MQTTNet客户端在Windows平台使用TLS和客户端证书连接RabbitMQ的问题分析与解决方案

2025-06-12 12:01:22作者：齐冠琰

MQTTnet is a high performance .NET library for MQTT based communication. It provides a MQTT client and a MQTT server (broker). The implementation is based on the documentation from http://mqtt.org/.

项目地址：https://gitcode.com/gh_mirrors/mq/MQTTnet

问题背景

在使用MQTTNet客户端连接RabbitMQ MQTT插件(v311)时，开发团队遇到了一个平台兼容性问题：当使用TLS和客户端证书进行认证时，在Linux/WSL和Docker容器中能够正常工作，但在Windows开发机上却无法建立连接。这个问题引起了团队的深入调查。

技术环境

项目使用MQTTNet最新NuGet包
目标框架为.NET 8.0
连接RabbitMQ MQTT插件(v311)
使用自签名客户端证书进行认证
证书从Azure KeyVault获取，包含公私钥对

问题现象

在Windows平台上，客户端连接时收到"BadUserNameOrPassword"/Invalid credentials(返回码4)错误。进一步分析发现：

在Windows上，客户端证书似乎没有被正确使用
服务器日志显示"no_client_certificate_provided"
相同的代码和证书在WSL/Linux环境下工作正常
使用HiveMQ等其他MQTT代理时，Windows平台也能正常工作

深入分析

通过调试和日志分析，团队发现了以下关键点：

在Windows平台上，虽然SSL选项中的客户端证书已正确配置，但在TLS握手过程中证书未被发送
对比RabbitMQ的.NET AMQP客户端实现，发现其使用了自定义的本地证书选择回调
在WSL环境下，即使没有显式处理证书选择也能正常工作
证书格式处理(PKCS12)在不同平台表现一致，不是问题的根源

解决方案

经过多次尝试，团队发现通过实现自定义的本地证书选择回调可以解决这个问题。具体实现如下：

private X509Certificate InternalUserLocalCertificateValidationCallback(
    object sender, 
    string targetHost, 
    X509CertificateCollection localCertificates, 
    X509Certificate remoteCertificate, 
    string[] acceptableIssuers)
{
    if (acceptableIssuers != null && acceptableIssuers.Length > 0 &&
        localCertificates != null && localCertificates.Count > 0)
    {
        foreach (X509Certificate certificate in localCertificates)
        {
            if (Array.IndexOf(acceptableIssuers, certificate.Issuer) != -1)
            {
                return certificate;
            }
        }
    }
    
    if (localCertificates != null && localCertificates.Count > 0)
    {
        return localCertificates[0];
    }

    return null;
}