{"id":1730,"date":"2019-03-05T10:15:15","date_gmt":"2019-03-05T15:15:15","guid":{"rendered":"http:\/\/blog.espol.edu.ec\/edelros\/?p=1730"},"modified":"2022-03-27T08:39:00","modified_gmt":"2022-03-27T13:39:00","slug":"mqtt-mosquitto-tls","status":"publish","type":"post","link":"https:\/\/blog.espol.edu.ec\/girni\/mqtt-mosquitto-tls\/","title":{"rendered":"3. MQTT - Mosquitto TLS"},"content":{"rendered":"

Los mensajes MQTT que se transmiten como texto simple en la red (inalambrica) y podr\u00edan ser leidos con alg\u00fan software de inspecci\u00f3n de tr\u00e1fico de red. Para a\u00f1adir un nivel de seguridad con los mensajes MQTT se usa TLS.<\/p>\n

Esta secci\u00f3n consta de dos partes:
\n- creaci\u00f3n de los certificados para CA, broker y dispositivos
\n- configuraci\u00f3n de Mosquitto<\/p>\n

\n

1. Creaci\u00f3n de Certificados<\/h2>\n

Son archivos que contienen las \"llaves\" de encriptaci\u00f3n que se deben crear o generar para poder realizar todo el proceso de validaci\u00f3n. Esta secci\u00f3n considera que las llaves ser\u00e1n usadas de forma local, por lo que la certificaci\u00f3n de las llaves se realiza en el mismo broker (self-signed certificate).<\/p>\n

La generaci\u00f3n de llaves se realiza con la aplicaci\u00f3n \"OpenSSL\" que se incluye con Raspberry OS y para esta ocasi\u00f3n se ejecuta desde un terminal local o remoto (ssh).<\/p>\n

Se requieren llaves y certificados para el broker y para cada cliente<\/p>\n

1.1 CA - Certificate authority<\/h3>\n

Se require una \"entidad\" para crear los certificados y las llaves usadas en el proceso, concocida como CA.\u00a0 Los archivos creados de guardan en la carpeta:<\/p>\n

