前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >[快速入门]如何在Ubuntu 18.04上安装和保护Mosquitto MQTT消息传递代理

[快速入门]如何在Ubuntu 18.04上安装和保护Mosquitto MQTT消息传递代理

原创
作者头像
信姜缘
修改2018-09-29 17:07:18
2.7K1
修改2018-09-29 17:07:18
举报
文章被收录于专栏:云计算教程系列

介绍

MQTT是一种机器到机器的消息传递协议,旨在为“物联网”设备提供轻量级的发布/订阅通信。Mosquitto是一种流行的MQTT服务器(或MQTT中的代理),具有出色的社区支持,易于安装和配置。

在这个精简的快速入门教程中,我们将安装和配置Mosquitto,并使用Let的加密SSL证书来保护我们的MQTT流量。

准备

在开始本教程之前,您需要:

  • 一台已经设置好可以使用sudo命令的非root账号的CentOS服务器,并且已开启防火墙。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后再购买服务器
  • 域名指向您的服务器。本教程将使用占位符mqtt.example.com贯穿始终。
  • 服务器上的端口80必须未使用。如果您在具有占用此端口的Web服务器的计算机上安装Mosquitto,则需要使用其他方法来获取证书。

第1步 - 安装软件

首先,我们将安装一个自定义软件存储库以获取最新版本的Certbot,即Let的加密客户端:

代码语言:javascript
复制
sudo add-apt-repository ppa:certbot/certbot

ENTER了接受,然后安装Mosquitto和Certbot的软件包:

代码语言:javascript
复制
sudo apt install certbot mosquitto mosquitto-clients

接下来我们将获取SSL证书。

第2步 - 下载SSL证书

打开防火墙中的端口80

代码语言:javascript
复制
sudo ufw allow 80

然后运行Certbot以获取证书。请务必在此处替换您服务器的域名:

代码语言:javascript
复制
sudo certbot certonly --standalone --preferred-challenges http -d mqtt.example.com

系统将提示您输入电子邮件地址并同意服务条款。执行此操作后,您应该会看到一条消息,告诉您进程是否成功以及您的证书存储在何处。

我们接下来将Mosquitto配置为使用这些证书。

第3步 - 配置Mosquitto

首先,我们将创建一个Mosquitto将用于验证连接的密码文件。使用mosquitto_passwd来创建这个文件,请确保使用你喜欢的用户名替换它:

代码语言:javascript
复制
sudo mosquitto_passwd -c /etc/mosquitto/passwd your-username

系统将提示您输入两次密码。

现在为Mosquitto打开一个新的配置文件:

代码语言:javascript
复制
sudo nano /etc/mosquitto/conf.d/default.conf

这将打开一个空文件。粘贴如下:

代码语言:javascript
复制
allow_anonymous false
password_file /etc/mosquitto/passwd
​
listener 1883 localhost
​
listener 8883
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
​
listener 8083
protocol websockets
certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem
cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem
keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem

请务必替换您在步骤2中使用的域名为mqtt.example.com。完成后保存并关闭文件。

该文件执行以下操作:

  • 禁用匿名登录
  • 使用我们的密码文件启用密码验证
  • 仅在端口1883上为localhost设置不安全的侦听器
  • 在端口8883上设置安全侦听器
  • 在端口8083上设置基于websocket的安全侦听器

重启Mosquitto以获取配置更改:

代码语言:javascript
复制
sudo systemctl restart mosquitto

检查以确保服务再次运行:

代码语言:javascript
复制
sudo systemctl status mosquitto
代码语言:javascript
复制
● mosquitto.service - LSB: mosquitto MQTT v3.1 message broker
   Loaded: loaded (/etc/init.d/mosquitto; generated)
   Active: active (running) since Mon 2018-07-16 15:03:42 UTC; 2min 39s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 6683 ExecStop=/etc/init.d/mosquitto stop (code=exited, status=0/SUCCESS)
  Process: 6699 ExecStart=/etc/init.d/mosquitto start (code=exited, status=0/SUCCESS)
    Tasks: 1 (limit: 1152)
   CGroup: /system.slice/mosquitto.service
           └─6705 /usr/sbin/mosquitto -c /etc/mosquitto/mosquitto.conf

