ブローカー/クライアント TLS 構成
Transport Layer Security (TLS) を構成して、MQTT ブローカーとクライアント間の安全な暗号化接続を確保します。
クライアントとブローカー間で TLS 接続を行うには、次の方法があります。
- クライアント証明書なし
- クライアント証明書あり
詳細については、次を参照してください。
https://mosquitto.org/man/mosquitto-tls-7.html - 必要なすべての証明書を生成する方法に関する情報が含まれています。
https://www.openssl.org/source/ - OpenSSL インストールパッケージを取得するには
ヒント:
証明書、証明書署名要求、および暗号化キーには、Privacy Enhanced Mail (PEM) 形式を使用する必要があります。PEM ファイルには、次の拡張子を付けることができます。
.pem
、.key
、.cer
、.cert
、.crt
。クライアント証明書を使用しない TLS 構成
クライアント証明書なしで、MQTT ブローカーと MQTT クライアント間に暗号化された接続を作成します。
FactoryTalk Optix
クライアント上の信頼できる CA 証明書のみが必要です。クライアント証明書を使用した TLS 構成
クライアント証明書は、サーバー証明書がサーバーを識別するのと同様に、クライアントを識別します。
ユーザー名とパスワードの認証と同様に、ブローカーはクライアントが証明書を提供する必要があるかどうかを判断します。
証明書は、ユーザー名およびパスワード認証と組み合わせて使用できます。
クライアント証明書とサーバー証明書はどちらも、通信の暗号化ではなく、主に認証に使用されます。
ヒント:
クライアントが SSL/TLS 経由でサーバーに接続すると、サーバーは SSL/TLS 証明書をクライアントに提示して ID を証明します。クライアントは、通常は信頼できる認証局 (CA) が関与する信頼チェーンを使用して、サーバーの証明書の信頼性を検証します。
サーバー ID が確認されると、クライアントとサーバーは安全な通信チャンネルを確立します。
ご質問やご意見