TLS-anslutning (Transport Layer Security) med MQTT-koordinator

För att upprätta en säker anslutning med MQTT-koordinatorn kan du använda MQTTS via port 8883 eller MQTT via webbuttag på port 443. Observera att endast säkra anslutningar stöds. Följande steg är att upprätta en säker anslutning före autentiseringen av klienter.

Flöde på hög nivå för hur mTLS-anslutning (ömsesidig säkerhet på transportnivå) upprättas

1. Klienten initierar handskakningen med MQTT-koordinatorn. Det skickar ett hello-paket med TLS-version, chiffersviter som stöds.
2. Tjänsten visar sitt certifikat för klienten.
   • Tjänsten presenterar antingen ett P-384 EC-certifikat eller ett RSA 2048-certifikat beroende på chiffer i klientens hello-paket.
   • Tjänstcertifikat som signerats av en offentlig certifikatutfärdare.
3. Klienten verifierar att den är ansluten till rätt och betrodd tjänst.
4. Sedan presenterar klienten ett eget certifikat för att bevisa sin äkthet.
   • För närvarande stöder vi endast certifikatbaserad autentisering, så klienter måste skicka sitt certifikat.
5. Tjänsten slutför TLS-handskakningen när certifikatet har verifierats.
6. När TLS-handskakningen och mTLS-anslutningen har upprättats skickar klienten MQTT CONNECT-paketet till tjänsten.
7. Tjänsten autentiserar klienten och tillåter anslutningen.
   • Samma klientcertifikat som användes för att upprätta mTLS används för att autentisera klientanslutningen till tjänsten.

Nästa steg

• Lär dig hur du autentiserar klienter med hjälp av certifikatkedjan
• Lär dig hur du autentiserar klienten med hjälp av Microsoft Entra ID-token