

OwnTracks是一个开源的地理跟踪应用，您可以在手机上安装。 OwnTracks将定期向MQTT服务器报告位置信息，然后您可以将其存储和显示在地图上，或根据您的位置创建警报并激活物联网硬件。
Node-RED是一个基于浏览器的图形界面，用于将物联网“布线”在一起。您将一个节点的输出拖动到另一个节点的输入，并可以通过过滤器，在各种协议之间将信息路由到数据库等。 MQTT得到了Node-RED的很好的支持。
ESP8266是一个具有MQTT功能的便宜的wifi微控制器。你可以连接一个发布温度数据到一个主题，或者订阅气压压力主题，并在暴风雨来临时发出蜂鸣声！

这些只是MQTT生态系统中的几个流行示例。有更多的硬件和软件在那里说的协议。如果你已经有一个喜欢的硬件平台或软件语言，它可能有MQTT功能。有乐趣让你的“东西”彼此交谈！

如何在CentOS 7上安装和保护Mosquitto MQTT消息传递代理

介绍

先决条件

第1步 - 安装Mosquitto

第2步 - 安装并运行Certbot让我们加密证书

第3步 - 设置Certbot自动续订

第4步 - 配置MQTT密码

第5步 - 配置MQTT SSL

第6步 - 通过WebSocket配置MQTT（可选）

结论

相关推荐

推荐云主机，建站更安全

热度排行

热门标签

回顶部

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