一、基础版Mosquitto安装及运行

Mosquitto安装

• 添加存储库

$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa

• 更新软件包

$ sudo apt-get update

• 安装

$ sudo apt-get install mosquitto -y

• 安装命令行客户端

$ sudo apt-get install mosquitto-clients 

Mosquitto运行

参数	描述
-h	服务器主机，默认localhost
-t	指定主题
-u	用户名
-P	密码
-i	客户端id，唯一
-m	发布的消息内容

• 订阅

$ mosquitto_sub -t "test/#" -m "hello"

• 发布

$ mosquitto_sub -t "test/#"

二、基础安全版Mosquitto安装及运行（需要输入密码）

Mosquitto安装

• 添加存储库

$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa

• 更新软件包

$ sudo apt-get update

• 安装

$ sudo apt-get install mosquitto -y

• 安装命令行客户端

$ sudo apt-get install mosquitto-clients -y

Mosquitto配置

$ sudo nano /etc/mosquitto/mosquitto.conf

pid_file /var/run/mosquitto.pid # 消息持久存储 
persistence true 
persistence_location /var/lib/mosquitto/ # 日志文件 
log_dest file /var/log/mosquitto/mosquitto.log # 其他配置 
include_dir /etc/mosquitto/conf.d ###添加用户验证信息# 禁止匿名访问 
allow_anonymous false # 认证配置 
password_file /etc/mosquitto/pwfile # 权限配置 
acl_file /etc/mosquitto/aclfile 

• 认证配置pwfile
  创建用户信息文件

$ sudo touch /etc/mosquitto/pwfile 

• 添加用户信息

$ sudo mosquitto_passwd /etc/mosquitto/pwfile user1 #user1为用户名，输入密码为 123456
$ sudo mosquitto_passwd /etc/mosquitto/pwfile user2 #user2为用户名，输入密码为 123456

• 用户权限配置aclfile

$ sudo nano /etc/mosquitto/aclfile

# user1只能发布以test为前缀的主题,订阅以$SYS开头的主题即系统主题 
user user1 
topic write test/# 
topic read $SYS/# # user2只能订阅以test为前缀的主题 
user user2 
topic read test/#

• 配置完成后重启服务

$sudo service mosquitto restart

Mosquitto测试

参数	描述
-h	服务器主机，默认localhost
-t	指定主题
-u	用户名
-P	密码
-i	客户端id，唯一
-m	发布的消息内容

• 订阅

$ mosquitto_sub -h localhost -t "test/#" -u user1 -P 123456 -i "client1"

• 发布

$ mosquitto_pub -h localhost -t "test/abc" -u user2 -P 123456 -i "client3" -m "How are you?"

效果

发布者：

订阅者：

三、安全版Mosquitto安装及运行

Mosquitto安装

• 添加存储库

$ sudo apt-add-repository ppa:mosquitto-dev/mosquitto-ppa

• 更新软件包

$ sudo apt-get update

• 安装

$ sudo apt-get install mosquitto -y

• 安装命令行客户端

$ sudo apt-get install mosquitto-clients -y

TLS安装

• 生成私有证书颁发机构（CA）以将 TLS 与 Mosquitto 一起使用
  – 进入mosquitto的安装目录下的certs文件夹

$ cd /certs/mosquitto/certs

– 创建一个 2,048 位的根密钥并保存在 ca.key 文件中

$ openssl genrsa -out ca.key 2048

– 使用之前创建的保存在 ca.key 文件中的 2,048 位私钥，并生成一个带有自签名 X.509 数字证书的 ca.crt 文件。该命令使自签名证书的有效期为 3,650 天，该值在 -days 选项之后指定：（附：ca.crt是CA机构的证书，用来证明CA是CA）

$ openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

注意：输入上述命令后，openssl将会询问一些信息，这些信息将被合并入证书中。若不想输入，可以直接按Enter。其中，common name这一项需要输入，例如输入“0.0.0.0”。

– 运行以下命令可显示生成的证书颁发机构证书文件的数据和详细信息：

$ openssl x509 -in ca.crt -noout -text

• 为 Mosquitto 服务器创建证书
  – 生成一个 2,048 位的根密钥并保存在 server.key 文件中

$ openssl genrsa -out server.key 2048

– 生成证书签名请求（CSR）。使用先前创建的保存在 server.key 文件中的 2,048 位私钥，生成一个 server.csr 文件 （附录：csr文件用于向CA机构请求一个证书）

$  openssl req -new -key server.key -out server.csr

注意：输入上述命令后，openssl将会询问一些信息，这些信息将被合并入证书中。若不想输入，可以直接按Enter。其中，common name这一项需要输入，输入服务器的ip“0.0.0.0”。

• 为 Mosquitto 服务器生成一个带有签名的 X.509 数字证书的 server.crt 文件。 该命令使签名证书的有效期为 3,650 天，该值在 -days 选项之后指定。（附录：最后生成服务器端的证书，server.crt证书）

$ sudo openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256

• 修改上述生成文件的权限，使得能访问它们

$ sudo chmod 777 XXX

Mosquitto配置

$ sudo nano /etc/mosquitto/mosquitto.conf

#允许匿名访问
allow_anonymous true#定义监听接口
listener 8883
cafile /etc/mosquitto/certs/ca.crt
certfile /etc/mosquitto/certs/server.crt
keyfile /etc/mosquitto/certs/server.key#定义tls等级
tls_version tlsv1.3

• 配置完成之后重启mosquitto

$ sudo service mosquitto restart

Mosquitto测试

• 订阅

$ mosquitto_sub -p 8883 -h 192.168.64.130 --cafile ca.crt -t t1 --debug

• 发布

$ mosquitto_pub -p 8883 -h 192.168.64.130 --cafile ca.crt -t t1 --debug -m "hello"

效果

发布者：

订阅者：

注意

• ca的ip和server的ip要不一样
• 加上 mosquitto_pub or mosquitto_sub 的时候加上 -debug，会输出具体的信息

参考：
https://www.cxyzjd.com/article/weixin_34363171/88845986
http://www.steves-internet-guide.com/mosquitto-broker/
https://segmentfault.com/a/1190000014250065
纠错：https://stackoverflow.com/questions/34693520/mqtt-server-with-ssl-tls-error-unable-to-load-server-key-file