MQTT代理和客戶端上的SSL/TLS證書應該相同嗎？

Question

我正在嘗試安裝帶有SSL/TLS加密的Mosca服務器。

看看頁面https://github.com/mcollina/mosca/wiki/TLS-SSL-Configuration頁上的Mosca維基建議我們將需要一個私鑰和一個經紀人證書。

雖然該頁面沒有提到客戶端上SSL/TLS上mqtt的配置，但我發現了Mattino Collina本人在客戶端的SSL/TLS配置中的一篇文章。這裏http://www.hivemq.com/blog/mqtt-client-library-mqtt-js

本文指出，對於mqtts，我們還需要在客戶端提供密鑰和證書。它們應該與我們在設置代理時提供的密鑰和證書相同，還是與我們連接到代理的每個客戶不同？

這些密鑰和證書是爲代理驗證客戶端的一種方式嗎？

Answer 1

多少個證書和密鑰取決於您試圖實現的內容。

如果你只是需要一個安全的連接，那麼你只需要在代理上的證書和私鑰。 （您可能需要向客戶提供CA證書，具體取決於您是簽署自己的證書還是使用由公認CA簽署的證書）。

如果要通過SSL唯一標識客戶端，則客戶端還需要它自己的唯一證書和匹配的私鑰。這些將與經紀人證書/密鑰對不同，但可能由相同的CA簽署。