Подключение к протоколу TLS с брокером MQTT

Чтобы установить безопасное подключение с брокером MQTT, можно использовать MQTTS через порт 8883 или MQTT через веб-сокеты через порт 443. Важно отметить, что поддерживаются только безопасные подключения. Ниже описано, как установить безопасное подключение перед проверкой подлинности клиентов.

Высокий уровень потока того, как устанавливается взаимное подключение уровня транспорта (mTLS)

1. Клиент инициирует подтверждение с помощью брокера MQTT. Он отправляет пакет hello с поддерживаемой версией TLS, наборами шифров.
2. Служба предоставляет клиенту сертификат.
   • Служба представляет сертификат P-384 EC или сертификат RSA 2048 в зависимости от шифров в пакете приветствия клиента.
   • Сертификаты служб, подписанные общедоступным центром сертификации.
3. Клиент проверяет, подключен ли он к правильной и доверенной службе.
4. Затем клиент представляет свой собственный сертификат, чтобы подтвердить его подлинность.
   • В настоящее время мы поддерживаем только проверку подлинности на основе сертификатов, поэтому клиенты должны отправлять свой сертификат.
5. Служба успешно завершает подтверждение TLS после проверки сертификата.
6. После завершения подтверждения TLS и подключения mTLS клиент отправляет пакет MQTT CONNECT в службу.
7. Служба проверяет подлинность клиента и разрешает подключение.
   • Тот же сертификат клиента, который использовался для установки mTLS, используется для проверки подлинности подключения клиента к службе.

Следующие шаги

• Узнайте, как выполнять проверку подлинности клиентов с помощью цепочки сертификатов
• Узнайте, как пройти проверку подлинности клиента с помощью маркера идентификатора Microsoft Entra