Kaspersky IoT Secure Gateway 100

Настройка шлюза

Сценарий настройки передачи данных от сервера OPC UA в MQTT-брокер через Kaspersky IoT Secure Gateway 100 состоит из следующих этапов:

  1. Генерация криптографического ключа и сертификатов для подключения по протоколу OPC UA

    Генерация

    и требуется, если используется защищенное соединение .

  2. Настройка узлов передачи данных по протоколу OPC UA на сервере OPC UA

    Вы можете ознакомиться со спецификацией протокола OPC UA на сайте разработчика. В Kaspersky IoT Secure Gateway 100 версии 2.0 поддерживается протокол OPC UA версии 1.04.

  3. Генерация криптографического ключа и сертификатов для подключения по протоколу MQTT

    Вам потребуется сгенерировать криптографический ключ и сертификат для клиента

    , а также подготовить файл, содержащий , которыми производилась подпись сертификата сервера.

  4. Настройка параметров Kaspersky IoT Secure Gateway 100 для передачи данных от сервера OPC UA в MQTT-брокер

    Подробные инструкции, относящиеся к этому шагу, приведены в этом разделе справки.

В этом разделе справки

Извлечение и установка карты памяти microSD

Расположение файлов на карте памяти microSD

Подключение к сети и настройка сетевых параметров

Настройка соединения по протоколу OPC UA

Настройка соединения по протоколу MQTT

В начало
[Topic 213340]

Извлечение и установка карты памяти microSD

Карта microSD установлена в слот для карт microSD устройства Siemens SIMATIC IOT2040 и содержит следующие файлы:

  • конфигурационные файлы с параметрами Kaspersky IoT Secure Gateway 100;
  • файлы журнала состояния Kaspersky IoT Secure Gateway 100;
  • файл с информацией о стороннем коде.

Для доступа к этим файлам, вам нужно извлечь карту microSD из устройства и подключить ее к компьютеру с установленной операционной системой Linux. Для продолжения работы шлюза, следует поместить карту microSD обратно.

Извлечение и установку карты памяти microSD следует производить при отключенном питании устройства Siemens SIMATIC IOT2040.

Чтобы извлечь и затем установить обратно карту памяти microSD:

  1. Откройте правую крышку устройства.
  2. Сдвиньте фиксатор слота карты памяти вниз и откройте фиксатор.
  3. Извлеките карту microSD.
  4. Поместите карту microSD обратно, закройте фиксатор и сдвиньте фиксатор вверх.

    Манипуляции с картой памяти microSD

    Извлечение и установка карты памяти microSD

В начало
[Topic 240117]

Расположение файлов на карте памяти microSD

Для изменения параметров Kaspersky IoT Secure Gateway 100, вам потребуется извлечь карту microSD из слота microSD устройства Siemens SIMATIC IOT2040, подключить карту microSD к компьютеру с операционной системой Linux, изменить содержимое конфигурационных файлов и установить карту microSD обратно.

Карта памяти microSD включает пять разделов (см. рис. ниже):

В начало
[Topic 240542]

Подключение к сети и настройка сетевых параметров

Для подключения устройства к внешней и внутренней сети требуется установить физические подключения (по кабелю RJ45) и при необходимости настроить параметры внешней и внутренней сети.

Физическое подключение к сети

Чтобы подключить Kaspersky IoT Secure Gateway 100 к сети передачи данных:

  1. Подключите сетевой кабель внутренней сети (в которой находится сервер OPC UA) к порту PN/IE LAN X2 P1 устройства.
  2. Подключите сетевой кабель внешней сети (в которой находится ) к порту PN/IE LAN X1 P1 устройства.

    Схема расположения портов Ethernet на устройстве Siemens SIMATIC IOT2040

Автоматическое получение параметров сети

По умолчанию, Kaspersky IoT Secure Gateway 100 поставляется с динамической (DHCP) конфигурацией для внутренней и внешней сети. В этой конфигурации для автоматического получения параметров сети требуется наличие настроенного сервера DHCP, расположенного в той же сети.

Если сервер DHCP отсутствует или вы по каким-либо причинам не хотите использовать динамическую конфигурацию сети, используйте статическую конфигурацию сети.

Настройка статических параметров сети

Чтобы настроить статические параметры внешней и внутренней сети:

  1. Создайте два отдельных конфигурационных файла с названием dhcpcd.conf на карте microSD:
    • для внешней сети – в директории /etc раздела HW-ENW;
    • для внутренней сети – в директории /etc раздела HW-INW.
  2. В файлах dhcpcd.conf укажите параметры сети в соответствии с документацией dhcpd.

    Пример конфигурационного файла, в котором указаны параметры для внешней или внутренней сети:

    static ip_address=192.168.1.177/23

    static routers=192.168.1.1

  3. Сохраните изменения.
В начало
[Topic 224295]

Настройка соединения по протоколу OPC UA

Kaspersky IoT Secure Gateway 100 получает данные от сервера OPC UA, расположенного во внутренней сети организации, по протоколу OPC UA, описанному в спецификации OPC Unified Architecture (унифицированная архитектура OPC). Вы можете ознакомиться со спецификацией протокола OPC UA на сайте разработчика. Kaspersky IoT Secure Gateway 100 поддерживает протокол OPC UA версии 1.04.

