不使用客户端证书配置 TLS
必须满足以下条件:
- 已对代理证书进行签名的由证书颁发机构签发的 CA 证书。
- CA 认证代理证书。
- 用于解密的服务器私钥。
- 设备上已安装 OpenSSL。
小贴士:
生成密钥时,不要对服务器证书使用加密(
-des3
开关)。这将创建一个受密码保护的密钥,代理无法解码该密钥。- 在命令提示符下,通过输入以下内容创建 CA 密钥对:openssl genrsa -des3 -out ca.key 2048
- 创建 CA 证书,并使用1 中的 CA 密钥对其进行签名:openssl req -new -x509 -days 1826 -key ca.key -out ca.crt
- 创建无密码保护的代理密钥对:openssl genrsa -out server.key 2048
- 使用3 中的密钥创建代理证书请求:openssl req -new -out server.csr -key server.key
- 使用 CA 证书对4 中的代理证书请求进行签名:openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 360
- 将所有文件放在 MQTT 代理上的单个目录中。
- 将 CA 证书文件复制到 MQTT 客户端。
- 编辑FactoryTalk Optix客户端安全属性以使用 CA 证书。
tls
certificate
提供反馈