CentOS7にMosquittoMQTTメッセージングブローカーをインストールして保護する方法
序章
MQTT は、マシンツーマシンメッセージングプロトコルであり、「モノのインターネット」デバイスへの軽量のパブリッシュ/サブスクライブ通信を提供するように設計されています。 これは一般的に、車両の地理追跡、ホームオートメーション、環境センサーネットワーク、およびユーティリティ規模のデータ収集に使用されます。
Mosquitto は人気のあるMQTTサーバー(またはMQTT用語ではブローカー)であり、優れたコミュニティサポートを備えており、インストールと構成が簡単です。
このチュートリアルでは、Mosquittoをインストールし、Let's EncryptからSSL証明書を取得し、SSLを使用してパスワードで保護されたMQTT通信を保護するようにブローカーを設定します。
前提条件
このチュートリアルを開始する前に、次のものが必要です。
- ルート以外のsudo対応ユーザーと基本的なファイアウォールが設定されたCentOS7サーバー。 これ(およびそれ以上)はすべて新しいCentOS7サーバーチェックリストでカバーされています。
- DigitalOcean を使用してホスト名を設定する方法に従って、サーバーを指すドメイン名。 このチュートリアルでは、全体を通して
mqtt.example.com
を使用します。 - オプションで、
nano
テキストエディタ。 このチュートリアルでは、全体でnano
を使用し、sudo yum -y install nano
を使用していつでもインストールしたり、お気に入りのテキストエディタに置き換えたりすることができます。
ステップ1—Mosquittoのインストール
CentOS 7には、デフォルトでmosquitto
パッケージがありません。 これをインストールするには、最初にEnterpriseLinux用のExtraPackages(EPEL)と呼ばれる追加のソフトウェアリポジトリをインストールします。 このリポジトリには、CentOS、Red Hat、およびその他のエンタープライズ指向のLinuxディストリビューションに適切にインストールされる追加のソフトウェアが満載です。
root以外のユーザーでログインし、yum
パッケージマネージャーを使用してepel-release
パッケージをインストールします。
sudo yum -y install epel-release
これにより、EPELリポジトリ情報がシステムに追加されます。 -y
オプションは、プロセス全体でいくつかのプロンプトに自動的に「はい」と答えます。 これで、mosquitto
パッケージをインストールできます。
sudo yum -y install mosquitto
パッケージには単純なデフォルト構成が付属しているので、それを実行してインストールをテストしてみましょう。
sudo systemctl start mosquitto
また、システムを再起動したときにサービスが確実に起動するように、サービスを有効にする必要があります。
sudo systemctl enable mosquitto
次に、デフォルト構成をテストしてみましょう。 mosquitto
パッケージには、いくつかのコマンドラインMQTTクライアントが付属しています。 それらの1つを使用して、ブローカーのトピックをサブスクライブします。
トピックは、メッセージを公開およびサブスクライブするラベルです。 これらは階層として配置されているため、たとえばsensors/outside/temp
とsensors/outside/humidity
を使用できます。 トピックをどのように配置するかは、あなたとあなたのニーズ次第です。 このチュートリアル全体を通して、簡単なテストトピックを使用して構成の変更をテストします。
サーバーにもう一度ログインすると、2つの端末が並んでいます。 新しいターミナルで、mosquitto_sub
を使用して、テストトピックをサブスクライブします。
mosquitto_sub -h localhost -t test
-h
はMQTTサーバーのホスト名を指定するために使用され、-t
はトピック名です。 mosquitto_sub
はメッセージの到着を待機しているため、ENTER
を押しても出力は表示されません。 他の端末に戻り、メッセージを公開します。
mosquitto_pub -h localhost -t test -m "hello world"
mosquitto_pub
のオプションは、mosquitto_sub
と同じですが、今回は追加の-m
オプションを使用してメッセージを指定します。 ENTER
を押すと、もう一方の端末に helloworldがポップアップ表示されます。 最初のMQTTメッセージを送信しました。
2番目の端末にCTRL+C
と入力して、mosquitto_sub
を終了しますが、サーバーへの接続は開いたままにします。 ステップ5の別のテストに再び使用します。
次に、新しいLet's EncryptクライアントであるCertbotを使用して、SSLでインストールを保護します。
ステップ2—Let'sEncrypt証明書用のCertbotのインストールと実行
Let's Encryptは、自動化されたAPIを介して無料のSSL証明書を提供する新しいサービスです。 公式のLet'sEncryptクライアントはCertbotと呼ばれ、前の手順でインストールしたEPELリポジトリに含まれています。
yum
を使用してCertbotをインストールします。
sudo yum -y install certbot
