Estoy intentando conectar un cliente MQTT a un servidor a través de MQTTS (MTTQ + TLS). El servidor proporciona 3 certificados:
- el certificado del punto final MQTT,
- un certificado intermedio (RapidSSL) firmado con GeoTrust Global CA
- un certificado raíz utilizado para la certificación cruzada (Equifax, con un algoritmo de firma SHA1 débil y expirará en 2018)
Ahora, mientras que todo funciona bien con los navegadores (es decir, utilizan el certificado CA global de GeoTrust como ancla en lugar del certificado Equifax), los clientes de MQTT no aceptan la conexión cuando se les proporciona la raíz de CA global de GeoTrust, solo aceptan la conexión con la raíz Equifax en desuso.
Tenga en cuenta que los clientes de MQTT no tienen un almacén de confianza, por lo que necesitamos proporcionar un certificado de raíz pública.
Probamos con 2 clientes MQTT diferentes: mosquitto Embedded + WolfSSL en tablas Marvel y mosquitto_sub en Linux
Sospecho que estos clientes podrían manejar las cadenas de certificados de manera diferente, pero no estoy seguro de por qué / cómo.