...
Parametre umožňujúce nakonfigurovať TLS kryptovanie založené na verejných a súkromných kľúčoch. TLS kryptovanie je aktivované, ak je nakonfigurovaný parameter "Certifikát(y) partnera" a/alebo dvojica "Môj certifikát"/"Môj kľúč".
Poznámka: TLS kryptovanie založené na certifikátoch má prednosť pred kryptovaním založeným na zdieľaných kľúčoch (Pre-shared keys, PSK).
Poznámka: Pomocou tell príkazu CHECK CERTS je možné overiť existenciu a aktuálnosť certifikátov.
Certifikát(y) partnera
Dôveryhodný certifikát(y), pomocou ktorého sa overí druhá strana. Tento parameter umožňuje overiť, že druhá strana je dôveryhodná, pretože jej verejný kľúč je podpísaný jedným z nakonfigurovaných certifikátov (certifikačných autorít).
...
Príklad: D:\some.crt,#APPDIR#/another.crt
PoznPoznámka: štartovacím Štartovacím parametrom /DC je možné na úrovni D2000 KOM procesu vypnúť overovanie druhej strany - napr. ak expiruje certifikát druhej strany alebo dôjde k inej havarijnej situácii, pričom nie je možné operatívne rekonfigurovať druhú stranu.
Poznámka: Certifikát musí obsahovať verejný kľúč certifikačnej autority (v prípade, že certifikát druhej strany je podpísaný reťazou autorít, je nutné, aby obsahoval všetky). Nemusí obsahovať samotný verejný kľúč druhej strany.
Môj certifikát
Certifikát (verejný kľúč) používaný D2000 KOM procesom. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
...
Príklad: #APPDIR#/my.key
| Info | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||
Poznámka 2: Súkromný kľúč je možné ochrániť pomocou zašifrovania heslom. V takom prípade zadajte heslo ku kľúču do položky "Zdieľaný kľúč" v sekcii "TLS - zdieľaný kľúč". Poznámka 3: Nastavenie hesla na súkromný kľúč je možné utilitou OpenSSL. Príklad spustenia: vstupom je nechránený kľúč my.key, výstupom je heslom zašifrovaný kľúč my_protected.key, na kryptovanie sa použije metóda kryptovania AES-256. openssl.exe rsa -aes256 -in my.key -out my_protected.key Je možné použiť nasledovné metódy kryptovania:
Knižnica OpenSSL-3.4 už nepodporuje tieto typy kryptovania:
Pokiaľ používate v hesle diakritiku, tak je nutné pred použitím utility openssl nastaviť na Windows kódovú stránku UTF-8 príkazom chcp 65001 keďže v D2000 sú texty uložené v UTF-8 kódovaní. |
...
Poznámka k redundancii sieťovej komunikácie
V súčasnosti sú implementované iba dva protokoly podporujúce je implementovaných iba niekoľko protokolov podporujúcich linku TCP/IP-TCP Redundant. Protokol
- Protokol IEC 870-5-104 Sinaut je špecifická implementácia protokolu IEC104 navrhnutá pre redundantnú komunikáciu so systémom Sinaut Spectrum.
...
- Protokol IEC 870-5-104, ktorý má implementované rozsiahle možnosti nastavovania parametrov redundancie, sa v praxi vyskytuje oveľa častejšie.
- Protokol MQTT Client umožňuje na linke TCP/IP-TCP Redundant pripojenie sa k dvom nezávislým MQTT brokerom.
Poznámka k TLS komunikácii voči cloudu
V implementácii TLS v D2000 KOM procese bolo pridané TLS rozšírenie "server_name" v TLS Client Hello správe (nadväzovanie TLS spojenia), pričom ako "server_name" sa pošle symbolické meno zadané v konfigurácii linky typu "TCP/IP - TCP" alebo "TCP/IP - TCP Redundant". Toto umožňuje napr. funkčnosť protokolu MQTTS v prostredí AWS, kde na jednej IP adrese je viacero zákazníkov a je nutné zistiť, ku ktorému hostname sa klient pripája.
Pozn: Ak nie je zadané symbolické meno ale IP adresa, tak TLS rozšírenie "server_name" sa v TLS Client Hello správe nepoužije.
| Info | ||
|---|---|---|
| ||
O kryptovaní linky TCP/IP-TCP si môžete prečítať aj blog Komunikácia - kryptovanie. |
...