Certbotは、ドメインを制御していることを証明するために、Let'sEncryptAPIによって発行された暗号化の課題に答える必要があります。 これを実現するために、ポート80
(HTTP)および/または443
(HTTPS)を使用します。 ポート80
のみを使用するので、ここでそのポートでの着信トラフィックを許可しましょう。
firewall-cmd
を使用してHTTPサービスを追加します。
sudo firewall-cmd --permanent --add-service=http
ファイアウォールをリロードして、変更を有効にします。
sudo firewall-cmd --reload
これで、Certbotを実行して証明書を取得できます。 --standalone
オプションを使用して、HTTPチャレンジリクエストを独自に処理するようにCertbotに指示し、--standalone-supported-challenges http-01
は通信をポート80
に制限します。 -d
は、証明書を取得するドメインを指定するために使用され、certonly
は、他の構成手順を実行せずに証明書を取得するようにCertbotに指示します。
sudo certbot certonly --standalone --standalone-supported-challenges http-01 -d mqtt.example.com
コマンドを実行すると、電子メールアドレスを入力し、利用規約に同意するように求められます。 そうすると、プロセスが成功し、証明書がどこに保存されているかを示すメッセージが表示されます。
証明書を持っています。 次に、Certbotが期限切れになりそうになったときに自動的に更新するようにする必要があります。
ステップ3—Certbot自動更新の設定
Let's Encryptの証明書は、90日間のみ有効です。 これは、ユーザーが証明書の更新プロセスを自動化することを奨励するためです。 定期的に実行するコマンドを設定して、期限切れの証明書を確認し、それらを自動的に更新する必要があります。
更新チェックを毎日実行するために、定期的なジョブを実行するための標準システムサービスであるcron
を使用します。 crontab
というファイルを開いて編集することにより、cron
に何をすべきかを指示します。
sudo EDITOR=nano crontab -e
EDITOR=nano
は、crontabファイルをnano
エディターで開きます。 デフォルトのvi
エディターを使用する場合は、オフのままにします。
これで、デフォルトのcrontab
という空白のファイルが表示されます。 次の行に貼り付けて、ファイルを保存して閉じます。
crontab
15 3 * * * certbot renew --noninteractive --post-hook "systemctl restart mosquitto"
この行の15 3 * * *
の部分は、「毎日午前3時15分に次のコマンドを実行する」ことを意味します。 Certbotのrenew
コマンドは、システムにインストールされているすべての証明書をチェックし、30日以内に期限切れになるように設定されている証明書を更新します。 --noninteractive
は、ユーザー入力を待たないようにCertbotに指示します。
--post-hook "systemctl restart mosquitto"
は、証明書が更新された場合にのみ、Mosquittoを再起動して新しい証明書を取得します。
証明書の自動更新がすべて設定されたので、Mosquittoのより安全な構成に戻ります。
ステップ4—MQTTパスワードの設定
パスワードを使用するようにMosquittoを構成しましょう。 Mosquittoには、mosquitto_passwd
という特別なパスワードファイルを生成するユーティリティが含まれています。 このコマンドは、指定されたユーザー名のパスワードを入力するように求め、結果を/etc/mosquitto/passwd
に配置します。
sudo mosquitto_passwd -c /etc/mosquitto/passwd sammy
次に、デフォルトの構成ファイルを置き換え、すべての接続にログインを要求するためにこのパスワードファイルを使用するようにMosquittoに指示します。 まず、既存のmosquitto.conf
を削除します。
sudo rm /etc/mosquitto/mosquitto.conf
次に、新しい空白の構成を開きます。
sudo nano /etc/mosquitto/mosquitto.conf
以下に貼り付けます。
/etc/mosquitto/mosquitto.conf
allow_anonymous false password_file /etc/mosquitto/passwd
allow_anonymous false
は、認証されていないすべての接続を無効にし、password_file
行は、ユーザーとパスワードの情報を探す場所をMosquittoに指示します。 ファイルを保存して終了します。
次に、Mosquittoを再起動して、変更をテストする必要があります。
sudo systemctl restart mosquitto
パスワードなしでメッセージを公開してみてください。
mosquitto_pub -h localhost -t "test" -m "hello world"
メッセージは拒否する必要があります:
OutputConnection Refused: not authorised. Error: The connection was refused.
