Udostępnij za pośrednictwem


Połączenie protokołu Transport Layer Security (TLS) z brokerem MQTT

Aby nawiązać bezpieczne połączenie z brokerem MQTT, można użyć protokołu MQTTS przez port 8883 lub MQTT za pośrednictwem gniazd internetowych na porcie 443. Należy pamiętać, że obsługiwane są tylko bezpieczne połączenia. Poniżej przedstawiono procedurę ustanawiania bezpiecznego połączenia przed uwierzytelnianiem klientów.

Wysoki poziom przepływu połączenia wzajemnego zabezpieczeń warstwy transportu (mTLS)

  1. Klient inicjuje uzgadnianie z brokerem MQTT. Wysyła pakiet hello z obsługiwaną wersją protokołu TLS, zestawami szyfrowania.
  2. Usługa przedstawia klientowi certyfikat.
    • Usługa przedstawia certyfikat P-384 EC lub certyfikat RSA 2048 w zależności od szyfrowania w pakiecie powitania klienta.
    • Certyfikaty usługi podpisane przez publiczny urząd certyfikacji.
  3. Klient sprawdza, czy nawiązał połączenie z poprawną i zaufaną usługą.
  4. Następnie klient prezentuje własny certyfikat, aby udowodnić jego autentyczność.
    • Obecnie obsługujemy tylko uwierzytelnianie oparte na certyfikatach, więc klienci muszą wysyłać swój certyfikat.
  5. Usługa pomyślnie ukończy uzgadnianie protokołu TLS po zweryfikowaniu certyfikatu.
  6. Po zakończeniu uzgadniania protokołu TLS i nawiązaniu połączenia mTLS klient wysyła pakiet MQTT CONNECT do usługi.
  7. Usługa uwierzytelnia klienta i zezwala na połączenie.
    • Ten sam certyfikat klienta, który został użyty do ustanowienia biblioteki mTLS, służy do uwierzytelniania połączenia klienta z usługą.

Następne kroki