单向认证由客户端认证服务端,客户端对服务端的认证通过服务端证书完成,服务端会使用您选择的证书和客户端建联。为了保证集群的安全,消息队列 MQTT 版提供了默认的服务端证书进行单向认证,如需要使用自有证书进行认证,可以参考本文指引绑定自定义证书。服务端证书需要由您自行购买或自行签发后,托管到 腾讯云 SSL 证书,再在 MQTT 控制台完成配置。
约束与限制
单集群内服务端证书的最大数量为3个。
配置自定义证书
步骤1:托管服务端证书
步骤2:开启单向认证
如您是第一次配置集群认证方式,MQTT 默认开启了单向认证,您可以跳过此步骤。如您之前使用的是双向认证或者一机一证认证方式,可以参考此步骤将认证方式切换回单向认证。
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击要配置证书的集群的“ID”,进入集群基本信息页面。
3. 在基本信息页面选择认证管理,二级页签选择 X.509 证书管理,单击右侧的编辑图标 
4. 在弹窗中设置认证方式为单向认证,单击提交,完成配置。
步骤3:绑定自定义证书
1. 登录 MQTT 控制台。
2. 在左侧导航栏单击资源管理 > 集群管理,选择好地域后,单击目标集群的“ID”,进入集群基本信息页面。
3. 在集群详情页,选择服务端证书管理页签,单击左上角的绑定自定义证书。
证书来源:选择 SSL 证书。
服务端证书:在下拉框中勾选托管到腾讯云的 SSL 证书。
4. 单击提交,完成绑定。
说明:
在默认服务端证书的基础上可配置多个自定义证书,当前服务端自定义证书的最大个数上限为3个。
集群支持在开启单向认证/双向认证时,使用多个服务端证书进行认证。
步骤4:配置自定义域名
参数 | 填写说明 |
主机记录 | 填写使用证书的域名 |
记录类型 | CNAME |
记录值 | 如使用公网,填写 -。 如使用 VPC 内网,填写 mqtt-xxxx-nj-vpce-xxx.mqtt.tencenttdmq.com。 |
MX 优先级 | 无需填写 |
TTL(秒) | 建议保持为默认值600s |
假设选择的服务端证书 Subject Alternative Name 包含以下域名:
mqtt-abc.compay.com。参考 云解析-CNAME 记录,创建一个 CNAME 记录,将
mqtt-abc.compay.com 解析到集群的接入点提供的域名: mqtt-xxx-sh-public.mqtt.tencenttdmq.com,后续可以通过 mqtt-abc.company.com访问集群。步骤5:配置 TLS 版本(可选)
若您的集群中部分设备或 SDK 因仅支持特定版本的 TLS 协议,导致与默认配置的服务端无法完成握手而连接失败时,可通过 TLS 协议版本配置的功能调整服务端所支持的 TLS 协议版本范围,使通信双方能够协商出一个共同认可的协议版本,从而解决因版本不匹配产生的兼容性问题,确保所有组件都能成功建立安全连接,保障集群通信的稳定性。
注意:
修改服务端支持的 TLS 协议版本配置后,将立即生效,影响集群下所有新连接/重新连接的客户端,请谨慎操作。
服务端默认支持TLS 1.0 至 TLS 1.3 的全部版本,如需修改可参考如下配置步骤:
1. 进入 集群管理 > 认证管理,二级页签选择 X.509 证书管理,单击 TLS 协议版本配置右侧的编辑图标 
2. 在弹窗中选择支持的 TLS 版本范围。由于 TLS 协议仅支持开启连续版本或单一版本,因此修改配置方法如下:
若要启用连续版本(如 TLS 1.1 和 TLS 1.2):请先选择其中一个版本作为“最低版本”,再选择另一个版本作为“最高版本”,单击确定提交配置。
若要仅启用单个版本(如仅启用 TLS 1.2):请连续两次单击该版本,单击确定提交配置。
管理证书
禁用默认服务端证书
在绑定其他自定义证书后,可以禁用 TDMQ MQTT 版提供的默认服务端证书,具体步骤如下:
在服务端证书管理页面,单击默认服务端证书操作栏的禁用,在弹窗中确认后可以禁用默认证书。
解绑自定义证书
若您不再需要配置的自定义证书,可以将其解绑。解绑后,将无法通过证书对应的域名进行连接。