パスワードで再試行する前に、2番目のターミナルウィンドウに再度切り替えて、今回はユーザー名とパスワードを使用して「テスト」トピックにサブスクライブします。
mosquitto_sub -h localhost -t test -u "sammy" -P "password"
接続して座って、メッセージを待つ必要があります。 テストメッセージを定期的に送信するため、チュートリアルの残りの部分では、この端末を開いたまま接続したままにしておくことができます。
次に、ユーザー名とパスワードを使用して、他の端末でメッセージを公開します。
mosquitto_pub -h localhost -t "test" -m "hello world" -u "sammy" -P "password"
メッセージはステップ1のように通過するはずです。 Mosquittoにパスワード保護を追加しました。 残念ながら、インターネットを介して暗号化されていないパスワードを送信しています。 次に、SSL暗号化をMosquittoに追加して修正します。
ステップ5—MQTTSSLの構成
SSL暗号化を有効にするには、Let'sEncrypt証明書が保存されている場所をMosquittoに通知する必要があります。 以前に開始した構成ファイルを開きます。
sudo nano /etc/mosquitto/mosquitto.conf
ファイルの最後に次のように貼り付けて、すでに追加した2行を残します。
/etc/mosquitto/mosquitto.conf
. . . listener 1883 localhost listener 8883 certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
2つの別々のlistener
ブロックを構成に追加します。 最初のlistener 1883 localhost
は、ポート1883
のデフォルトのMQTTリスナーを更新します。これは、これまで接続してきたものです。 1883
は、暗号化されていない標準のMQTTポートです。 行のlocalhost
部分は、Mosquittoにこのポートをローカルホストインターフェイスにのみバインドするように指示しているため、外部からアクセスすることはできません。 とにかく外部リクエストはファイアウォールによってブロックされていたでしょうが、明示的にするのは良いことです。
listener 8883
は、ポート8883
に暗号化されたリスナーを設定します。 これはMQTT+SSLの標準ポートであり、MQTTSと呼ばれることもあります。 次の3行、certfile
、cafile
、およびkeyfile
はすべて、Mosquittoが適切なLet'sEncryptファイルをポイントして暗号化された接続を設定します。
ファイルを保存して終了します。
Mosquittoを再起動して新しい構成をロードする前に、デフォルトのmosquitto
サービスファイルの1つを修正する必要があります。 これは、systemd
がmosquitto
の実行方法を決定するために使用するファイルです。 お気に入りのエディターで開きます。
sudo nano /etc/systemd/system/multi-user.target.wants/mosquitto.service
User=mosquitto
という行を探して削除し、ファイルを保存して終了します。
Mosquittoは引き続きmosquittoユーザーとして実行されますが、最初に起動したときは root 権限があり、Let's Encrypt証明書([ X206X] root アクセス、セキュリティ上の理由から)。 証明書をロードすると、mosquittoユーザーにドロップダウンします。
systemd
自体をリロードする必要があるため、サービスファイルに加えた変更が通知されます。
sudo systemctl daemon-reload
これで、Mosquittoを再起動して設定を更新できます。
sudo systemctl restart mosquitto
ポート8883
への接続を許可するようにファイアウォールを更新します。
sudo firewall-cmd --permanent --add-port=8883/tcp
そしてファイアウォールをリロードします。
sudo firewall-cmd --reload
ここで、SSLのいくつかの異なるオプションを使用して、mosquitto_pub
を使用して再度テストします。
mosquitto_pub -h mqtt.example.com -t test -m "hello again" -p 8883 --cafile /etc/ssl/certs/ca-bundle.crt -u "sammy" -P "password"
localhost
の代わりに完全なホスト名を使用していることに注意してください。 SSL証明書はmqtt.example.com
に対して発行されているため、localhost
に安全に接続しようとすると、ホスト名が証明書のホスト名と一致しないというエラーが表示されます(両方が同じMosquittoサーバー)。
--cafile /etc/ssl/certs/ca-bundle.crt
は、mosquitto_pub
のSSLを有効にし、ルート証明書を探す場所を指示します。 これらは通常、オペレーティングシステムによってインストールされるため、Mac OS、Windowsなどではパスが異なります。 mosquitto_pub
