Conexión de seguridad de la capa de transporte (TLS) con el agente MQTT

Para establecer una conexión segura con MQTT broker, puede usar MQTTS a través del puerto 8883 o MQTT a través de sockets web en el puerto 443. Es importante tener en cuenta que solo se admiten conexiones seguras. Los pasos siguientes son establecer una conexión segura antes de la autenticación de los clientes.

Flujo de alto nivel de cómo se establece la conexión de seguridad mutua de la capa de transporte (mTLS)

1. El cliente inicia el protocolo de enlace con MQTT broker. Envía un paquete Hello con la versión de TLS compatible, conjuntos de cifrado.
2. El servicio presenta su certificado al cliente.
   • El servicio presenta un certificado P-384 EC o un certificado RSA 2048 en función de los cifrados del paquete Hello del cliente.
   • Certificados de servicio firmados por una entidad de certificación pública.
3. El cliente valida que está conectado al servicio correcto y de confianza.
4. A continuación, el cliente presenta su propio certificado para demostrar su autenticidad.
   • Actualmente, solo se admite la autenticación basada en certificados, por lo que los clientes deben enviar su certificado.
5. El servicio completa correctamente el protocolo de enlace TLS después de validar el certificado.
6. Después de completar el protocolo de enlace TLS y establecerse la conexión mTLS, el cliente envía el paquete MQTT CONNECT al servicio.
7. El servicio autentica el cliente y permite la conexión.
   • El mismo certificado de cliente que se usó para establecer la conexión mTLS se usa para autenticar la conexión de cliente con el servicio.

Pasos siguientes

• Obtenga información sobre cómo autenticar clientes mediante la cadena de certificados
• Obtenga información sobre cómo autenticar el cliente mediante el token de Microsoft Entra ID