想要IoT平台实现设备端证书管理的功能,类似:
即支持设备自行上传数字证书,在SSL/TLS双向认证时,通过验证客户端证书的信息,对设备进行身份认证(确认此证书是合法的,且当前发起连接的设备就是那个设备)
查阅了EMQX相关文档及资料:
想请教如果需要支持像这样支持设备端自行上传多组自签证书,EMQX是否提供了TLS建立过程中的Hook,可供定义这个认证流程具体细节。若没有提供的话,是否有其他方式实现此能力
就我了解的,通常来说,是需要你这边做一个统一的 CA + 证书管理中心。所有设备通过这个CA签发证书,EMQX 的 SSL 监听器配置为该 CA 用来检验设备的证书是否合法
谢谢解答,了解了,但是这样的话,和我直接使用EMQX配置文件里面的那个根CA签发似乎没有太大区别了,都是不能支持用户手动将自己本地自己签发的证书上传上去。
目前还有几点疑惑想请教:
- EMQX的客户端CA认证的这个过程目前是无法接管并进行自定义的是吗,包括Hook和插件的形式;
- 如果用户能接受从IoT平台直接下载设备证书,而不需要从本地上传,是否所有证书直接使用SSL监听器里面配置的根证书签发就好了;
- ssl_options支持pem文件,并且支持定时热更新,针对当前的需求,是否能够考虑直接修改配置文件来实现