使用 SSL 進行遙測通道鑑別
MQTT 用戶端與佇列管理程式之間的連線一律由 MQTT 用戶端起始。 MQTT 用戶端一律是 SSL 用戶端。 伺服器的用戶端鑑別和 MQTT 用戶端的伺服器鑑別皆為選用項目。
除非將用戶端配置為使用支援匿名連線的 CipherSpec,否則它一律會嘗試鑑別伺服器。 如果鑑別失敗,則不會建立連線。
作為使用 SSL 的替代方案,一些類型的「虛擬私密網路 (VPN)」(例如 IPsec),會鑑別 TCP/IP 連線的端點。 VPN 會加密流經網路的每個 IP 封包。 一旦建立這類 VPN 連線,即建立可信的網路。 您可以透過 VPN 網路使用 TCP/IP 將 MQTT 用戶端連接至遙測通道。
使用 SSL 的伺服器鑑別會鑑別作為要傳送機密資訊目標的伺服器。 用戶端會針對放置在其信任儲存庫或 JRE cacerts 儲存庫中的憑證,執行符合從伺服器傳送之憑證的檢查。
JRE 憑證儲存庫是 JKS 檔案 cacerts。 它位於 JRE InstallPath\lib\security\。 安裝後,它的預設密碼為 changeit
。 您可以將信任的憑證儲存在 JRE 憑證儲存庫或用戶端信任儲存庫中。 不能同時使用這兩個儲存庫。 如果您想要將用戶端信任的公用憑證與其他 Java 應用程式使用的憑證分開,請使用用戶端信任儲存庫。 如果您想要對用戶端上執行的所有 Java 應用程式使用一般憑證儲存庫,請使用 JRE 憑證儲存庫。 如果決定使用 JRE 憑證儲存庫,請檢閱它所包含的憑證,以確保您信任這些憑證。
透過提供不同的信任提供者,您可以修改 JSSE 配置。 您可以自訂信任提供者,以對憑證執行不同的檢查。 在已使用 MQTT 用戶端的部分 OGSi 環境中,環境會提供不同的信任提供者。
若要使用 SSL 來鑑別遙測通道,請配置伺服器及用戶端。