Freigeben über


TLS-Verbindung (Transport Layer Security) mit MQTT Vermittler

Um eine sichere Verbindung mit MQTT Vermittler herzustellen, können Sie entweder MQTTS über Port 8883 oder MQTT über Websockets an Port 443 verwenden. Es ist wichtig zu wissen, dass nur sichere Verbindungen unterstützt werden. Die folgenden Schritte dienen zum Einrichten einer sicheren Verbindung vor der Clientauthentifizierung.

Allgemeiner Ablauf der Einrichtung der mTLS-Verbindung (Mutual Transport Layer Security)

  1. Der Client initiiert den Handshake mit MQTT Vermittler. Er sendet ein Hello-Paket mit unterstützter TLS-Version, Verschlüsselungssammlungen.
  2. Der Dienst präsentiert dem Client sein Zertifikat.
    • Der Dienst präsentiert entweder ein P-384 EC-Zertifikat oder ein RSA 2048-Zertifikat, je nach Verschlüsselungsverfahren im Hello-Paket des Clients.
    • Dienstzertifikate werden von einer öffentlichen Zertifizierungsstelle signiert.
  3. Der Client überprüft, ob er mit dem richtigen und vertrauenswürdigen Dienst verbunden ist.
  4. Dann legt der Client sein eigenes Zertifikat vor, um seine Authentizität zu beweisen.
    • Derzeit unterstützen wir nur die zertifikatbasierte Authentifizierung, sodass Clients ihr Zertifikat senden müssen.
  5. Der Dienst schließt den TLS-Handshake nach der Überprüfung des Zertifikats erfolgreich ab.
  6. Nachdem der TLS-Handshake abgeschlossen und die mTLS-Verbindung hergestellt ist, sendet der Client das MQTT CONNECT-Paket an den Dienst.
  7. Der Dienst authentifiziert den Client und lässt die Verbindung zu.
    • Dasselbe Clientzertifikat, das zum Einrichten von mTLS verwendet wurde, wird auch für die Authentifizierung der Clientverbindung mit dem Dienst verwendet.

Nächste Schritte