Configurer TLS sans certificat client

Les éléments suivants sont requis :
  • Certificat d’une autorité de certification (CA, Certificate Authority) qui a signé le certificat du broker.
  • Certificat du broker certifié par la CA.
  • Clé privée du serveur pour le déchiffrement.
  • OpenSSL est installé sur le dispositif.
CONSEIL: N’utilisez pas le chiffrement pour le certificat serveur lors de la génération de clés (commutateur
-des3
). Cela crée une clé protégée par mot de passe que le broker ne peut pas décoder.
  1. Dans l’invite de commande, créez une paire de clés CA en saisissant :
    openssl genrsa -des3 -out ca.key 2048
  2. Créez un certificat CA et utilisez la clé CA de 1 pour le signer :
    openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
  3. Créez une paire de clés de broker sans protection par mot de passe :
    openssl genrsa -out server.key 2048
  4. Créez une demande de certificat de broker à l’aide de la clé de 3 :
    openssl req -new -out server.csr -key server.key
  5. Utilisez le certificat CA pour signer la demande de certificat de broker de 4 :
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360
  6. Placez tous les fichiers dans un seul répertoire sur le broker MQTT.
  7. Copiez le fichier du certificat CA sur le client MQTT.
  8. Modifiez les propriétés de sécurité du client
    FactoryTalk Optix
     pour utiliser le certificat CA.
Fournir une réponse
Vous avez des questions ou des commentaires sur cette documentation ? Veuillez envoyer vos commentaires ici.
Normal