TLS-verbinding (Transport Layer Security) met MQTT-broker

Als u een beveiligde verbinding met MQTT Broker tot stand wilt brengen, kunt u MQTTS via poort 8883 of MQTT via websockets op poort 443 gebruiken. Het is belangrijk te weten dat alleen beveiligde verbindingen worden ondersteund. De volgende stappen zijn het tot stand brengen van een beveiligde verbinding vóór de verificatie van clients.

Stroom op hoog niveau van de wijze waarop de mTLS-verbinding (Mutual Transport Layer Security) tot stand wordt gebracht

1. De client initieert de handshake met MQTT-broker. Het verzendt een hello-pakket met ondersteunde TLS-versie, coderingssuites.
2. Service presenteert het certificaat aan de client.
   • Service presenteert een P-384 EC-certificaat of een RSA 2048-certificaat, afhankelijk van de coderingen in het hello-pakket van de client.
   • Servicecertificaten die zijn ondertekend door een openbare certificeringsinstantie.
3. Client valideert dat deze is verbonden met de juiste en vertrouwde service.
4. Vervolgens presenteert de client een eigen certificaat om de echtheid te bewijzen.
   • Momenteel ondersteunen we alleen verificatie op basis van certificaten, zodat clients hun certificaat moeten verzenden.
5. De service voltooit TLS-handshake na het valideren van het certificaat.
6. Nadat de TLS-handshake- en mTLS-verbinding tot stand is gebracht, verzendt de client het MQTT CONNECT-pakket naar de service.
7. De service verifieert de client en staat de verbinding toe.
   • Hetzelfde clientcertificaat dat is gebruikt om mTLS tot stand te brengen, wordt gebruikt om de clientverbinding met de service te verifiëren.

Volgende stappen

• Meer informatie over het verifiëren van clients met behulp van certificaatketen
• Meer informatie over het verifiëren van de client met behulp van het Microsoft Entra ID-token