cd \/etc\/mosquitto\/ca_certificates\/<\/pre>\n
primero se crea la llave, que require establecer una frase para generar el archivo, ejemplo: \"mqttasegurado\" o alguna que le permita establecer una contrase\u00f1a para la generaci\u00f3n de los todos los siguientes certificados y llaves. Anote la frase en algun lugar a su alcance para los pr\u00f3ximos pasos.<\/p>\n
sudo openssl genrsa -des3 -out mqtt-ca.key 2048<\/pre>\n
la instrucci\u00f3n genera la siguiente<\/p>\n
Generating RSA private key, 2048 bit long modulus (2 primes)\r\n...........................................+++++\r\n.+++++\r\ne is 65537 (0x010001)\r\nEnter pass phrase for mqtt-ca.key:\r\nVerifying - Enter pass phrase for mqtt-ca.key:\r\n<\/pre>\n
El certificado CA firmado con la llave creada en el paso anterior, requiere a\u00f1adir informaci\u00f3n adicional como: pa\u00eds, provincia, ciudad e instituci\u00f3n para asociar al certificado.<\/p>\n
En CN (Common Name) use el nombre en la red o IP fijo del broker, ejemplo: 192.168.10.40<\/p>\n
La informaci\u00f3n en la parte \"-subj\" permite disponer de un contacto en caso que sea necesario actualizar el archivo del certificado.<\/p>\n
sudo openssl req -new -x509 -days 3650 -extensions v3_ca \\\r\n-subj '\/C=EC\/L=Gye\/CN=192.168.10.40' \\\r\n-key mqtt-ca.key -out mqtt-ca.crt\r\n<\/pre>\n
Recuerde revisar los permisos de lectura en el directorio de los archivos para los certificados con la instruccion ls -l<\/code>. pues se requiere poder leerlos para generar las llaves de clientes. Por ejemplo:<\/p>\n
pi@raspberry:\/etc\/mosquitto\/ca_certificates $ ls -l\r\n-rw-r--r-- 1 root root 1196 mar 26 22:46 mqtt-ca.crt\r\n-rw-r--r-- 1 root root 1751 mar 26 22:40 mqtt-ca.key\r\n-rw-r--r-- 1 root root   41 mar 26 23:05 mqtt-ca.srl\r\n-rw-r--r-- 1 root root   73 nov 16  2019 README\r\npi@raspberry:\/etc\/mosquitto\/certs $\r\n<\/pre>\n
si requiere cambiarlos usar la instrucci\u00f3n: sudo chown usuario archivo<\/code>, o en otro caso cambiar los permisos de lectura para todos los dem\u00e1s.<\/p>\n
sudo chmod g+r mqtt-ca*<\/pre>\n
1.2 TLS -\u00a0 broker Mqtt<\/h3>\n
Los certificados del broker y usuarios se crean en el directorio 'certs', por\u00a0 lo que se cambia de directorio con la instrucci\u00f3n:<\/p>\n
cd \/etc\/mosquitto\/certs\/<\/pre>\n
se genera la llave para el broker<\/p>\n
sudo openssl genrsa -out mqtt-srv.key 2048<\/pre>\n
Creaci\u00f3n del certificado para el Broker usando la llave del paso anterior.<\/p>\n
En CN (Common Name) use el nombre o IP del broker, ejemplo: 192.168.10.50. Este valor es el mismo nombre a usar en la conexi\u00f3n del cliente.<\/p>\n
sudo openssl req -new -out mqtt-srv.csr -key mqtt-srv.key \\\r\n-subj '\/C=EC\/L=Gye\/CN=192.168.10.40'  \r\n<\/pre>\n
El siguiente paso es firmar el certificado usando CA:<\/p>\n
sudo openssl x509 -req -days 3650 \\\r\n-CA    \/etc\/mosquitto\/ca_certificates\/mqtt-ca.crt \\\r\n-CAkey \/etc\/mosquitto\/ca_certificates\/mqtt-ca.key \\\r\n-CAcreateserial -in mqtt-srv.csr -out mqtt-srv.crt\r\n<\/pre>\n
1.3 Huella del certificado: fingerprint<\/h3>\n
Para usar en la programaci\u00f3n del archivo.ino del dispositivo.<\/p>\n
openssl x509 -noout -in mqtt-srv.crt -fingerprint\r\n<\/pre>\n
Recuerde revisar los permisos de lectura de los certificados, y modifique los que sean necesarios.<\/p>\n
Realizar lo mismo de los permisos que para el directorio \/etc\/mosquitto\/ca_certificates<\/code><\/p>\n
\n
2. Configuraci\u00f3n de Mosquitto<\/h2>\n
La configuraci\u00f3n del broker debe contener cu\u00e1les son los certificados para la encriptaci\u00f3n de los mensajes.<\/p>\n
