MQTT ブローカーとのトランスポート層セキュリティ (TLS) 接続

  • [アーティクル]

MQTT ブローカーとセキュリティで保護された接続を確立するために、ポート 8883 経由の MQTTS、またはポート 443 の Web ソケット経由の MQTT を使用できます。 セキュリティで保護された接続のみがサポートされることに注意してください。 次の手順では、クライアント認証の前にセキュリティで保護された接続を確立します。

相互トランスポート層セキュリティ (mTLS) 接続の確立方法の概要フロー

  1. クライアントが MQTT ブローカーとのハンドシェイクを開始します。 サポートされている TLS バージョンの暗号スイートを使用して hello パケットを送信します。
  2. サービスが、その証明書をクライアントに提示します。
    • サービスが、クライアントの hello パケット内の暗号に応じて、P-384 EC 証明書または RSA 2048 証明書を提示します。
    • 公的な証明機関によって署名されたサービス証明書。
  3. 正しい信頼できるサービスに接続されていることをクライアントが検証します。
  4. 次に、クライアントが、その信頼性を証明するために自分の証明書を提示します。
    • 現時点では、証明書ベースの認証のみがサポートされているため、クライアントが証明書を送信する必要があります。
  5. 証明書の検証後にサービスが TLS ハンドシェイクを正常に完了します。
  6. TLS ハンドシェイクが完了し、mTLS 接続が確立されると、クライアントが MQTT CONNECT パケットをサービスに送信します。
  7. サービスがクライアントを認証し、接続を許可します。
    • サービスへのクライアント接続の認証には、mTLS の確立に使用されたのと同じクライアント証明書が使用されます。

次の手順