Připojení TLS (Transport Layer Security) ke zprostředkovateli MQTT

Pokud chcete vytvořit zabezpečené připojení s zprostředkovatelem MQTT, můžete použít MQTTS přes port 8883 nebo MQTT přes webové sokety na portu 443. Je důležité si uvědomit, že se podporují jenom zabezpečená připojení. Následující kroky slouží k navázání zabezpečeného připojení před ověřením klientů.

Základní tok způsobu vytvoření vzájemného připojení mTLS (Transport Layer Security)

1. Klient zahájí metodu handshake pomocí zprostředkovatele MQTT. Odešle paket hello s podporovanou verzí protokolu TLS a šifrovacími sadami.
2. Služba předloží klientovi svůj certifikát.
   • Služba prezentuje buď certifikát P-384 EC, nebo certifikát RSA 2048 v závislosti na šifrách v paketu hello klienta.
   • Certifikáty služeb podepsané veřejnou certifikační autoritou
3. Klient ověří, že je připojený ke správné a důvěryhodné službě.
4. Pak klient předloží svůj vlastní certifikát, který prokáže jeho pravost.
   • V současné době podporujeme pouze ověřování na základě certifikátů, takže klienti musí odeslat svůj certifikát.
5. Služba úspěšně dokončí metodu handshake protokolu TLS po ověření certifikátu.
6. Po dokončení připojení tls handshake a mTLS odešle klient do služby paket MQTT CONNECT.
7. Služba ověřuje klienta a umožňuje připojení.
   • Stejný klientský certifikát, který byl použit k vytvoření mTLS, se používá k ověření připojení klienta ke službě.

Další kroky

• Zjistěte, jak ověřovat klienty pomocí řetězu certifikátů.
• Zjistěte, jak ověřit klienta pomocí tokenu Microsoft Entra ID.