前書き

MQTTは、「モノのインターネット」デバイスへの軽量なパブリッシュ/サブスクライブ通信を提供するために設計されたマシンツーマシンメッセージングプロトコルです。 一般的には、車両のジオトラッキング車両、ホームオートメーション、環境センサーネットワーク、ユーティリティスケールのデータ収集に使用されます。

Mosquittoは人気のあるMQTTサーバー(またはMQTT用語では_broker_)であり、優れたコミュニティサポートがあり、インストールと構成が簡単です。

このチュートリアルでは、Mosquittoをインストールし、Let’s EncryptからSSL証明書を取得し、SSLを使用してパスワードで保護されたMQTT通信を保護するようにブローカーを設定します。

前提条件

このチュートリアルを開始する前に、次のものが必要です。

  • 非ルート、sudo対応ユーザー、および基本的なファイアウォールがセットアップされたCentOS 7サーバー。 これ(およびそれ以上)は、すべてhttps://www.digitalocean.com/community/tutorial_series/new-centos-7-server-checklist [新しいCentOS 7サーバーチェックリスト]で説明されています。

  • https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean [ホスト名をセットアップする方法]に従って、サーバーを指すドメイン名DigitalOcean]。 このチュートリアルでは、全体で「++」を使用します。

  • オプションで、 `+ nano `テキストエディター。 このチュートリアルでは、全体で「 nano 」を使用し、「 sudo yum -y install nano +」を使用していつでもインストールするか、お気に入りのテキストエディターに置き換えることができます。

ステップ1-Mosquittoのインストール

CentOS 7にはデフォルトで `+ mosquitto +`パッケージがありません。 それをインストールするには、まず、Enterprise LinuxのExtra PackagesまたはEPELと呼ばれる追加のソフトウェアリポジトリをインストールします。 このリポジトリには、CentOS、Red Hat、およびその他のエンタープライズ指向のLinuxディストリビューションに適切にインストールされる追加のソフトウェアがいっぱいです。

非rootユーザーでログインし、 `+ yum `パッケージマネージャーを使用して ` epel-release +`パッケージをインストールします。

sudo yum -y install epel-release

これにより、EPELリポジトリ情報がシステムに追加されます。 `+ -y `オプションは、プロセス全体を通していくつかのプロンプトに対して自動的にyesと答えます。 これで、 ` mosquitto +`パッケージをインストールできます。

sudo yum -y install mosquitto

パッケージにはシンプルなデフォルト構成が付属しているため、インストールをテストするために実行してみましょう。

sudo systemctl start mosquitto

また、システムを再起動したときに確実に起動するように、サービスを有効にする必要があります。

sudo systemctl enable mosquitto

それでは、デフォルトの構成をテストしましょう。 `+ mosquitto +`パッケージにはいくつかのコマンドラインMQTTクライアントが付属しています。 そのうちの1つを使用して、ブローカーに関するトピックをサブスクライブします。

_Topics_は、メッセージを発行および購読するラベルです。 これらは階層として配置されているため、たとえば、「+ sensors / outside / temp 」および「 sensors / outside / humidity +」を使用できます。 トピックの配置方法は、あなたとあなたのニーズ次第です。 このチュートリアルでは、簡単なテストトピックを使用して構成の変更をテストします。

サーバーに2回ログインすると、2つの端末が並んでいます。 新しいターミナルで、 `+ mosquitto_sub +`を使用してテストトピックにサブスクライブします。

mosquitto_sub -h localhost -t test

`+ -h `はMQTTサーバーのホスト名を指定するために使用され、 ` -t `はトピック名です。 「 mosquitto_sub 」はメッセージの到着を待機しているため、「 ENTER +」を押しても出力は表示されません。 他の端末に切り替えて、メッセージを公開します。

mosquitto_pub -h localhost -t test -m "hello world"

`+ mosquitto_pub `のオプションは ` mosquitto_sub `と同じですが、今回は追加の ` -m `オプションを使用してメッセージを指定します。 ` ENTER +`を押すと、他のターミナルに* hello world *ポップアップが表示されます。 最初のMQTTメッセージを送信しました!

