Porovnávané verzie

Stará verzia 9

changes.mady.by.user D2000 Dev Team

Uložené

porovnané s

Nová verzia Aktuálny

changes.mady.by.user D2000 Dev Team

Uložené

Kľúč

  • Tento riadok sa pridal
  • Riadok je odstránený.
  • Formátovanie sa zmenilo.

...

Konfiguračný súbor mosquitto.conf

Príklad ukazuje pre konfiguráciu na Windows, cesty na OS Linux je nutné upraviť Linux Ubuntu (samotný konfiguračný súbor sa môže nachádzať napr. v broker.conf sa nachádza v /etc/mosquitto/conf.d):

Info
titlebroker.conf
#MQTTS listener on port 8883
listener 8883
#broker certificate
certfile /etc/mosquitto/certs/broker.crt
#broker private key
keyfile /etc/mosquitto/certs/broker.key
#require valid certificates of clients
require_certificate true
#file with certificate authority's public key(s)
cafile /etc/mosquitto

...

/ca_certificates/caMQTT.crt
#use CN (Common Name) of client certificate as username (and ignore MQTT username+password)
use_identity_as_username true
#password file is not used for username/password verification (due to use_identity_as_username true)
#password_file pwfile
#acl file with defined access rights
acl_file /etc/mosquitto/myacl.conf 


Príklad pre konfiguráciu na Windows:

Info
titlemosquitto.conf
#MQTTS listener on port 8883
listener 8883
#broker certificate
certfile c:\Program Files (x86)\mosquitto\broker.crt
#broker private key
keyfile c:\Program Files (x86)\mosquitto\broker.key
#require valid certificates of clients
require_certificate true
#file with certificate authority's public key(s)
cafile c:\Program Files (x86)\mosquitto\caMQTT.crt
#use CN (Common Name) of client certificate as username (and ignore MQTT username+password)
use_identity_as_username true
#password file is not used for username/password verification (due to use_identity_as_username true)
#password_file pwfile
#acl file with defined access rights
acl_file c:\Program Files (x86)\mosquitto\myacl.conf

...

Certifikát certifikačnej autority (caMQTT.crt) je nutné nakopírovať na MQTT broker, aby pomocou neho MQTT broker vedel overovať platnosť certifikátov MQTT klientov (adresár /etc/mosquitto/ca_certificates).

Poznámka: V prípade redundantných MQTT brokerov a redundantných D2000 aplikačných serverov (a ďalších MQTT klientov) je nutné nakopírovať certifikát certifikačnej autority na všetky príslušné servery!

...

Súbor broker.crt (certifikát MQTT brokera) je spolu so súborom broker.key (súkromný kľúč MQTT brokera)  potrebné potrebné nakopírovať na MQTT brokera . Súbor (adresár /etc/mosquitto/certs). Súbor broker.key je navyše odporúčané chrániť (prístupovými právami, kryptovaním) tak, aby k nemu mal prístup iba užívateľ, pod ktorým beží MQTT broker.

...

Ak ste vyššie vytvorili certifikačnú autoritu, vytvárate certifikát (podpisujete certificate signing request). V opačnom prípade pošlete súbor myPLC.csr na podpis príslušnej certifikačnej autorita (napr. IT oddelenie firmy).
Parameter -days udáva dobu platnosti certifikátu v dňoch.

 openssl x509 -req -inmyPLCin myPLC.csr -CA caMQTT.crt -CAkey caMQTT.key -CAcreateserial -out myPLC.crt -days 1000

...