Mosquitto

V tutoriálu je srozumitelně popsané, jak MQTT funguje.

Do konfiguračního souboru lze dle zdroje přidat tyto řádky:

# Types of messages to log. Use multiple log_type lines for logging
# multiple types of messages.
# Possible types are: debug, error, warning, notice, information, 
# none, subscribe, unsubscribe, websockets, all.
# Note that debug type messages are for decoding the incoming/outgoing
# network packets. They are not logged in "topics".
log_type error
log_type warning
log_type notice
log_type information

Vycházím z návodu Configuring the Mosquitto MQTT Docker container for use with Home Assistant, který popisuje zapnutí autentizace pro Mosquitto. Další informace jsem pak čerpal z tohoto článku: Deploying Mosquitto MQTT broker on Linux using Docker

V konfiguračním souboru mosquitto.conf nastavím/změním toto:

password_file /mosquitto/pwfile/pwfile
allow_anonymous false

Pak se připojím do kontejneru s mosquitto a vytvořím uživatele s heslem:

docker exec -it mosquitto sh
mosquitto_passwd -c /mosquitto/pwfile/pwfile majordomus

Nakonec retartovat kontejner s Mosquitto.

Příkaz pro čtení s autentizací:

$ mosquitto_sub -u henry --pw 'passw0rd' -h localhost -p 1883 -v -t test/message

Příkaz pro publikaci s autentizací:

$ mosquitto_pub -u henry -P 'passw0rd' -h localhost -p 1883 -t test/message -m 'Hello World!'

Nejprve jsem postupoval podle návodu Secure MQTT broker (TLS) and Docker Compose.

Jako první jsem použil tento skript pro vygenerování certifikátů:

#!/bin/bash
 
IP="192.168.1.22"
SUBJECT_CA="/C=CZ/ST=Brno/L=Brno/O=majordomus/OU=CA/CN=$IP"
SUBJECT_SERVER="/C=CZ/ST=Brno/L=Brno/O=majordomus/OU=Server/CN=$IP"
SUBJECT_CLIENT="/C=CZ/ST=Brno/L=Brno/O=majordomus/OU=Client/CN=$IP"
 
function generate_CA () {
   echo "$SUBJECT_CA"
   openssl req -x509 -nodes -sha256 -newkey rsa:2048 -subj "$SUBJECT_CA"  -days 365 -keyout ca.key -out ca.crt
}
 
function generate_server () {
   echo "$SUBJECT_SERVER"
   openssl req -nodes -sha256 -new -subj "$SUBJECT_SERVER" -keyout server.key -out server.csr
   openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
}
 
function generate_client () {
   echo "$SUBJECT_CLIENT"
   openssl req -new -nodes -sha256 -subj "$SUBJECT_CLIENT" -out client.csr -keyout client.key 
   openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365
}
 
 
function generate_der () {
   echo "generate DER certificates for ESP8266"
   openssl x509 -in client.crt -out cert.der -outform DER
   openssl rsa -in client.key -out key.der -outform DER
}
 
function generate_server_pem () {
   echo "generate PEM certificates for Node RED"
   openssl x509 -in server.crt -out server-cert.pem
   openssl rsa -in server.key -out server-key.pem
}
 
 
generate_CA
generate_server
generate_client
generate_der
generate_server_pem

Kód jsem si trochu upravil. Určitě je potřeba tam dát IP adresu zařízení serveru a dále jsem změnil to, že certifikáty se vygenerují s platností na delší dobu než 365 dní.

Dále jsem přidal kód pro vygenerování DER certifikátů serveru kvůli ESP8266. V diskusi jsem se dočetl, že DER je binární formát a ten právě potřebuje ESP8266.

V dalším kroku jsem nahrál soubory ca.crt, server.crt a server.key do konfigurační složky mosquitto a nastavil konfigurační soubor:

cafile /mosquitto/config/ca.crt
certfile /mosquitto/config/server.crt
keyfile /mosquitto/config/server.key

require_certificate true
#use_identity_as_username true

Parametr use_identity_as_username jsem zakomentoval. Pokud by byl aktivní, tak by nebylo potřeba používat přihlašovací jméno a heslo. Stačil by pouze klientský certifikát. Ale takové použití mi nevyhovuje a nevím, jestli by to nedělalo s ESP8266 problém, když klientský certifikát nevyužívá.

Jako poslední jsem upravil port, na kterém mosquitto běží, protože zabezpečené připojení se očekává na portu 8883.

listener 8883

V dalším kroku jsem ještě editoval docker-compose.yml a změnil port pro mosquitto také:

   ports:
   - "8883:8883"

docker-compose up -d

Pro otestování zabezpečeného připojení mi pomohl tento návod.

mosquitto_sub -h 192.168.1.22 -u 'majordomus' --pw 'supertajneheslo' -t 'dum/pracovna/vlhkost' -p 8883 -d --cafile ca.crt --cert client.crt --key client.key
Client (null) sending CONNECT
Client (null) received CONNACK (0)
Client (null) sending SUBSCRIBE (Mid: 1, Topic: dum/pracovna/vlhkost, QoS: 0, Options: 0x00)
Client (null) received SUBACK
Subscribed (mid: 1): 0

Po dlouhém bádání jsem se dopracoval k tomu, že je potřeba certifikát v binárním formátu DER. Nainstaloval jsem si mpfshell a nahrál do ESP8266 vygenerované certifikáty cert.der a key.der. Ještě je dobré si uvědomit, že by nemělo být připojeno nic jiného k portu s ESP8266, jinak to nebude fungovat.

sudo pip3 install mpfshell
mpfshell -c "open ttyUSB0"
ls
put cert.der
put key.der
ls

Pak jsem musel upravid kód v microPythonu, aby načetl certifikáty a použil je při autentizaci.

with open("key.der", 'rb') as f:
            key = f.read()
 
with open("cert.der", 'rb') as f:
            cert = f.read()
 
 
ssl_params = dict()
ssl_params["cert"] = cert
ssl_params["key"] = key
 
 
mqttc = MQTTClient(CLIENT_NAME, BROKER_ADDR, 8883, USER, PASSWORD, ssl=True, ssl_params=ssl_params, keepalive=60)
 

zdroje, ze kterých jsem čerpal:

• https://github.com/peterhinch/micropython-mqtt/issues/10
• https://dev.to/bassparanoya/esp32-micropython-mqtt-tls-28fd
• https://forum.micropython.org/viewtopic.php?f=18&t=11906#p65746
• Solved mqtt and tls - ESP32
• ESP32 ESP8266 MicroPython MQTT Publish Subscribe DS18B20 Readings
• MicroPython: MQTT – Publish DS18B20 Temperature Readings (ESP32/ESP8266)