Как подключиться к MQTT брокеру с помощью TLS?

У меня есть ESP8266, который подключается к брокеру MQTT, и он работает нормально, используя user+pass со следующим кодом:

#include <ESP8266WiFi.h>
#include <PubSubClient.h>

const char* ssid = "WIFINAME";
const char* password = "WIFI_PASS";

const char* mqtt_server = "SERVER_IP";
const char* mqttUser = "user";
const char* mqttPassword = "pass";

WiFiClient espClient;
PubSubClient client(espClient);
unsigned long lastMsg = 0;
#define MSG_BUFFER_SIZE (50)
char msg[MSG_BUFFER_SIZE];
int value = 0;

void setup_wifi() {

  delay(10);
  // We start by connecting to a WiFi network
  Serial.println();
  Serial.print("Connecting to ");
  Serial.println(ssid);

  WiFi.begin(ssid, password);

  while (WiFi.status() != WL_CONNECTED) {
    delay(500);
    Serial.print(".");
  }

  randomSeed(micros());

  Serial.println("");
  Serial.println("WiFi connected");
  Serial.println("IP address: ");
  Serial.println(WiFi.localIP());
}

void callback(char* topic, byte* payload, unsigned int length) {
  Serial.print("Message arrived [");
  Serial.print(topic);
  Serial.print("] ");
  for (int i = 0; i < length; i++) {
    Serial.print((char)payload[i]);
  }
  Serial.println();

  // Switch on the LED if an 1 was received as first character
  if ((char)payload[0] == '1') {
    digitalWrite(BUILTIN_LED, LOW);   // Turn the LED on (Note that LOW is the voltage level
    // but actually the LED is on; this is because
    // it is active low on the ESP-01)
  } else {
    digitalWrite(BUILTIN_LED, HIGH);  // Turn the LED off by making the voltage HIGH
  }
}

void reconnect() {
  // Loop until we're reconnected
  while (!client.connected()) {
    Serial.print("Attempting MQTT connection...");
    // Create a random client ID
    String clientId = "ESP8266Client-";
    clientId += String(random(0xffff), HEX);
    if (client.connect(clientId.c_str(), mqttUser, mqttPassword)) {
      Serial.println("connected");
      client.subscribe("CoreElectronics/test");
    } else {
      Serial.print("failed, rc=");
      Serial.print(client.state());
      Serial.println(" try again in 5 seconds");
      // Wait 5 seconds before retrying
      delay(5000);
    }
  }
}

void setup() {
  pinMode(BUILTIN_LED, OUTPUT);
  Serial.begin(115200);
  setup_wifi();
  client.setServer(mqtt_server, 1883);
  client.setCallback(callback);
}

void loop() {

  if (!client.connected()) {
    reconnect();
  }
  client.loop();
}

Поскольку это небезопасное использование, я настроил TLS на брокере MQTT, и я могу подключиться через командную строку:

mosquitto_sub --cafile ca.crt -h server_ip  -t "#" -p 8883 -d --cert client.crt --key client.key

Проблема в том, что я не могу найти ни одного работающего (для меня) образца с использованием TLS-соединения на клиенте ESP8266.

Я пробовал генерировать самозаверяющие сертификаты вручную скриптом и через LetsEncrypt.

Спасибо

, 👍4

Обсуждение

Если PSK является приемлемым, вероятно, есть несколько учебных пособий по adafruit.com или дискуссии на их форуме., @st2000


2 ответа


Лучший ответ:

7

Вы можете внести следующие изменения в свой код, используя WifiClientSecure (который уже является частью библиотеки Wi-Fi ESP8266).

Самое сложное-найти отпечаток пальца SHA1 для вашего собственного сервера MQTT и жестко ввести его в часть *fingerprint PROGMEM = " ... " (например, изучив сертификат через браузер ПК и скопировав отпечаток пальца SHA1).

В качестве альтернативы вы можете установить для подключения значение setInsecure. Это означает, что соединение будет зашифровано, но оно примет любой сертификат сервера без проверки.

...
const char* mqttPassword = "pass";

WiFiClientSecure espClient;     // <-- Изменение №1: Безопасное подключение к серверу MQTT 
PubSubClient client(espClient);

// Изменение №2: Установить отпечаток SHA1 для подключения -->
static const char *fingerprint PROGMEM = "44 14 9A 3F C3 E9 F1 F3 84 1A B4 9F B6 4D 19 8A B2 92 31 D6";
...
...
void setup() {
    ...
    setup_wifi();

    espClient.setFingerprint(fingerprint);   // <-- Изменение №3: Установить отпечаток SHA1
    // Альтернатива: espClient.setInsecure;

    client.setServer(mqtt_server, 8883);  // <-- Изменение №4: Установить номер порта 8883
    client.setCallback(callback);
 ...

Удачи!

,

куда мне нужно поместить ca.crt, client.crt и client.key?, @iWizard

Они вам не понадобятся, если вы используете метод setFingerprint. Вам нужен только отпечаток пальца., @StarCat

Я получаю ошибку "класс PubSubClient" не имеет члена с именем "setFingerprint", а также для setInsecure. Какой PubSubClient является последним и лучшим для использования?, @iWizard

решенный. изменен клиент.отпечаток пальца(отпечаток пальца); -> espClient.отпечаток пальца(отпечаток пальца);, @iWizard

Моя ошибка, я исправлю это в ответе., @StarCat

@StarCat Не позволит ли это любому, кто знает (доступный) отпечаток пальца, притвориться сервером?, @Bastian Thiede

Не совсем.Отпечаток пальца-это криптографический хэш открытого ключа сервера. Вычислительно чрезвычайно сложно восстановить открытый ключ по отпечатку пальца (или другому открытому ключу, который создает тот же отпечаток пальца, называемый “столкновением”)., @StarCat


2

Здесь приведен пример клиентских сертификатов.

https://github.com/espressif/arduino-esp32/blob/master/libraries/WiFiClientSecure/examples/WiFiClientSecure/WiFiClientSecure.ino

Я считаю, что ответ @StarCat следует расширить, чтобы использовать сертификат ca и сертификаты клиентов. С помощью MQTT мы также не хотим, чтобы клиентов подделывали.

,