双向认证
Download
聚焦模式
字号
双向认证指客户端与服务端之间相互认证。MQTT 通过服务端证书和客户端 CA 证书完成服务端和客户端的认证,以保证客户端和服务端通信链路的安全及可靠。
客户端对服务端的认证 通过 服务端证书 完成, MQTT 提供了默认的服务端证书,您也可以自有证书进行认证。
服务端对客户端的认证通过 CA 证书 完成。客户端发起连接请求时,会将客户端证书传递到服务端,服务端将根据客户端提前注册的 CA 证书验证该客户端证书的正确性,验证通过则允许客户端连接服务端。
约束与限制
单集群内服务端证书的最大数量为3个。
单集群内可以注册的 CA 证书最大数量为 32 个。
注意事项
在初次使用或者更换来自 SSL 证书的 CA 证书或者服务端证书时,需要主账号授权服务角色 MQTT_QCSLinkedRoleInSendSSLcertificate 以获取下载并应用 SSL 证书的功能。
如果在控制台更换了服务端证书和 CA 证书,对应的客户端需要更新证书,以免因为服务端和客户端证书更新不同步导致认证报错。为了保证证书切换过程平滑,消息队列 MQTT 版在您修改完成证书后,会提供十分钟左右的过渡时间,此时间内,新旧证书的认证均会通过认证,请您抓紧时间完成旧证书在客户端代码中的替换。
开启双向认证
1. 登录 TDMQ MQTT 版控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击要配置证书的集群的“ID”,进入集群基本信息页面。
3. 在基本信息页面选择认证管理,二级页签选择 X.509 证书管理,点击右侧的编辑图标 
认证方式:根据您的业务需求选择合适的认证方式,默认支持单向认证和双向认证两种认证方式,专业版/铂金版集群额外支持一机一证的模式(实际也是一种特殊的双向认证方式,具体使用详见 一机一证)。
服务端证书:将使用 MQTT 提供的默认服务端证书,后续您也可以绑定自定义证书。
CA 证书:若认证方式选择了双向认证,需要配置 CA 证书用于服务端对客户端的认证。
4. 单击提交,完成认证方式的配置,后续您需要配置相关的证书。
服务端证书:用于客户端对服务端的认证,可以使用 MQTT 提供的默认服务端证书,也可以绑定自定义证书。
CA 证书:用于服务端对客户端的认证,需手动配置。
配置服务端证书
步骤1:托管服务端证书
步骤2:绑定服务端证书
1. 登录 TDMQ MQTT 版控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击目标集群的“ID”,进入集群基本信息页面。
3. 在集群详情页,选择服务端证书管理页签,单击左上角的绑定自定义证书。
证书来源:选择 SSL 证书。
服务端证书:在下拉框中勾选托管到腾讯云的 SSL 证书。
4. 单击提交,完成绑定。
说明:
在默认服务端证书的基础上可配置多个自定义证书,当前服务端自定义证书的最大个数上限为3个。
集群支持在开启单向认证/双向认证时,使用多个服务端证书进行认证。
步骤3:配置自定义域名
参数 | 填写说明 |
主机记录 | 填写使用证书的域名 |
记录类型 | CNAME |
记录值 | 如使用公网,填写 -。 如使用 VPC 内网,填写 mqtt-xxxx-nj-vpce-xxx.mqtt.tencenttdmq.com。 |
MX 优先级 | 无需填写 |
TTL(秒) | 建议保持为默认值600s |
假设选择的服务端证书 Subject Alternative Name 包含以下域名:
mqtt-abc.compay.com。参考 云解析-CNAME 记录,创建一个 CNAME 记录,将
mqtt-abc.compay.com 解析到集群的接入点提供的域名: mqtt-xxx-sh-public.mqtt.tencenttdmq.com,后续可以通过 mqtt-abc.company.com访问集群。禁用默认服务端证书
在绑定其他自定义证书后,可以禁用 TDMQ MQTT 版提供的默认服务端证书,具体步骤如下:
在服务端证书管理页面,单击默认服务器证书操作栏的禁用,在弹窗中确认后可以禁用默认证书。
解绑自定义证书
若您不再需要配置的自定义证书,可以将其解绑。解绑后,将无法通过证书对应的域名进行连接。
配置 CA 证书
步骤1:托管 CA 证书
步骤2:绑定 CA 证书
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击目标集群的“ID”,进入集群基本信息页面。
3. 在集群详情页,选择 CA 证书管理页签,单击左上角的绑定自定义证书。
证书来源:选择 SSL 证书。需授权 MQTT 服务可以下载并应用 SSL 证书能力。
CA 证书:在下拉框中勾选托管到腾讯云的 SSL 证书。
4. 单击提交,完成绑定。
解绑证书
若您不再需要配置的 CA 证书,可以将其解绑。解绑后,将无法通过证书进行连接。
配置 TLS 版本(可选)
若您的集群中部分设备或 SDK 因仅支持特定版本的 TLS 协议,导致与默认配置的服务端无法完成握手而连接失败时,可通过 TLS 协议版本配置的功能调整服务端所支持的 TLS 协议版本范围,使通信双方能够协商出一个共同认可的协议版本,从而解决因版本不匹配产生的兼容性问题,确保所有组件都能成功建立安全连接,保障集群通信的稳定性。
注意:
修改服务端支持的 TLS 协议版本配置后,将立即生效,影响集群下所有新连接/重新连接的客户端,请谨慎操作。
服务端默认支持 TLS 1.0 至 TLS 1.3 的全部版本,如需修改可参考如下配置步骤:
1. 进入 集群管理 > 认证管理,二级页签选择 X.509 证书管理,单击 TLS 协议版本配置右侧的编辑图标 
2. 在弹窗中选择支持的 TLS 版本范围。由于TLS协议仅支持开启连续版本或单一版本,因此修改配置方法如下:
若要启用连续版本(如 TLS 1.1 和 TLS 1.2):请先选择其中一个版本作为“最低版本”,再选择另一个版本作为“最高版本”,单击确定提交配置。
若要仅启用单个版本(如仅启用 TLS 1.2):请连续两次单击该版本,单击确定提交配置。
文档反馈