В этом разделе справки

Защита соединения по протоколу OPC UA

Настройка получения данных по протоколу OPC UA

Описание параметров в конфигурационном файле OpcUaClientSettings-0.json

Особенности настройки параметров безопасности OPC UA

В начало
[Topic 224290]

Защита соединения по протоколу OPC UA

Чтобы использовать защищенное соединение клиента OPC UA c сервером OPC UA:

  1. Скопируйте сертификат клиента OPC UA в директорию /app/Core/pki/certs/transfer/opc_ua/client раздела HW-IDS карты microSD.
  2. Скопируйте сертификат сервера OPC UA в директорию /app/Core/pki/certs/transfer/opc_ua/client раздела HW-IDS карты microSD.
  3. Скопируйте закрытый криптографический ключ клиента OPC UA в директорию /app/Core/pki/private/transfer/opc_ua/client раздела HW-IDS карты microSD.

Передача данных по протоколу OPC UA возможна и без использования защищенного соединения. Но в этом случае не обеспечивается безопасное подключение клиента OPC UA к серверу OPC UA. Мы не рекомендуем использовать такой режим работы Kaspersky IoT Secure Gateway 100.

В начало
[Topic 240930]

Настройка получения данных по протоколу OPC UA

Чтобы настроить получение данных по протоколу OPC UA:

  1. Создайте конфигурационный файл OpcUaClientSettings-0.json.
  2. В файле OpcUaClientSettings-0.json укажите параметры OPC UA и их значения, соблюдая синтаксис JSON.
  3. Поместите конфигурационный файл в директорию /app/Core/config/transfer/opc_ua/client в разделе HW-IDS карты microSD.

Пример конфигурационного файла:

OpcUaClientSettings-0.json

{

"id": 0,

"name": "Kaspersky IoT Secure Gateway 100 OPC UA Client",

"description": "Collects data from CNC by Kaspersky IoT Secure Gateway 100",

"url": "opc.tcp://192.168.177.7:4840",

"readingCycle": 1,

"security": {

"mode": "SignAndEncrypt",

"policy": "Basic256Sha256",

"clientPkiData": {

"certificate": "opc-ua-client.crt",

"privateKey": "opc-ua-client.key"

},

"trustList": ["opc-ua-server.crt"]

},

"userCredentials":

{

"username": "KISG100",

"password": "0R20jN#yZd~zaLKe?2J#@~|YC"

},

"heartbeat": {

"id": 0,

"name": "Heartbeat",

"timeout": 60

},

"nodes": [

{

"id": 1,

"name": "Temperature",

"nodeId": "ns=1;s=VariableTemperature"

},

{

"id": 2,

"name": "Speed",

"nodeId": "ns=2;i=2045"

}

]

}

Для редактирования файлов в формате JSON мы рекомендуем использовать текстовый редактор с поддержкой подсветки синтаксиса JSON. Это позволит избежать возможных ошибок (например, непарных скобок).

В начало
[Topic 240931]

Описание параметров в конфигурационном файле OpcUaClientSettings-0.json

Параметры, отмеченные как обязательные, следует явно указать. Прочие параметры настраивать необязательно. Для необязательных параметров, не включенных в конфигурационный файл, может использоваться значение по умолчанию, предусмотренное протоколом OPC UA.

Параметры в файле OpcUaClientSettings-0.json

Имя параметра

Обязательный параметр

Описание

Возможные значения и примечания

id

Да

Идентификатор клиента OPC UA, принимающего данные от сервера OPC UA.

0.

Значение этого параметра должно совпадать со значением параметра receivingHubId в конфигурационном файле GuideSettings-0.json.

name

Да

Имя клиента OPC UA, принимающего данные от сервера OPC UA.

<OPC UA client name>.

Пример: Kaspersky IoT Secure Gateway 100 OPC UA Client.

description

 

Описание клиента OPC UA, принимающего данные от сервера OPC UA.

<OPC UA client description>.

Пример: Collect data from CNC by Kaspersky IoT Secure Gateway 100.

url

Да

Адрес сервера OPC UA.

<сетевой протокол>://<хост>:<порт>.

Пример: opc.tcp://192.168.177.7:4840.

Порт 4840 используется по умолчанию.

readingCycle

Нет

Частота считывания данных шлюзом (в секундах).

1.

Целое значение не меньше 0.

0 – специальное значение, которое устанавливает использование максимальной частоты, доступной клиенту и серверу.

security

Да

Блок

. Содержит параметры mode, policy, trustList и блок параметров clientPkiData.

  • Блок параметров {mode, policy, clientPkiData, trustList}.
  • null.

В блоке параметров security настраиваются режимы и политики безопасной коммуникации, указываются используемые сертификаты и криптографические ключи для

и данных.

Если не требуется настраивать параметры безопасности, укажите null в блоке security. При этом будет использоваться режим безопасности None.

mode

Нет

Режим управления безопасностью подключения клиентского приложения.

