TLS ohne Clientzertifikat konfigurieren

Folgende Anforderungen gibt es:
  • Das ZS-Zertifikat einer Zertifizierungsstelle (Certificate Authority, ZS), die das Brokerzertifikat signiert hat.
  • Von einer Zertifizierungsstelle zertifiziertes Brokerzertifikat.
  • Privater Serverschlüssel für die Entschlüsselung.
  • OpenSSL ist auf dem Gerät installiert.
WICHTIG: Verwenden Sie bei der Generierung von Schlüsseln für das Serverzertifikat keine Verschlüsselung (Schalter -ds3). Hierdurch würde ein passwortgeschützter Schlüssel erzeugt werden, den der Broker nicht entschlüsseln kann.
  1. Erstellen Sie in der Eingabeaufforderung ein ZS-Schlüsselpaar, indem Sie Folgendes eingeben:
    openssl genrsa -des3 -out ca.key 2048
  2. Erstellen Sie ein ZS-Zertifikat und signieren Sie es mithilfe der in Schritt 1 erzeugten ZS-Schlüssel:
    openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
  3. Erstellen Sie ein nicht passwortgeschütztes Brokerschlüsselpaar:
    openssl genrsa -out server.key 2048
  4. Erstellen Sie eine Brokerzertifikatanforderung mithilfe der Schlüssel aus Schritt 3:
    openssl req -new -out server.csr -key server.key
  5. Signieren Sie die Brokerzertifikatanforderung aus Schritt 4 mithilfe des ZS-Zertifikats:
    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360
  6. Verschieben Sie alle Dateien in ein einziges Verzeichnis auf dem MQTT-Broker.
  7. Kopieren Sie die ZS-Zertifikatdatei auf den MQTT-Client.
  8. Bearbeiten Sie für die Verwendung des ZS-Zertifikats die Sicherheitseinstellungen des
    FactoryTalk Optix
    -Clients.
Rückmeldung geben
Haben Sie Fragen oder Feedback zu dieser Dokumentation? Bitte geben Sie hier Ihr Feedback ab.