La configuraci\u00f3n del broker<\/strong><\/em> mosquitto se encuentra en el archivo \/etc\/mosquitto\/mosquitto.conf<\/code> que se modifica para activar la encriptaci\u00f3n con TLS.<\/p>\n
El archivo de configuraci\u00f3n se abre desde la consola con la instrucci\u00f3n:<\/p>\n
sudo nano \/etc\/mosquitto\/mosquitto.conf<\/pre>\n
Se a\u00f1aden las instrucciones:<\/p>\n
# Port to use for the default listener.\r\nport 8883\r\n# \"c_rehash \" each time you add\/remove a certificate.\r\n#capath\r\ncafile \/etc\/mosquitto\/ca_certificates\/mqtt-ca.crt\r\n\r\n# Path to the PEM encoded server certificate.\r\ncertfile \/etc\/mosquitto\/certs\/mqtt-srv.crt\r\n\r\n# Path to the PEM encoded keyfile.\r\nkeyfile \/etc\/mosquitto\/certs\/mqtt-srv.key\r\n\r\n# This option defines the version of the TLS protocol to use for this listener.\r\n# The default value allows v1.2, v1.1 and v1.0, if they are all supported by\r\n# the version of openssl that the broker was compiled against. For openssl >=\r\n# 1.0.1 the valid values are tlsv1.2 tlsv1.1 and tlsv1. For openssl < 1.0.1 the\r\n# valid values are tlsv1.\r\ntls_version tlsv1.2\r\n<\/pre>\n
para activar los cambios, deber reiniciar mosquitto con la instrucci\u00f3n:<\/p>\n
sudo systemctl restart mosquitto\r\n<\/pre>\n
Verifique el estado del servidor MQTT desde una consola remota con ssh:<\/p>\n
systemctl status mosquitto<\/pre>\n
con lo que se obtiene mensajes semejantes a:<\/p>\n
\u25cf mosquitto.service - Mosquitto MQTT v3.1\/v3.1.1 Broker\r\n   Loaded: loaded (\/lib\/systemd\/system\/mosquitto.service; enabled; vendor preset: enabled)\r\n   Active: active (running)<\/strong> since Sun 2019-08-11 14:16:50 -05; 9min ago\r\n     Docs: man:mosquitto.conf(5)\r\n           man:mosquitto(8)\r\n Main PID: 394 (mosquitto)\r\n    Tasks: 1 (limit: 2200)\r\n   Memory: 2.4M\r\n   CGroup: \/system.slice\/mosquitto.service\r\n           \u2514\u2500394 \/usr\/sbin\/mosquitto -c \/etc\/mosquitto\/mosquitto.conf\r\n\r\nago 11 14:16:50 raspberrypi mosquitto[394]: 1565551010: Config loaded from \/etc\/mosquitto\/mosquitto.conf.\r\nago 11 14:16:50 raspberrypi mosquitto[394]: 1565551010: Opening ipv4 listen socket on port 8883.\r\n<\/pre>\n
revise que todo est\u00e9 funcionando sin inconvenientes, que el puerto 8333 sea el que est\u00e9 activo.<\/p>\n
sudo netstat -lnpt\r\nsudo systemctl status mosquitto\r\nsudo journalctl -u mosquitto\r\n<\/pre>\n
\n
3. TLS para los clientes<\/h3>\n
Para cada dispositivo que se use para enviar o recibir un mensaje Mqtt se define como un cliente. Cada cliente necesita su propia llave que debe ser firmada por la CA para que sea aceptada en las conexiones TLS.<\/p>\n
para generar los certificados podemos regresar al directorio:<\/p>\n
cd \/etc\/mosquitto\/certs\/<\/pre>\n
En adelante, llamaremos al dispositivo \"sensor00\" como identificador en cada proceso. Se genera la llave para \"sensor00\"<\/p>\n
sudo openssl genrsa -out sensor00-client.key 2048\r\n<\/pre>\n
se crea una solicitud de forma para la llave. El valor de CN debe ser el nombre del dispositivo FQDN o una direcci\u00f3n IP fija.<\/p>\n
Para las pruebas, se puede usar la consola remota\u00a0 o una laptop conectada a la misma red que el broker. Recuerde actualizar los datos en la secci\u00f3n \"subj\"<\/p>\n
sudo openssl req -new -out sensor00-client.csr \\\r\n-key sensor00-client.key \\\r\n-subj '\/C=EC\/L=Gye\/CN=192.168.10.40'<\/pre>\n
creada la solicitud, se usa\u00a0 para firmarla usando CA, se pedir\u00e1 la frase de la primera secci\u00f3n:<\/p>\n
sudo openssl x509 -req  -days 3650 \\\r\n-CA \/etc\/mosquitto\/ca_certificates\/mqtt-ca.crt \\\r\n-CAkey \/etc\/mosquitto\/ca_certificates\/mqtt-ca.key \\\r\n-CAcreateserial \\\r\n-in sensor00-client.csr -out sensor00-client.crt\r\n<\/pre>\n
