與 MQTT 訊息代理程式建立傳輸層安全性 （TLS） 連線

若要建立與 MQTT 訊息代理程式的安全連線，您可以在埠 8883 上使用 MQTTS，或在埠 443 上使用透過 Web 套接字的 MQTT。 請務必注意，只支援安全連線。 下列步驟是在客戶端驗證之前建立安全連線。

建立相互傳輸層安全性 （mTLS） 連線的高階流程

1. 用戶端會起始與 MQTT 訊息代理程式交握。 它會傳送 hello 封包，其中包含支援的 TLS 版本、加密套件。
2. 服務會將其憑證呈現給用戶端。
   • 服務會根據用戶端 hello 封包中的加密，呈現 P-384 EC 憑證或 RSA 2048 憑證。
   • 由公用證書頒發機構單位簽署的服務憑證。
3. 用戶端會驗證它是否已連線到正確且受信任的服務。
4. 然後用戶端會出示自己的憑證，以證明其真實性。
   • 目前，我們僅支持憑證式驗證，因此客戶端必須傳送其憑證。
5. 驗證憑證之後，服務會順利完成 TLS 交握。
6. 建立 TLS 交握和 mTLS 連線之後，用戶端會將 MQTT CONNECT 封包傳送至服務。
7. 服務會驗證客戶端並允許連線。
   • 用來建立 mTLS 的相同用戶端憑證可用來驗證與服務的用戶端連線。

下一步

• 瞭解如何使用憑證鏈結來 驗證用戶端
• 瞭解如何使用 Microsoft Entra ID 令牌驗證 用戶端