2番目のターミナルで「+ CTRL + C 」と入力して「 mosquitto_sub +」を終了しますが、サーバーへの接続は開いたままにします。 手順5の別のテストで再び使用します。

次に、新しいLet’s EncryptクライアントであるCertbotを使用して、SSLでインストールを保護します。

ステップ2-証明書を暗号化するためのCertbotのインストールと実行

Let’s Encryptは、自動化されたAPIを介して無料のSSL証明書を提供する新しいサービスです。 公式のLet’s EncryptクライアントはCertbotと呼ばれ、前のステップでインストールしたEPELリポジトリに含まれています。

`+ yum +`でCertbotをインストールします。

sudo yum -y install certbot

Certbotは、ドメインを制御していることを証明するために、Let’s Encrypt APIによって発行された暗号化の課題に答える必要があります。 ポート + 80 +(HTTP)および/または + 443 +(HTTPS)を使用してこれを実現します。 ポート「80」のみを使用するため、ここでそのポートへの着信トラフィックを許可しましょう。

`+ firewall-cmd +`を使用してHTTPサービスを追加します。

sudo firewall-cmd --permanent --add-service=http

ファイアウォールをリロードして、変更を有効にします。

sudo firewall-cmd --reload

これで、Certbotを実行して証明書を取得できます。 `-standalone +`オプションを使用して、CertbotにHTTPチャレンジリクエストを単独で処理するよう指示し、 `-standalone-supported-challenges http-01 `は通信をポート ` 80 `に制限します。 「 -d 」は、証明書が必要なドメインを指定するために使用され、「 certonly +」は、他の設定手順を行わずに証明書を取得するようにCertbotに指示します。

sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d

コマンドを実行すると、メールアドレスを入力し、利用規約に同意するよう求められます。 そうすると、プロセスが正常に完了し、証明書が保存されている場所を示すメッセージが表示されます。

証明書を取得しました。 次に、Certbotが期限切れになったときに自動的に更新するようにする必要があります。

ステップ3-Certbot自動更新のセットアップ

Let’s Encryptの証明書は90日間のみ有効です。 これは、ユーザーが証明書の更新プロセスを自動化することを奨励するためです。 有効期限が切れる証明書を確認して自動的に更新するために、定期的に実行するコマンドを設定する必要があります。

更新チェックを毎日実行するには、定期的なジョブを実行するための標準システムサービスである `+ cron `を使用します。 ` crontab `と呼ばれるファイルを開いて編集することにより、 ` cron +`に何をすべきかを伝えます。

sudo EDITOR=nano crontab -e

`+ EDITOR = nano `は、crontabファイルを ` nano `エディターで開きます。 デフォルトの ` vi +`エディターを使用する場合は、オフのままにします。

デフォルトの + crontab +、空のファイルが表示されます。 次の行に貼り付けてから、ファイルを保存して閉じます。

crontab

15 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"

この行の「15 3 * * * +」の部分は、「毎日午前3時15分に次のコマンドを実行する」ことを意味します。 Certbotの ` renew `コマンドは、システムにインストールされているすべての証明書を確認し、30日以内に期限切れになるように設定されている証明書を更新します。 `-noninteractive +`は、ユーザーの入力を待たないようにCertbotに指示します。

`-post-hook” systemctl restart mosquitto “`は、Mosquittoを再起動して新しい証明書を取得しますが、これは証明書が更新された場合のみです。

証明書の自動更新がすべて設定されたので、Mosquittoをより安全に設定することに戻ります。

ステップ4-MQTTパスワードの構成

パスワードを使用するようにMosquittoを設定しましょう。 Mosquittoには、 `+ mosquitto_passwd `という特別なパスワードファイルを生成するユーティリティが含まれています。 このコマンドは、指定されたユーザー名のパスワードを入力するように促し、結果を ` / etc / mosquitto / passwd +`に配置します。

sudo mosquitto_passwd -c /etc/mosquitto/passwd

ここで、デフォルトの構成ファイルを置き換え、Mosquittoにこのパスワードファイルを使用してすべての接続にログインを要求するように指示します。 まず、既存の `+ mosquitto.conf +`を削除します。

sudo rm /etc/mosquitto/mosquitto.conf

そして、新しい空の設定を開きます。

sudo nano /etc/mosquitto/mosquitto.conf

以下に貼り付けます。

/etc/mosquitto/mosquitto.conf

allow_anonymous false
password_file /etc/mosquitto/passwd

`+ allow_anonymous false `は認証されていない接続をすべて無効にし、 ` password_file +`行はMosquittoにユーザーとパスワードの情報を探す場所を伝えます。 ファイルを保存して終了します。

次に、Mosquittoを再起動して、変更をテストする必要があります。

sudo systemctl restart mosquitto

パスワードなしでメッセージを公開してみてください。

mosquitto_pub -h localhost -t "test" -m "hello world"

メッセージは拒否されるべきです:

OutputConnection Refused: not authorised.
Error: The connection was refused.

