Conexão TLS (Transport Layer Security) com o broker MQTT

Para estabelecer uma conexão segura com o broker MQTT, você pode usar MQTTS sobre a porta 8883 ou MQTT sobre soquetes da Web na porta 443. É importante notar que apenas conexões seguras são suportadas. As etapas a seguir são estabelecer uma conexão segura antes da autenticação dos clientes.

Fluxo de alto nível de como a conexão mTLS (segurança da camada de transporte mútuo) é estabelecida

1. O cliente inicia o handshake com o broker MQTT. Ele envia um pacote de saudação com a versão TLS suportada, pacotes de codificação.
2. O serviço apresenta o seu certificado ao cliente.
   • O serviço apresenta um certificado P-384 EC ou um certificado RSA 2048, dependendo das cifras no pacote de saudação do cliente.
   • Certificados de serviço assinados por uma autoridade de certificação pública.
3. O cliente valida que ele se conectou ao serviço correto e confiável.
4. Em seguida, o cliente apresenta o seu próprio certificado para comprovar a sua autenticidade.
   • Atualmente, suportamos apenas a autenticação baseada em certificados, portanto, os clientes devem enviar seu certificado.
5. O serviço conclui o handshake TLS com êxito após a validação do certificado.
6. Depois de concluir o handshake TLS e a conexão mTLS é estabelecida, o cliente envia o pacote MQTT CONNECT para o serviço.
7. O serviço autentica o cliente e permite a conexão.
   • O mesmo certificado de cliente que foi usado para estabelecer o mTLS é usado para autenticar a conexão do cliente com o serviço.

Próximos passos

• Saiba como autenticar clientes usando a cadeia de certificados
• Saiba como autenticar o cliente usando o token de ID do Microsoft Entra