Как подключиться к MQTT брокеру с помощью TLS?
У меня есть ESP8266, который подключается к брокеру MQTT, и он работает нормально, используя user+pass со следующим кодом:
#include <ESP8266WiFi.h>
#include <PubSubClient.h>
const char* ssid = "WIFINAME";
const char* password = "WIFI_PASS";
const char* mqtt_server = "SERVER_IP";
const char* mqttUser = "user";
const char* mqttPassword = "pass";
WiFiClient espClient;
PubSubClient client(espClient);
unsigned long lastMsg = 0;
#define MSG_BUFFER_SIZE (50)
char msg[MSG_BUFFER_SIZE];
int value = 0;
void setup_wifi() {
delay(10);
// We start by connecting to a WiFi network
Serial.println();
Serial.print("Connecting to ");
Serial.println(ssid);
WiFi.begin(ssid, password);
while (WiFi.status() != WL_CONNECTED) {
delay(500);
Serial.print(".");
}
randomSeed(micros());
Serial.println("");
Serial.println("WiFi connected");
Serial.println("IP address: ");
Serial.println(WiFi.localIP());
}
void callback(char* topic, byte* payload, unsigned int length) {
Serial.print("Message arrived [");
Serial.print(topic);
Serial.print("] ");
for (int i = 0; i < length; i++) {
Serial.print((char)payload[i]);
}
Serial.println();
// Switch on the LED if an 1 was received as first character
if ((char)payload[0] == '1') {
digitalWrite(BUILTIN_LED, LOW); // Turn the LED on (Note that LOW is the voltage level
// but actually the LED is on; this is because
// it is active low on the ESP-01)
} else {
digitalWrite(BUILTIN_LED, HIGH); // Turn the LED off by making the voltage HIGH
}
}
void reconnect() {
// Loop until we're reconnected
while (!client.connected()) {
Serial.print("Attempting MQTT connection...");
// Create a random client ID
String clientId = "ESP8266Client-";
clientId += String(random(0xffff), HEX);
if (client.connect(clientId.c_str(), mqttUser, mqttPassword)) {
Serial.println("connected");
client.subscribe("CoreElectronics/test");
} else {
Serial.print("failed, rc=");
Serial.print(client.state());
Serial.println(" try again in 5 seconds");
// Wait 5 seconds before retrying
delay(5000);
}
}
}
void setup() {
pinMode(BUILTIN_LED, OUTPUT);
Serial.begin(115200);
setup_wifi();
client.setServer(mqtt_server, 1883);
client.setCallback(callback);
}
void loop() {
if (!client.connected()) {
reconnect();
}
client.loop();
}
Поскольку это небезопасное использование, я настроил TLS на брокере MQTT, и я могу подключиться через командную строку:
mosquitto_sub --cafile ca.crt -h server_ip -t "#" -p 8883 -d --cert client.crt --key client.key
Проблема в том, что я не могу найти ни одного работающего (для меня) образца с использованием TLS-соединения на клиенте ESP8266.
Я пробовал генерировать самозаверяющие сертификаты вручную скриптом и через LetsEncrypt.
Спасибо
@iWizard, 👍4
Обсуждение2 ответа
Лучший ответ:
Вы можете внести следующие изменения в свой код, используя WifiClientSecure (который уже является частью библиотеки Wi-Fi ESP8266).
Самое сложное-найти отпечаток пальца SHA1 для вашего собственного сервера MQTT и жестко ввести его в часть *fingerprint PROGMEM = " ... " (например, изучив сертификат через браузер ПК и скопировав отпечаток пальца SHA1).
В качестве альтернативы вы можете установить для подключения значение setInsecure. Это означает, что соединение будет зашифровано, но оно примет любой сертификат сервера без проверки.
...
const char* mqttPassword = "pass";
WiFiClientSecure espClient; // <-- Изменение №1: Безопасное подключение к серверу MQTT
PubSubClient client(espClient);
// Изменение №2: Установить отпечаток SHA1 для подключения -->
static const char *fingerprint PROGMEM = "44 14 9A 3F C3 E9 F1 F3 84 1A B4 9F B6 4D 19 8A B2 92 31 D6";
...
...
void setup() {
...
setup_wifi();
espClient.setFingerprint(fingerprint); // <-- Изменение №3: Установить отпечаток SHA1
// Альтернатива: espClient.setInsecure;
client.setServer(mqtt_server, 8883); // <-- Изменение №4: Установить номер порта 8883
client.setCallback(callback);
...
Удачи!
куда мне нужно поместить ca.crt, client.crt и client.key?, @iWizard
Они вам не понадобятся, если вы используете метод setFingerprint. Вам нужен только отпечаток пальца., @StarCat
Я получаю ошибку "класс PubSubClient" не имеет члена с именем "setFingerprint", а также для setInsecure. Какой PubSubClient является последним и лучшим для использования?, @iWizard
решенный. изменен клиент.отпечаток пальца(отпечаток пальца); -> espClient.отпечаток пальца(отпечаток пальца);, @iWizard
Моя ошибка, я исправлю это в ответе., @StarCat
@StarCat Не позволит ли это любому, кто знает (доступный) отпечаток пальца, притвориться сервером?, @Bastian Thiede
Не совсем.Отпечаток пальца-это криптографический хэш открытого ключа сервера. Вычислительно чрезвычайно сложно восстановить открытый ключ по отпечатку пальца (или другому открытому ключу, который создает тот же отпечаток пальца, называемый “столкновением”)., @StarCat
Здесь приведен пример клиентских сертификатов.
https://github.com/espressif/arduino-esp32/blob/master/libraries/WiFiClientSecure/examples/WiFiClientSecure/WiFiClientSecure.ino
Я считаю, что ответ @StarCat следует расширить, чтобы использовать сертификат ca и сертификаты клиентов. С помощью MQTT мы также не хотим, чтобы клиентов подделывали.
- Преобразование byte* в int в Arduino
- esp32-cam публикует изображение в mqtt
- ESP8266 глубокий сон и MQTT
- ESP-01 неправильно просыпается после глубокого сна
- Приведение от 'char*' к 'char' теряет точность
- Публиковать данные json в mqtt
- Не удалось подключиться к брокеру MQTT через esp8266/32 и pub/sub client
- OTA через MQTT для ESP32
Если PSK является приемлемым, вероятно, есть несколько учебных пособий по adafruit.com или дискуссии на их форуме., @st2000