Connexion TLS (Transport Layer Security) avec MQTT broker

Pour établir une connexion sécurisée avec le répartiteur MQTT, vous pouvez utiliser MQTTS sur le port 8883 ou MQTT sur des sockets web sur le port 443. Il est important de noter que seules les connexions sécurisées sont prises en charge. Les étapes suivantes permettent d’établir une connexion sécurisée avant l’authentification des clients.

Flux de haut niveau de la façon dont la connexion de la couche de transport mutuelle (mTLS) est établie

1. Le client lance l’établissement d’une liaison avec le répartiteur MQTT. Il envoie un paquet hello avec la version TLS prise en charge, les suites de chiffrement.
2. Le service présente son certificat au client.
   • Le service présente un certificat EC P-384 ou un certificat RSA 2048 en fonction des chiffrements dans le paquet hello client.
   • Certificats de service signés par une autorité de certification publique.
3. Le client vérifie sa connexion à un service correct et approuvé.
4. Ensuite, le client présente son propre certificat pour prouver son authenticité.
   • Actuellement, nous prenons uniquement en charge l’authentification basée sur les certificats. Les clients doivent donc envoyer leur certificat.
5. Le service termine correctement l’établissement d’une liaison TLS après la validation du certificat.
6. Une fois la liaison TLS et la connexion mTLS établies, le client envoie le paquet MQTT CONNECT au service.
7. Le service authentifie le client et autorise la connexion.
   • Le même certificat client qui a été utilisé pour établir mTLS est utilisé pour authentifier la connexion du client au service.

Étapes suivantes

• Découvrez comment authentifier les clients à l’aide de la chaîne de certificats
• Découvrez comment authentifier un client en utilisant un jeton Microsoft Entra ID