...
Parametre umožňujúce nakonfigurovať TLS kryptovanie založené na verejných a súkromných kľúčoch. TLS kryptovanie je aktivované, ak je nakonfigurovaný parameter "Certifikát(y) partnera" a/alebo dvojica "Môj certifikát"/"Môj kľúč".
Poznámka: TLS kryptovanie založené na certifikátoch má prednosť pred kryptovaním založeným na zdieľaných kľúčoch (Pre-shared keys, PSK) má prednosť, takže ak je zadaný parameter "Zdieľaný kľúč", tak celá sekcia "TLS - certifikáty" je ignorovaná.
Certifikát(y) partnera
Certifikát Dôveryhodný certifikát(verejný kľúč) alebo certifikáty používané druhou stranouy), pomocou ktorého sa overí druhá strana. Tento parameter umožňuje overiť, že druhá strana je dôveryhodná, pretože používa jeden jej verejný kľúč je podpísaný jedným z nakonfigurovaných certifikátov (certifikačných autorít).
Tento parameter udáva cestu k certifikátom. Je možné uviesť aj viacero certifikátov oddelených čiarkou. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
Príklad: D:\some.crt,#APPDIR#/another.crt
Pozn: štartovacím parametrom /DC je možné na úrovni D2000 KOM procesu vypnúť overovanie druhej strany - napr. ak expiruje certifikát druhej strany alebo dôjde k inej havarijnej situácii, pričom nie je možné operatívne rekonfigurovať druhú stranu.
Môj certifikát
Certifikát (verejný kľúč) používaný D2000 KOM procesom. V ceste sa môže vyskytovať symbolická konštanta #APPDIR# označujúca aplikačný adresár (napr. D:\D2000\D2000_APP\MyApp).
...
Príklad: #APPDIR#/my.key
| Info | ||
|---|---|---|
| ||
Poznámka 1: |
...
Kvôli bezpečnosti odporúčame nastaviť prístup k súkromnému kľúču tak, aby bol prístupný iba pre užívateľa, pod ktorým je spustený D2000 KOM proces ( |
...
štandardne Local System na Windows a d2000 na Linux/RPI) Poznámka 2: Súkromný kľúč je možné ochrániť pomocou zašifrovania heslom. V takom prípade zadajte heslo ku kľúču do položky "Zdieľaný kľúč" v sekcii "TLS - zdieľaný kľúč". Poznámka 3: Nastavenie hesla na súkromný kľúč je možné utilitou OpenSSL. Príklad spustenia: vstupom je nechránený kľúč my.key, výstupom je heslom zašifrovaný kľúč my_protected.key, na kryptovanie sa použije metóda kryptovania AES-256. openssl.exe rsa -aes256 -in my.key -out my_protected.keyJe možné použiť nasledovné metódy kryptovania:
Knižnica OpenSSL-3.4 už nepodporuje tieto typy kryptovania:
Pokiaľ používate v hesle diakritiku, tak je nutné pred použitím utility openssl nastaviť na Windows kódovú stránku UTF-8 príkazom chcp 65001keďže v D2000 sú texty uložené v UTF-8 kódovaní. |
Sekcia TLS - zdieľaný kľúč
...
Zdieľaný kľúč použitý na zašifrovanie komunikácie. Tento kľúč musí byť identický na strane D2000 KOM procesu aj na strane partnerského počítača.
| Kotva | ||||
|---|---|---|---|---|
|
...
Sekcia Primárne zariadenie
...
V súčasnosti sú implementované iba dva protokoly podporujúce linku TCP/IP-TCP Redundant. Protokol IEC 870-5-104 Sinaut je špecifická implementácia protokolu IEC104 navrhnutá pre redundantnú komunikáciu so systémom Sinaut Spectrum. Oveľa častejšie sa v praxi stretnete s protokolom IEC 870-5-104, ktorý má implementované rozsiahle možnosti nastavovania parametrov redundancie.
| Info | ||
|---|---|---|
| ||
O kryptovaní linky TCP/IP-TCP si môžete prečítať aj blog Komunikácia - kryptovanie. |
| Info | ||
|---|---|---|
| ||
...