Security - TLS
TLS (Transport Layer Security) sorgt für einen sicheren Kommunikationskanal zwischen einem Client und einem Server. Im Kern handelt es sich bei TLS um kryptographische Protokolle, die mithilfe eines Handshake-Mechanismus verschiedene Parameter vereinbaren, um eine sichere Verbindung zwischen dem Client und dem Server herzustellen. Der TwinCAT Analytics Logger unterstützt die TLS-Versionen 1.2 und 1.3, sowie die Modi CA Certificates, CA Certificates & Client Certificate und Preshared Key (PSK).
 | MQTT-Kommunikation mit TLS Bei Verwendung von Zertifikaten ist der TCP-Port 8883 ausschließlich für MQTT über TLS reserviert! |
Wenn Sie ein MQTT-Target ausgewählt haben, können Sie unter Connection den Button mit den drei Punkten betätigen und es öffnet sich folgendes Fenster für die MQTT-Verbindungsdaten. Nach den Einstellungen von Broker mit User und Passwort können Sie die Drop-down-Box für TLS betätigen und Use Certificates oder Use Pre-Shared Key (PSK) auswählen.
CA Certificate
Die Verschlüsselung und Authentifizierung über TLS können auch durch eine Zertifizierungsstelle (Certificate Authority; CA) erfolgen. Die CA stellt eine Signatur über den öffentlichen Schlüssel für alle Kommunikations-Clients bereit. In diesem Fall verbindet sich ein MQTT-Client ohne ein eigenes Client-Zertifikat mit einem Message-Broker.
Dafür müssen die Felder Cert und Key nicht ausgefüllt werden.
- Use target file paths: Wenn diese Option aktiviert ist, dann sucht das Target die Zertifikate auf dem eigenen System unter dem angegebenen Pfad. Ist diese Option nicht aktiv, werden die angegebenen Pfade auf dem Engineering System untersucht und die Zertifikate von dort auf das Target heruntergespielt.
- Ignore common name mismatch: Wenn diese Option aktiviert ist, wird der common name (CN) des Server Zertifikats nicht geprüft.
- Don’t check identity of broker (insecure): Diese Option ignoriert das Ergebnis der Server Zertifikatsprüfung.
- Ignore expiration: Ist diese Checkbox gesetzt, wird ignoriert, wenn das Server Zertifikat abgelaufen ist.
CA Certificate & Client Certificate
Die Verschlüsselung und Authentifizierung über TLS können auch durch eine Zertifizierungsstelle (Certificate Authority; CA) erfolgen. Die CA stellt eine Signatur über den öffentlichen Schlüssel für den Message-Broker (den sogenannten Serverschlüssel) und in der Regel auch für alle sich verbindenden Clients bereit. Alle Kommunikationsteilnehmer können einander vertrauen, da die ausstellende Zertifizierungsstelle vertrauenswürdig ist.
- Use target file paths: Wenn diese Option aktiviert ist, dann sucht das Target die Zertifikate auf dem eigenen System unter dem angegebenen Pfad. Ist diese Option nicht aktiv, werden die angegebenen Pfade auf dem Engineering System untersucht und die Zertifikate von dort auf das Target heruntergespielt.
- Ignore common name mismatch: Wenn diese Option aktiviert ist, wird der common name (CN) des Server Zertifikats nicht geprüft.
- Don’t check identity of broker (insecure): Diese Option ignoriert das Ergebnis der Server Zertifikatsprüfung.
- Ignore expiration: Ist diese Checkbox gesetzt, wird ignoriert, wenn das Server Zertifikat abgelaufen ist.
Preshared Key (PSK)
Die TLS-PreSharedKey (PSK)-Methode bietet eine einfache Option für die Durchführung der Verschlüsselung zwischen Client und Message-Broker. Client und Broker erkennen ein gemeinsames Passwort an, das zum Verschlüsseln und Entschlüsseln der Pakete verwendet wird.
