...
Parametre umožňujúce nakonfigurovať TLS kryptovanie založené na verejných a súkromných kľúčoch. TLS kryptovanie je aktivované, ak je nakonfigurovaný parameter "Certifikát(y) partnera" a/alebo dvojica "Môj certifikát"/"Môj kľúč".
Poznámka: TLS kryptovanie založené na certifikátoch má prednosť pred kryptovaním založeným na zdieľaných kľúčoch (Pre-shared keys, PSK).
Poznámka: Pomocou tell príkazu CHECK CERTS je možné overiť existenciu a aktuálnosť certifikátov.
Certifikát(y) partnera
Dôveryhodný certifikát(y), pomocou ktorého sa overí druhá strana. Tento parameter umožňuje overiť, že druhá strana je dôveryhodná, pretože jej verejný kľúč je podpísaný jedným z nakonfigurovaných certifikátov (certifikačných autorít).
...
Príklad: D:\some.crt,#APPDIR#/another.crt
PoznPoznámka: Štartovacím parametrom /DC je možné na úrovni D2000 KOM procesu vypnúť overovanie druhej strany - napr. ak expiruje certifikát druhej strany alebo dôjde k inej havarijnej situácii, pričom nie je možné operatívne rekonfigurovať druhú stranu.
Poznámka: Certifikát musí obsahovať verejný kľúč certifikačnej autority (v prípade, že certifikát druhej strany je podpísaný reťazou autorít, je nutné, aby obsahoval všetky). Nemusí obsahovať samotný verejný kľúč druhej strany.
...
| Info | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||
Poznámka 2: Súkromný kľúč je možné ochrániť pomocou zašifrovania heslom. V takom prípade zadajte heslo ku kľúču do položky "Zdieľaný kľúč" v sekcii "TLS - zdieľaný kľúč". Poznámka 3: Nastavenie hesla na súkromný kľúč je možné utilitou OpenSSL. Príklad spustenia: vstupom je nechránený kľúč my.key, výstupom je heslom zašifrovaný kľúč my_protected.key, na kryptovanie sa použije metóda kryptovania AES-256. openssl.exe rsa -aes256 -in my.key -out my_protected.key Je možné použiť nasledovné metódy kryptovania:
Knižnica OpenSSL-3.4 už nepodporuje tieto typy kryptovania:
Pokiaľ používate v hesle diakritiku, tak je nutné pred použitím utility openssl nastaviť na Windows kódovú stránku UTF-8 príkazom chcp 65001 keďže v D2000 sú texty uložené v UTF-8 kódovaní. |
...
Poznámka k redundancii sieťovej komunikácie
V súčasnosti sú implementované iba dva protokoly podporujúce je implementovaných iba niekoľko protokolov podporujúcich linku TCP/IP-TCP Redundant. Protokol
- Protokol IEC 870-5-104 Sinaut je špecifická implementácia protokolu IEC104 navrhnutá pre redundantnú komunikáciu so systémom Sinaut Spectrum.
...
- Protokol IEC 870-5-104, ktorý má implementované rozsiahle možnosti nastavovania parametrov redundancie, sa v praxi vyskytuje oveľa častejšie.
- Protokol MQTT Client umožňuje na linke TCP/IP-TCP Redundant pripojenie sa k dvom nezávislým MQTT brokerom.
Poznámka k TLS komunikácii voči cloudu
V implementácii TLS v D2000 KOM procese bolo pridané TLS rozšírenie "server_name" v TLS Client Hello správe (nadväzovanie TLS spojenia), pričom ako "server_name" sa pošle symbolické meno zadané v konfigurácii linky typu "TCP/IP - TCP" alebo "TCP/IP - TCP Redundant". Toto umožňuje napr. funkčnosť protokolu MQTTS v prostredí AWS, kde na jednej IP adrese je viacero zákazníkov a je nutné zistiť, ku ktorému hostname sa klient pripája.
Pozn: Ak nie je zadané symbolické meno ale IP adresa, tak TLS rozšírenie "server_name" sa v TLS Client Hello správe nepoužije.
| Info | ||
|---|---|---|
| ||
O kryptovaní linky TCP/IP-TCP si môžete prečítať aj blog Komunikácia - kryptovanie. |
...