Configurazione TLS broker-client
Configurare Transport Layer Security (TLS) per garantire una connessione crittografata sicura tra il broker MQTT e i client.
Sono disponibili questi modi per stabilire una connessione TLS tra client e broker:
- senza un certificato client
- con un certificato client
Per ulteriori informazioni, vedere:
https://mosquitto.org/man/mosquitto-tls-7.html - contiene informazioni su come generare tutti i certificati richiesti.
https://www.openssl.org/source/ - per ottenere il pacchetto di installazione OpenSSL
SUGGERIMENTO:
È necessario utilizzare il formato Privacy Enhanced Mail (PEM) per i certificati, le richieste di firma dei certificati e le chiavi crittografiche. I file PEM possono avere le seguenti estensioni:
.pem
, .key
, .cer
, .cert
, .crt
.Configurazione TLS senza certificato client
Creare una connessione crittografata tra il broker MQTT e il client MQTT senza certificato client. È necessario solo un certificato CA attendibile sul client
FactoryTalk Optix
.Configurazione TLS con certificato client
Un certificato client identifica il client proprio come il certificato server identifica il server.
Come per l'autenticazione con nome utente e password, il broker decide se un client deve fornire o meno un certificato.
È possibile utilizzare i certificati in combinazione con l'autenticazione con nome utente e password.
I certificati client e server vengono utilizzati principalmente per l'autenticazione, non per la crittografia delle comunicazioni.
SUGGERIMENTO:
Quando un client si connette a un server tramite SSL/TLS, il server presenta il proprio certificato SSL/TLS al client per dimostrare la propria identità. Il client verifica l'autenticità del certificato del server utilizzando una catena di attendibilità, che in genere coinvolge un'autorità di certificazione (CA) attendibile.
Una volta verificata l'identità del server, client e server stabiliscono un canale di comunicazione sicuro.
Fornire un feedback