为了保证集群的安全,消息队列 MQTT 版提供了默认的服务端证书进行单向认证,即 wss(WebSockets) 和 TLS 接入点。如需要使用自有证书进行认证,可以按照以下指引在页面开启单向/双向认证,使用维护在腾讯云的自有证书。
单向认证
双向认证
双向认证指客户端与服务端之间相互认证。MQTT 通过服务端证书和客户端 CA 证书完成服务端和客户端的认证,以保证客户端和服务端通信链路的安全及可靠。MQTT 支持单向认证和双向认证两种认证方式。
客户端对服务端的认证 通过 服务端证书 完成。
服务端对客户端的认证通过 CA 证书 完成。客户端发起连接请求时,会将设备证书传递到服务端,服务端将根据客户端提前注册的 CA 证书验证该设备证书的正确性,验证通过则允许客户端连接服务端。
配置证书
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击要配置证书的集群的“ID”,进入集群基本信息页面。
3. 在认证管理页面,进入 X.509 证书管理页签,点击右侧的编辑图标 
证书来源:消息队列 MQTT 版提供了默认的服务端证书进行单向认证,即 wss(WebSockets) 和 TLS 接入点,同时也支持客户使用自定义证书进行认证。
认证方式:默认支持单向认证和双向认证两种认证方式,专业版集群额外支持 “一机一证” 的模式(实际也是一种特殊的双向认证方式,具体使用详见 一机一证使用指南)。根据您的业务需求选择合适的认证方式,并勾选您要配置的 SSL 证书,如果现有的证书不合适,您可以参考 SSL 快速入门申请证书。
单向认证:选择单向认证后,您需要配置服务端证书。
双向认证:选择双向认证后,您需要配置服务端证书和 CA 证书。
4. 单击提交,即可完成证书配置。
编辑证书
如果当前的证书不符合您的需求,您可以单击认证管理 > X.509 证书管理模块右上角的编辑图标,修改认证方式和证书配置。
注意:
在初次使用或者更换来自 SSL 证书的CA证书或者服务端证书时,需要主账号授权服务角色 MQTT_QCSLinkedRoleInSendSSLcertificate 以获取下载并应用 SSL 证书的功能。
如果在控制台更换了服务端证书和 CA 证书后,对应的客户端需要更新证书,以免因为服务端和客户端证书更新不同步导致认证报错。为了保证证书切换过程平滑,消息队列 MQTT 版在您修改完成证书后,会提供十分钟左右的过渡时间,此时间内,新旧证书的认证均会通过认证,请您抓紧时间完成老证书在客户端代码的替换。
其他认证方式
专业版集群额外支持 “一机一证” 的模式,具体使用详见 一机一证使用指南。
专业版集群额外支持对接外部自定义认证功能,如果您还需要对接外部自定义 JWT 认证方式,请查看 使用 JWT 认证。
