...
- Sú dva redundantné aplikačné servery (fyzické alebo virtualizované) - Windows alebo Linux.
- Na oboch serveroch sú spustené D2000 Servery ako redundantná aplikácia (Master/Standby).
- Na oboch serveroch sú spustené MQTT brokery Eclipse Mosquitto, nakonfigurované v režime TLS s certifikátom podpísaným certifikačnou autoritou. Sú spustené bez konfigurácie výmeny správ medzi sebou, t.j. každý z nich je úplne nezávislý.
- D2000 Kom proces má nakonfigurovanú linku TCP/IP-TCP Redundant, s nakonfigurovaným overovaním certifikátu MQTT servera brokera a s nakonfigurovanými certifikátmi. D2000 KOM je teda pripojený k obidvom MQTT serverom brokerom súčasne.
- Ostatní MQTT klienti (PLC a iné zariadenia) sú pripojení aspoň k jednému z MQTT serverovbrokerov (t.j. umožňujú nakonfigurovať 2 IP adresy MQTT serverovbrokerov, voči ktorým sa snažia striedavo nadviazať spojenie).
- Na overovanie totožnosti všetkých klientov sa používajú TLS certifikáty podpísaným certifikačnou autoritou.
...
Nasledovný postup popisuje vytvorenie kľúčov a TLS certifikátov pre MQTT brokera, MQTT klienta myPLC (PLC alebo iné zariadenie) a MQTT klienta myD2000 (D2000 KOM proces).
1.
...
1 Vytvorenie certifikačnej autority
Tento krok je možné preskočiť, ak už máte existujúcu certifikačnú autoritu, prípadne vaše certifikáty podpisuje niekto iný. Parametrom -days sa určuje doba platnosti certifikátu. Parameter -keyout definuje názov súboru so súkromným kľúčom (ktorý je nutné chrániť pred odcudzením) a parameter -out definuje názov certifikátu (ktorý je potrebné zverejniť).
...
Pri vytváraní kľúča je nutné zadať heslo, ktoré je jeho ochranou.
1.2 Nakopírovanie certifikátu certifikačnej autority
Certifikát certifikačnej autority (caMQTT.crt) je nutné nakopírovať tak, aby k nemu mal prístup D2000 KOM (najjednoduchšie do aplikačného adresára) a nastaviť cestu k nemu ako parameter "Certifikát partnera" (#APPDIR#\caMQTT.crt) v konfigurácii linky TCP/IP-TCP Redundant.
Certifikát certifikačnej autority (caMQTT.crt) je nutné nakopírovať na MQTT broker, aby pomocou neho MQTT broker vedel overovať platnosť certifikátov MQTT klientov.
Poznámka: V prípade redundantných MQTT brokerov a redundantných D2000 aplikačných serverov (a ďalších MQTT klientov) je nutné nakopírovať certifikát certifikačnej autority na všetky príslušné servery!
2.1 Vytvorenie kľúča a požiadavky na podpísanie certifikátu pre MQTT brokera
...
Súbor broker.crt (certifikát MQTT brokera) je spolu so súborom broker.key (súkromný kľúč MQTT brokera) a s certifikátom certifikačnej autority (caMQTT.crt) potrebné potrebné nakopírovať na MQTT serverbrokera. Súbor Súbor broker.key je navyše odporúčané chrániť (prístupovými právami, kryptovaním) tak, aby k nemu mal prístup iba užívateľ, pod ktorým beží MQTT broker.
...
Súbor myPLC.crt (certifikát MQTT klienta) je spolu so súborom myPLC.key (súkromný kľúč MQTT klienta) a s certifikátom certifikačnej autority (caMQTT.crt) potrebné potrebné nakopírovať na MQTT klienta. Súbor myPLC.key je navyše odporúčané chrániť (prístupovými právami, kryptovaním) tak, aby k nemu mal prístup iba užívateľ, pod ktorým beží MQTT klient.
...