Wie richten Sie die verschlüsselte mosquitto-broker wie eine Webseite, die hat https?

Ich versuche zu setup ein mosquitto-broker, die mittels ssl/tls verschlüsselt. Ich will nicht zum generieren von client-Zertifikaten. Ich will einfach nur eine verschlüsselte Verbindung.

Die man-Seite nur beschrieben, werden die Einstellungen, die verfügbar sind, nicht erforderlich sind und wie Sie verwendet werden.

Welche Einstellungen sind notwendig und wie setzt man Sie?

Benutze ich mosquitto 1.3.5

InformationsquelleAutor Gussoh | 2014-10-30

  1. 16

    Gibt es eine kleine Anleitung hier, aber es tut sich nicht viel sagen: http://mosquitto.org/man/mosquitto-tls-7.html

    Müssen Sie diese:
    certfile
    keyfile
    cafile

    Können Sie werden erzeugt mit den Befehlen im obigen link. Aber leichter ist, verwenden Sie dieses Skript: https://github.com/owntracks/tools/blob/master/TLS/generate-CA.sh

    Nachdem das Skript ausgeführt und die änderung der config könnte wie folgt Aussehen:

    listener 8883
cafile /etc/mosquitto/certs/ca.crt
certfile /etc/mosquitto/certs/hostname.localdomain.crt
keyfile /etc/mosquitto/certs/hostname.localdomain.key

    Wenn mosquitto sagt Unable to load server key file es bedeutet, dass der Benutzer die ausgeführt wird, mosquitto nicht über die Berechtigung zum Lesen der Datei. Auch wenn du es startest als root den broker beginnen könnte, als ein anderer Benutzer, mosquitto zum Beispiel. Um dieses Problem zu lösen z.B. chown mosquitto:root keyfile

    Verbindung zu dem broker, der client muss die Zertifizierungsstelle.crt-Datei. Wenn Sie nicht liefern diese der broker etwas sagen wie:

    OpenSSL Error: Fehler:1408F10B:SSL-Routinen:SSL3_GET_RECORD:falsche Versionsnummer

    Angeben, um die mosquitto_sub Befehl, den Sie verwenden --cafile pathToCaCrt. Die ca.crt verteilt werden können, mit den Kunden und es wird sicherstellen, dass der server mit dem es verbunden ist ist eigentlich der richtige server.

    Den --insecure Flagge mosquitto_sub nicht machen, der Kunde akzeptiert alle Zertifikate (wie z.B. mit wget oder ähnliches), es erlaubt nur, dass das Zertifikat nicht der host, mit dem Sie eine Verbindung herstellen, gemeinsamen Namen. So sollten Sie sicherstellen, dass Ihr Zertifikat hat Sie Ihre broker-host als common name.

    eine praktische Anleitung hier, dass man sich ändern kann; jpmens.net/2013/09/01/installing-mosquitto-on-a-raspberry-pi

    InformationsquelleAutor Gussoh

  2. 4

    Auf sichere WebSocket-Zugriff von Mosquitto, z.B. mit einem Let ' s Verschlüsseln, Zertifikat, Ihre config-Datei könnte wie folgt Aussehen:

    listener 9001
protocol websockets
certfile /etc/letsencrypt/live/yourdomain.com/cert.pem
cafile /etc/letsencrypt/live/yourdomain.com/chain.pem
keyfile /etc/letsencrypt/live/yourdomain.com/privkey.pem

    Stellen Sie sicher, dass die Dateien lesbar von Mosquitto (Debian in allem läuft Mosquitto unter der mosquitto Benutzer, die normale). Sie müssen Mosquitto 1.4 zur Unterstützung von WebSockets.

    Um die Verbindung zu diesem WebSocket mit der Paho JavaScript-client:

    //host and port overwritten at connect
var mqtt = new Paho.MQTT.Client("yourdomain.com", 9001, "");   

mqtt.connect({
    hosts: [ "wss://yourdomain.com:9001/" ],
    useSSL: true
});

    Beachten Sie, dass dies impliziert keine access control noch, so dass Ihre MQTT-broker wird öffentlich zugänglich sein. Sie können hinzufügen, Autorisierung, zu.

    möchte nur hinzufügen..wenn Sie sind auf AWS EC2, u muss die eingehende Regeln Ihre Sicherheits-Gruppe den port zu öffnen (9001 in diesem Fall)...ich habe echt schlecht gesteuert

    InformationsquelleAutor romor

Schreibe einen Kommentar