は、ルート証明書を使用して、Mosquittoサーバーの証明書がLet'sEncrypt認証局によって適切に署名されていることを確認します。 mosquitto_pub
およびmosquitto_sub
は、標準のセキュアに接続している場合でも、このオプション(または同様の--capath
オプション)なしではSSL接続を試行しないことに注意してください。 8883
のポート。
テストがすべてうまくいくと、helloagainがもう一方のmosquitto_sub
ターミナルに表示されます。 これは、サーバーが完全にセットアップされていることを意味します。 MQTTプロトコルを拡張してWebSocketで動作するようにする場合は、最後の手順に従うことができます。
ステップ6— Websocketを介したMQTTの構成(オプション)
Webブラウザ内からJavaScriptを使用してMQTTを話すために、プロトコルは標準のWebSocketで機能するように調整されました。 この機能が必要ない場合は、この手順をスキップできます。
Mosquitto構成にlistener
ブロックをもう1つ追加する必要があります。
sudo nano /etc/mosquitto/mosquitto.conf
ファイルの最後に、以下を追加します。
/etc/mosquitto/mosquitto.conf
. . . listener 8083 protocol websockets certfile /etc/letsencrypt/live/mqtt.example.com/cert.pem cafile /etc/letsencrypt/live/mqtt.example.com/chain.pem keyfile /etc/letsencrypt/live/mqtt.example.com/privkey.pem
これは、ポート番号とprotocol websockets
行を除いて、前のブロックとほとんど同じです。 WebSocketを介したMQTTの公式の標準化されたポートはありませんが、8083
が最も一般的です。
ファイルを保存して終了し、Mosquittoを再起動します。
sudo systemctl restart mosquitto
次に、ファイアウォールでポート8083
を開きます。
sudo firewall-cmd --permanent --add-port=8083/tcp
そして、ファイアウォールをもう一度リロードします。
sudo firewall-cmd --reload
この機能をテストするために、パブリックなブラウザーベースのMQTTクライアントを使用します。 そこにはいくつかありますが、mqtt-adminはシンプルで簡単です。 ブラウザでmqtt-adminを開きます。 次のように表示されます。
次のように接続情報を入力します。
- プロトコルはwss( w eb s ocket s ecureの略)である必要があります。
- Host は、Mosquittoサーバーのドメイン
mqtt.example.com
である必要があります。 - ポートは
8083
である必要があります。 - UserはMosquittoのユーザー名である必要があります。 ここでは、sammyを使用しました。
- Password は、選択したパスワードである必要があります。
- ClientIdはデフォルト値のmqtt-adminのままにしておくことができます。
[設定の保存]を押すと、mqtt-admin
がMosquittoサーバーに接続します。 次の画面で、トピックにテストと入力し、ペイロードのメッセージを入力して、公開を押します。 メッセージはmosquitto_sub
端末に表示されます。
結論
Let's EncryptサービスからのSSL証明書を自動更新することで、パスワードで保護された安全なMQTTサーバーをセットアップしました。 これは、あなたが夢見ているどんなプロジェクトに対しても、堅牢で安全なメッセージングプラットフォームとして機能します。 MQTTプロトコルでうまく機能する一般的なソフトウェアとハードウェアには次のものがあります。
- OwnTracks 、携帯電話にインストールできるオープンソースの地理追跡アプリ。 OwnTracksは定期的に位置情報をMQTTサーバーに報告します。これを保存して地図に表示したり、アラートを作成して場所に基づいてIoTハードウェアをアクティブ化したりできます。
- Node-RED は、モノのインターネットを「配線」するためのブラウザベースのグラフィカルインターフェイスです。 あるノードの出力を別のノードの入力にドラッグすると、フィルターを介して、さまざまなプロトコル間で、データベースなどに情報をルーティングできます。 MQTTはNode-REDによって非常によくサポートされています。
- ESP8266 は、MQTT機能を備えた安価なwifiマイクロコントローラーです。 温度データをトピックに公開するために1つを接続するか、気圧トピックをサブスクライブして、嵐が来たときにブザーを鳴らすことができます。
これらは、MQTTエコシステムからのいくつかの人気のある例です。 プロトコルを話すハードウェアとソフトウェアはもっとたくさんあります。 お気に入りのハードウェアプラットフォームまたはソフトウェア言語がすでにある場合は、おそらくMQTT機能があります。 あなたの「もの」がお互いに話し合うのを楽しんでください!