パスワードを再試行する前に、2番目のターミナルウィンドウに再度切り替えて、今回はユーザー名とパスワードを使用して「テスト」トピックにサブスクライブします。

mosquitto_sub -h localhost -t test -u "" -P ""

接続して座って、メッセージを待つ必要があります。 定期的にテストメッセージを送信するため、このターミナルを開いたままにしてチュートリアルの残りの部分で接続しておくことができます。

ユーザー名とパスワードを使用して、もう一方の端末でメッセージを公開します。

mosquitto_pub -h localhost -t "test" -m "hello world" -u "" -P ""

メッセージはステップ1のように通過するはずです。 Mosquittoにパスワード保護を追加しました。 残念ながら、暗号化されていないパスワードをインターネット経由で送信しています。 次に、MosquittoにSSL暗号化を追加して、これを修正します。

ステップ5-MQTT SSLの構成

SSL暗号化を有効にするには、Let’s Encrypt証明書の保存場所をMosquittoに伝える必要があります。 以前に開始した構成ファイルを開きます。

sudo nano /etc/mosquitto/mosquitto.conf

ファイルの最後に以下を貼り付けて、追加した2行を残します。

/etc/mosquitto/mosquitto.conf

. . .
listener 1883 localhost

listener 8883
certfile /etc/letsencrypt/live//cert.pem
cafile /etc/letsencrypt/live//chain.pem
keyfile /etc/letsencrypt/live//privkey.pem

2つの個別の「+ listener 」ブロックを設定に追加しています。 最初の ` listener 1883 localhost `は、ポート ` 1883 `上のデフォルトのMQTTリスナーを更新します。これはこれまで接続してきたものです。 ` 1883 `は標準の暗号化されていないMQTTポートです。 行の「 localhost +」部分は、Mosquittoにこのポートをローカルホストインターフェースにのみバインドするように指示するため、外部からはアクセスできません。 いずれにせよ、外部リクエストはファイアウォールによってブロックされていたはずですが、明示するのは良いことです。

`+ listener 8883 `はポート ` 8883 `に暗号化されたリスナーを設定します。 これは、MQTT + SSLの標準ポートであり、MQTTSとも呼ばれます。 次の3行、「 certfile 」、「 cafile 」、および「 keyfile +」はすべて、Mosquittoが適切なLet’s Encryptファイルを指し、暗号化された接続をセットアップします。

ファイルを保存して終了します。

Mosquittoを再起動して新しい設定を読み込む前に、デフォルトの `+ mosquitto `サービスファイルで1つのことを修正する必要があります。 これは、 ` mosquitto `の実行方法を決定するために ` systemd +`が使用するファイルです。 お気に入りのエディターで開きます。

sudo nano /etc/systemd/system/multi-user.target.wants/mosquitto.service

`+ User = mosquitto +`という行を探して削除し、ファイルを保存して終了します。

Mosquittoは引き続き* mosquitto ユーザーとして実行されますが、最初の起動時には root 特権を持ち、Let’s Encrypt証明書(セキュリティ上の理由で root アクセスに制限されています)を読み込むことができます。 証明書をロードすると、 mosquitto *ユーザーにドロップダウンされます。

`+ systemd +`自体をリロードする必要があるため、サービスファイルに加えた変更に気付きます。

sudo systemctl daemon-reload

そして今、Mosquittoを再起動して設定を更新できます。

sudo systemctl restart mosquitto

ファイアウォールを更新して、ポート「8883」への接続を許可します。

sudo firewall-cmd --permanent --add-port=8883/tcp

そして、ファイアウォールをリロードします。

sudo firewall-cmd --reload

次に、SSLのいくつかの異なるオプションを使用して、 `+ mosquitto_pub +`を使用して再度テストします。

mosquitto_pub -h  -t test -m "hello again" -p 8883 --cafile /etc/ssl/certs/ca-bundle.crt -u "" -P ""

`+ localhost `の代わりに完全なホスト名を使用していることに注意してください。 SSL証明書は「+」に対して発行されるため、「+ localhost +」への安全な接続を試みると、ホスト名が証明書のホスト名と一致しないというエラーが表示されます(どちらも同じMosquittoサーバーを指している場合でも) 。

`-cafile / etc / ssl / certs / ca-bundle.crt +`は ` mosquitto_pub `のSSLを有効にし、ルート証明書を探す場所を指示します。 これらは通常、オペレーティングシステムによってインストールされるため、Mac OS、Windowsなどではパスが異なります。 ` mosquitto_pub`は、ルート証明書を使用して、Mosquitoサーバーの証明書がLet’s Encrypt認証局によって適切に署名されたことを確認します。 `+ mosquitto_pub `と ` mosquitto_sub `は、このオプション(または同様の `-capath +`オプション)なしでSSL接続を試行しないことに注意してください。 8883 + `。

