使用 SSL 進行遙測通道鑑別

MQTT 用戶端與佇列管理程式之間的連線一律由 MQTT 用戶端起始。 MQTT 用戶端一律是 SSL 用戶端。伺服器的用戶端鑑別和 MQTT 用戶端的伺服器鑑別皆為選用項目。

除非將用戶端配置為使用支援匿名連線的 CipherSpec，否則它一律會嘗試鑑別伺服器。如果鑑別失敗，則不會建立連線。

作為使用 SSL 的替代方案，一些類型的「虛擬私密網路 (VPN)」（例如 IPsec），會鑑別 TCP/IP 連線的端點。 VPN 會加密流經網路的每個 IP 封包。一旦建立這類 VPN 連線，即建立可信的網路。您可以透過 VPN 網路使用 TCP/IP 將 MQTT 用戶端連接至遙測通道。

使用 SSL 的伺服器鑑別會鑑別作為要傳送機密資訊目標的伺服器。用戶端會針對放置在其信任儲存庫或 JRE cacerts 儲存庫中的憑證，執行符合從伺服器傳送之憑證的檢查。

JRE 憑證儲存庫是 JKS 檔案 cacerts。它位於 JRE InstallPath\lib\security\。安裝後，它的預設密碼為 changeit。您可以將信任的憑證儲存在 JRE 憑證儲存庫或用戶端信任儲存庫中。不能同時使用這兩個儲存庫。如果您想要將用戶端信任的公用憑證與其他 Java 應用程式使用的憑證分開，請使用用戶端信任儲存庫。如果您想要對用戶端上執行的所有 Java 應用程式使用一般憑證儲存庫，請使用 JRE 憑證儲存庫。如果決定使用 JRE 憑證儲存庫，請檢閱它所包含的憑證，以確保您信任這些憑證。

透過提供不同的信任提供者，您可以修改 JSSE 配置。您可以自訂信任提供者，以對憑證執行不同的檢查。在已使用 MQTT 用戶端的部分 OGSi 環境中，環境會提供不同的信任提供者。

若要使用 SSL 來鑑別遙測通道，請配置伺服器及用戶端。