Configurare TLS senza certificato client

Configurare TLS senza certificato client

Sono richiesti i seguenti elementi:
  • Certificato dell'autorità di certificazione (CA) della CA che ha firmato il certificato Broker.
  • Certificato Broker certificato da CA.
  • Chiave privata del server per la decrittografia.
  • OpenSSL installato sul dispositivo.
SUGGERIMENTO: Non utilizzare la crittografia per il certificato del server durante la generazione delle chiavi (l'interruttore
-des3
). In questo modo viene creata una chiave protetta da password che il broker non è in grado di decodificare.
  1. Nel prompt dei comandi, creare una coppia di chiavi CA immettendo:
    openssl genrsa -des3 -out ca.key 2048
  2. Creare il certificato CA e utilizzare la chiave CA da 1 per firmarlo:
    openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
  3. Creare una coppia di chiavi del broker senza protezione da password:
    openssl genrsa -out server.key 2048
  4. Creare una richiesta di certificato broker utilizzando la chiave da 3:
    openssl req -new -out server.csr -key server.key
  5. Utilizzare il certificato CA per firmare la richiesta di certificato del broker da 4:
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360
  6. Inserire tutti i file in un'unica directory sul broker MQTT.
  7. Copiare il file del certificato CA nel client MQTT.
  8. Modificare le proprietà di sicurezza del client
    FactoryTalk Optix
    per utilizzare il certificato CA.
Fornire un feedback
Hai domande o feedback su questa documentazione? invia il tuo feedback qui.
Normal