状态应该是active (running)。如果不是,请检查配置文件并重新启动。Mosquitto的日志文件中可能会提供更多信息:

代码语言:javascript
复制
sudo tail /var/log/mosquitto/mosquitto.log

如果一切顺利,请使用ufw允许两个新端口通过防火墙:

代码语言:javascript
复制
sudo ufw allow 8883
sudo ufw allow 8083

现在已经建立了Mosquitto,我们将在续订证书后配置Certbot以重启Mosquitto。

第4步 - 配置Certbot续订

Certbot会在它们到期之前自动续订我们的SSL证书,但需要告知它在重新启动之后重启Mosquitto服务。

打开域名的Certbot续订配置文件:

代码语言:javascript
复制
sudo nano /etc/letsencrypt/renewal/mqtt.example.com.conf

在最后一行添加以下renew_hook选项:

代码语言:javascript
复制
renew_hook = systemctl restart mosquitto

保存并关闭该文件,然后运行Certbot dry run以确保语法正常:

代码语言:javascript
复制
sudo certbot renew --dry-run

如果您没有看到任何错误,那么您已经完成了设置。让我们接下来测试我们的MQTT服务器。

第5步 - 测试Mosquitto

我们在步骤1中安装了一些命令行MQTT客户端。我们可以在localhost监听器上订阅主题测试,如下所示:

代码语言:javascript
复制
mosquitto_sub -h localhost -t test -u "your-user" -P "your-password"

我们可以用mosquitto_pub发布:

代码语言:javascript
复制
mosquitto_pub -h localhost -t test -m "hello world" -u "your-user" -P "your-password"

要使用端口8883上的安全侦听器进行订阅,请执行以下操作:

代码语言:javascript
复制
mosquitto_sub -h mqtt.example.com -t test -p 8883 --capath /etc/ssl/certs/ -u "your-username" -P "your-password"

这就是您向安全监听器发布的方式:

代码语言:javascript
复制
mosquitto_pub -h mqtt.example.com -t test -m "hello world" -p 8883 --capath /etc/ssl/certs/ -u "your-username" -P "your-password"

请注意,我们使用的是完整的主机名而不是localhost。因为我们为mqtt.example.com发布了SSL证书,如果我们尝试安全连接到localhost,我们会收到一条错误消息,指出主机名与证书主机名不匹配。

要测试websocket功能,我们将使用基于浏览器的公共MQTT客户端。在浏览器中打开Eclipse Paho javascript客户端实用程序并填写连接信息,如下所示:

  • 主机是您的Mosquitto服务器的域,mqtt.example.com
  • 端口8083
  • ClientId可以保留为默认的随机值
  • 路径可以保留为/ ws的默认值
  • 用户名是步骤3中的Mosquitto用户名
  • 密码是您在步骤3中选择的密码

其余字段可以保留其默认值。

Connect后,客户端将连接到您的服务器。您可以使用连接窗格下的订阅发布消息窗格进行发布和订阅。

结论

我们现在已经设置并测试了一个安全的,受密码保护和SSL加密的MQTT服务器。这可以作为物联网,家庭自动化或其他项目的强大而安全的消息传递平台。

想要了解更多关于安装和保护Mosquitto MQTT消息传递代理的相关教程,请前往腾讯云+社区学习更多知识。

参考文献:《How to Install and Secure the Mosquitto MQTT Messaging Broker on Ubuntu 18.04 [Quickstart]》

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

mqtt
SSL 证书
https
网络安全

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

mqtt
SSL 证书
https
网络安全
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 介绍
  • 准备
  • 第1步 - 安装软件
  • 第2步 - 下载SSL证书
  • 第3步 - 配置Mosquitto
  • 第4步 - 配置Certbot续订
  • 第5步 - 测试Mosquitto
  • 结论
相关产品与服务
SSL 证书
腾讯云 SSL 证书(SSL Certificates)为您提供 SSL 证书的申请、管理、部署等服务,为您提供一站式 HTTPS 解决方案。
免费体验产品介绍产品文档
精选特惠 用云无忧
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
1