MQTT mit TLS und eigener CA #10010

tvand · 2023-09-22T15:56:38Z

tvand
Sep 22, 2023

In der Dokumentation nicht erwähnt, aber im Code realisiert: Man kann den MQTT-Broker auch verschlüsselt anbinden. Gut für Leute mit Paranoia wie mich.

Das sieht dann so aus:

# mqtt message broker
mqtt:
  broker: tls://mqtt.xxx.yyy:8883
  topic: evcc 
  clientid: evcc

Ich habe auf dem Broker ein Zertifikat signiert meiner eigenen CA installiert. Das ging bisher gut. Go erfordert aber ein Zertifikat mit gesetztem SAN-Feld (Subject Alternative Names). Das ist mit openssl nicht ganz so trivial, es gibt aber Anleitungen dafür.

Da evcc bisher das Spezifizieren einer eigenen CA nicht unterstützt, muss man sich mit Systemmitteln behelfen. Auf allerlei üblichen Linuxen kann man eigene CAs mit update-ca-certificates hinzufügen. Wo man die ablegen muss, ist je nach Distribution verschieden, bei meiner Synology ist es hier:

/usr/syno/etc/security-profile/ca-bundle-profile/ca-certificates/

Hier muss man auch /usr/syno/bin/update-ca-certificates.sh aufrufen, damit das Bundle /etc/ssl/certs/ca-certificates.crt zusammengebaut wird. Läuft evcc nativ, ist das schon alles.

Bei mir läuft evcc aber als Docker-Image, so dass man das Bundle noch in den Container mounten muss:

Dann funktioniert auch die Kommunikation:

andig · 2023-09-23T14:40:31Z

andig
Sep 23, 2023
Maintainer

Stark!

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

MQTT mit TLS und eigener CA #10010

{{title}}

{{editor}}'s edit

{{editor}}'s edit

Replies: 1 comment

{{title}}

Select a reply

MQTT mit TLS und eigener CA #10010

tvand Sep 22, 2023

Replies: 1 comment

andig Sep 23, 2023 Maintainer

tvand
Sep 22, 2023

andig
Sep 23, 2023
Maintainer