TLS-Konfiguration des Broker-Clients
Konfiguration der Transportschichtsicherheit (Transport Layer Security, TLS) für die Gewährleistung einer sicheren verschlüsselten Verbindung zwischen dem MQTT-Broker und den Broker-Clients.
Es stehen die folgenden Möglichkeiten für die Herstellung einer TLS-Verbindung zwischen Client und Broker zur Verfügung:
- ohne Client-Zertifikat
- mit Client-Zertifikat
Weitere Informationen finden Sie unter:
https://mosquitto.org/man/mosquitto-tls-7.html - Enthält Informationen darüber, wie Sie alle erforderlichen Zertifikate generieren.
https://www.openssl.org/source/ - Für den Abruf des OpenSSL-Installationpakets
TIPP:
Sie müssen das PEM-Format (Privacy Enhanced Mail) für Zertifikate, Zertifikatsignieranforderungen und Kryptografieschlüssel verwenden. PEM-Dateien können die folgenden Erweiterungen haben:
.pem
, .key
, .cer
, .cert
, .crt
.TLS-Konfiguration ohne Client-Zertifikat
Aufbau einer verschlüsselten Verbindung zwischen dem MQTT-Broker und dem MQTT-Client ohne Client-Zertifikat. Es ist nur ein vertrauenswürdiges ZS-Zertifikat auf dem
FactoryTalk Optix
-Client erforderlich.TLS-Konfiguration mit Client-Zertifikat
Ein Clientzertifikat identifiziert den Client auf dieselbe Weise, wie ein Serverzertifikat den Server identifiziert.
Wie bei der Authentifizierung mit Benutzername und Passwort entscheidet der Broker, ob ein Client ein Zertifikat bereitstellen muss oder nicht.
Sie können Zertifikate in Kombination mit der Authentifizierung über Benutzername und Passwort verwenden.
Sowohl die Client- als auch die Serverzertifikate werden hauptsächlich für die Authentifizierung verwendet, und nicht für die Verschlüsselung der Kommunikation.
TIPP:
Wenn ein Client eine Verbindung zu einem Server über SSL/TLS aufbaut, präsentiert der Server zum Nachweis seiner Identität dem Client sein SSL/TLS-Zertifikat. Der Client überprüft die Authentizität des Serverzertifikats mithilfe einer Vertrauenskette; in der Regel unter Beteiligung einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA).
Nach der Verifizierung der Serveridentität bauen Client und Server einen sicheren Kommunikationskanal auf.
Rückmeldung geben