すべてがテストで問題なければ、もう1つの「+ mosquitto_sub +」ターミナルに* helloが再び表示されます。 これは、サーバーが完全にセットアップされたことを意味します! MQTTプロトコルを拡張してWebソケットで動作するようにしたい場合は、最後の手順に従ってください。

ステップ6-Websocket上のMQTTの構成(オプション)

Webブラウザ内からJavaScriptを使用してMQTTを話すために、プロトコルは標準のWebソケット上で動作するように適合されました。 この機能が必要ない場合は、この手順をスキップできます。

Mosquittoの設定にもう1つ「+ listener +」ブロックを追加する必要があります。

sudo nano /etc/mosquitto/mosquitto.conf

ファイルの最後に、次を追加します。

/etc/mosquitto/mosquitto.conf

. . .
listener 8083
protocol websockets
certfile /etc/letsencrypt/live//cert.pem
cafile /etc/letsencrypt/live//chain.pem
keyfile /etc/letsencrypt/live//privkey.pem

これは、ポート番号と `+ protocol websockets `行を除いて、前のブロックとほとんど同じです。 Websocketを介したMQTTの公式の標準化されたポートはありませんが、「 8083+」が最も一般的です。

ファイルを保存して終了し、Mosquittoを再起動します。

sudo systemctl restart mosquitto

ここで、ファイアウォールのポート「8083」を開きます。

sudo firewall-cmd --permanent --add-port=8083/tcp

最後にもう一度ファイアウォールをリロードします。

sudo firewall-cmd --reload

この機能をテストするには、ブラウザベースの公開MQTTクライアントを使用します。 いくつかありますが、https://hobbyquaker.github.io/mqtt-admin/ [mqtt-admin]はシンプルで簡単です。 https://hobbyquaker.github.io/mqtt-admin/ [ブラウザでmqtt-adminを開きます]。 以下が表示されます。

image:http://assets.digitalocean.com/articles/mosquitto/SJRJgLX.png [mqtt-adminの初期画面]

接続情報を次のように入力します。

  • * Protocol wss *( w eb s ocket s ecureの略)でなければなりません。

  • * Host *は、Mosquittoサーバーのドメイン「++」である必要があります。

  • *ポート*は `+ 8083 +`でなければなりません。

  • * User はMosquittoユーザー名でなければなりません。ここでは、 sammy *を使用しました。

  • * Password *は、選択したパスワードです。

  • * ClientId はデフォルト値 mqtt-admin *のままにしておくことができます。

  • Save Settings *を押した後、 `+ mqtt-admin `はMosquittoサーバーに接続します。 次の画面で、*トピック*を*テスト*として入力し、*ペイロード*のメッセージを入力して、*公開*を押します。 メッセージは ` mosquitto_sub`ターミナルに表示されます。

結論

Let’s EncryptサービスからのSSL証明書を自動更新する、安全でパスワードで保護されたMQTTサーバーをセットアップしました。 これは、どんなプロジェクトを考えても、堅牢で安全なメッセージングプラットフォームとして機能します。 MQTTプロトコルで適切に動作する一般的なソフトウェアとハ​​ードウェアには次のものがあります。

  • OwnTracks、携帯電話にインストールできるオープンソースの地理追跡アプリ。 OwnTracksは定期的に位置情報をMQTTサーバーに報告します。MQTTサーバーは、マップに保存して表示したり、位置に基づいてアラートを作成してIoTハードウェアをアクティブにしたりできます。

  • Node-REDは、モノのインターネットを「配線」するためのブラウザベースのグラフィカルインターフェイスです。 あるノードの出力を別のノードの入力にドラッグすると、フィルターを介して、さまざまなプロトコル間で、データベースなどに情報をルーティングできます。 MQTTはNode-REDで非常によくサポートされています。

  • ESP8266は、MQTT機能を備えた安価なwifiマイクロコントローラーです。 温度データをトピックに公開するために配線するか、気圧のトピックにサブスクライブして、嵐が来ているときにブザーを鳴らすことができます!

これらは、MQTTエコシステムの一般的な例のほんの一部です。 プロトコルを話すハードウェアとソフトウェアがはるかに多くあります。 お気に入りのハードウェアプラットフォームまたはソフトウェア言語を既にお持ちの場合は、MQTT機能を備えている可能性があります。 あなたの「もの」が互いに話し合うのを楽しんでください!