Para usar en la programaci\u00f3n del archivo.ino del dispositivo.<\/p>\n
openssl x509 -noout -in sensor00-client.crt -fingerprint\r\n<\/pre>\n
Recuerde revisar los permisos de lectura de los certificados<\/strong><\/em>, y modificar los que sean necesarios.<\/p>\n
Se procede de forma semejante para los otros sensores \"sensor##\" o el nombre que se prefiera y se repite solo \u00e9sta secci\u00f3n.<\/p>\n
Repita el ejercicio para el certificado a usar por homeassistant con identificador\u00a0'HA-broker'.<\/p>\n
\n
4. Prueba de funcionamiento<\/h2>\n
4.1 Desde la consola ssh<\/h3>\n
con los par\u00e1metros, utilice los par\u00e1metros con los que gener\u00f3 los certificados.<\/p>\n
mosquitto_sub -v -h 192.168.10.40 -p 8883 \\\r\n-u 'usuarioprueba' -P 'usuarioclave' \\\r\n--key \/etc\/mosquitto\/certs\/sensor00-client.key \\\r\n--cert \/etc\/mosquitto\/certs\/sensor00-client.crt \\\r\n--cafile \/etc\/mosquitto\/certs\/mqtt-srv.crt \\\r\n-t 'oficina\/mensaje' \\\r\n--tls-version tlsv1.2 -i sensor00<\/pre>\n
al ejecutar la instrucci\u00f3n, se pide la frase del certificado, la ingresa y obtiene:<\/p>\n
Enter PEM pass phrase:\r\nClient mosqsub|1557-raspberry sending CONNECT\r\nClient mosqsub|1557-raspberry received CONNACK (0)\r\nClient mosqsub|1557-raspberry sending SUBSCRIBE (Mid: 1, Topic: oficina\/mensaje, QoS: 0)\r\nClient mosqsub|1557-raspberry received SUBACK\r\nSubscribed (mid: 1): 0\r\nON<\/pre>\n
Puede cambiar el estado con mosquitto_pub se escribe una instrucci\u00f3n semejante a\u00f1adiendo el mensaje -m 'ON'. Esta instrucci\u00f3n usa otro cliente: sendor01.<\/p>\n
mosquitto_pub -h 192.168.10.40 \\\r\n-u 'usuarioprueba' -P 'usuarioclave' \\\r\n--key    \/etc\/mosquitto\/certs\/sensor01-client.key \\\r\n--cert   \/etc\/mosquitto\/certs\/sensor01-client.crt \\\r\n--cafile \/etc\/mosquitto\/certs\/mqtt-srv.crt \\\r\n-t 'oficina\/mensaje' \\\r\n-p 8883 \\\r\n--tls-version tlsv1.2 -i sensor01 \\\r\n-m 'mensajePorTLS..!'\r\n<\/pre>\n
con el siguiente resultado:<\/p>\n
Enter PEM pass phrase:\r\nClient mosqpub|1607-raspberry sending CONNECT\r\nClient mosqpub|1607-raspberry received CONNACK (0)\r\nClient mosqpub|1607-raspberry sending PUBLISH (d0, q0, r0, m1, 'home\/garden\/fountain', ... (2 bytes))\r\nClient mosqpub|1607-raspberry sending DISCONNECT<\/pre>\n
4.2 Con el programa MQTT.fx<\/h3>\n
Otra opci\u00f3n para probar la conexi\u00f3n es usando un programa desde una PC y con el certificado de cliente, por ejemplo MQTT.FX que lo puede descargar de forma gratuita.<\/p>\n
Realice una copia del certificado de cliente en la pc donde instala el programa MQTT.FC en un directorio de trabajo.<\/p>\n
Use los par\u00e1metros requeridos para la conexi\u00f3n en la ventana del men\u00fa \"extras\/edit\/connection profiles\"\u00a0 para usuario y clave, TLS, etc<\/p>\n
\"\"<\/a><\/p>\n
Se presiona conectar a MQTT, luego se suscribe al t\u00f3pico de inter\u00e9s y se puede publicar en el mismo t\u00f3pico.<\/p>\n
\"\"<\/a><\/p>\n
\n
5 Revisar conexi\u00f3n SSL<\/h2>\n
Sustituir IP_ADDRESS con la direcci\u00f3n IP antes de usar la instrucci\u00f3n.<\/p>\n
openssl s_client --connect IP_ADDRESS:8883<\/pre>\n
\n
Referencias:<\/strong><\/em><\/p>\n
https:\/\/www.raspberrypi.org\/forums\/viewtopic.php?t=287326<\/a><\/p>\n
https:\/\/mosquitto.org\/man\/mosquitto-tls-7.html<\/a><\/p>\n
https:\/\/mcuoneclipse.com\/2017\/04\/14\/enable-secure-communication-with-tls-and-the-mosquitto-broker\/<\/a><\/p>\n
http:\/\/www.steves-internet-guide.com\/mosquitto-tls\/<\/a><\/p>\n
https:\/\/www.hivemq.com\/blog\/mqtt-security-fundamentals-tls-ssl\/<\/a><\/p>\n
https:\/\/www.home-assistant.io\/docs\/mqtt\/broker\/<\/a><\/p>\n