  • Sign – режим, в котором для подключения требуется использовать цифровую подпись данных.
  • SignAndEncrypt – режим, в котором для подключения требуется одновременно использовать цифровую подпись данных и шифрование данных.
  • None – режим, в котором для подключения не требуется использовать цифровую подпись данных и шифрование данных. Не рекомендуется использовать этот режим, так как он не обеспечивает безопасное подключение клиента OPC UA к серверу OPC UA.
  • Any – режим, в котором для подключения будет использован любой из перечисленных режимов (при условии поддержки сервером): Sign, SignAndEncrypt, None.

policy

Нет

Название

, используемой на сервере OPC UA.

  • Basic128Rsa15.
  • Basic256.
  • Basic256Sha256.
  • None.
  • Any – возможно использование любой из перечисленных политик (при условии поддержки сервером).

Политика безопасности None является наиболее совместимой с разными видами источников данных для соединения по OPC UA.

clientPkiData

Нет

Блок параметров, содержащий сертификат и закрытый криптографический ключ клиента OPC UA для безопасного соединения.

Блок параметров {certificate, privateKey}.

Блок параметров clientPkiData требуется заполнить даже в случае, если полям mode и policy установлено значение None.

Для безопасного взаимодействия по OPC UA вам потребуется создать закрытый криптографический ключ и сертификат и добавить их в конфигурацию клиента и сервера. При генерации сертификатов для соединения клиента (Kaspersky IoT Secure Gateway 100) и сервера OPC UA удостоверьтесь, что сертификаты удовлетворяют следующим требованиям:

  • Параметры криптографических ключей и сертификатов соответствуют выбранной политике безопасности.
  • Используется формат DER или PEM для сертификатов и криптографических ключей клиента.
  • Для сертификата клиента значение поля Subject Alt Name содержит значение URI:urn:aprotech:KISG100:OpcUaClient.

certificate

Нет

Имя файла сертификата.

opc-ua-client.crt.

privateKey

Нет

Имя файла закрытого криптографического ключа.

opc-ua-client.key.

trustList

Нет

Массив, содержащий имена файлов доверенных сертификатов.

  • [opc-ua-server.crt] – одно или несколько имен файлов доверенных сертификатов сервера OPC UA.
  • AllowAll – разрешение подключение к серверу OPC UA без проверки его сертификата.

Если конфигурация сервера OPC UA предполагает использование собственного списка доверенных сертификатов, добавьте сертификат клиента в этот список. Если проверка сертификатов не требуется, укажите для этого параметра значение AllowAll.

userCredentials

Нет

Блок параметров с учетными данными клиента OPC UA на сервере OPC UA.

  • Блок параметров {username, password} с учетными данными пользователя.
  • null – указывается, если вы хотите разрешить анонимное подключение клиента OPC UA к серверу OPC UA. В этом случае указывать значения username и password не требуется.

username

Нет

Имя учетной записи пользователя для авторизации на сервере OPC UA.

<username>.

password

Нет

Пароль учетной записи пользователя для авторизации на сервере OPC UA.

<password>.

heartbeat

Нет

Блок параметров, содержащий настройки сигнала работоспособности Kaspersky IoT Secure Gateway 100, генерируемый клиентом OPC UA.

  • Блок параметров {id, name, timeout}.
  • null.

Если вы не добавите параметр heartbeat или укажете значение null, сигналы работоспособности отправляться не будут.

id

Нет

Идентификатор узла данных.

0.

name

Нет

Имя узла данных.

<heartbeat node name>.

Пример: Heartbeat.

timeout

Нет

Период в секундах между генерацией сигналов работоспособности.

60.

Требуется указать целое значение не меньше 0. Значение по умолчанию – 30.

nodes

Да

Блок параметров узлов данных.

Блок параметров {id, name}.

Заполняется для каждого узла данных. Идентификатор и имя узла данных требуются для построения маршрутов и передачи данных от сервера OPC UA в MQTT-брокер.

id

Да

Идентификатор исходящего порта.

<id>.

name

Да

Имя исходящего порта. Должно совпадать с именем целевого порта name одного из

, указанных в блоке параметров topics в конфигурационном файле MqttPublisherSettings-0.json.

<node name>.

Пример: Temperature.

Для корректной передачи данных от сервера OPC UA в MQTT-брокер, требуется сопоставить

OPC UA и соответствующие им MQTT-топики. Сопоставление осуществляется по значению name.

 

nodeId

Да

Идентификатор узла данных.

<namespace>, <nodeID>.

ns

Да

Идентификатор пространства имен сервера OPC UA.

<namespace>.

nodeId

Да

Идентификатор узла данных в пространстве имен сервера OPC UA.

<nodeID>.

Возможны два типа идентификатора:

  • s (string) – строковое значение идентификатора узла данных. Например, "nodeId": "ns=1;s=Variable temperature".
  • i (numeric) – числовое значение идентификатора узла данных. Например, "nodeId": "ns=2;i=2045".

В начало
[Topic 240932]

Особенности настройки параметров безопасности OPC UA

Kaspersky IoT Secure Gateway 100 не устанавливает соединение по протоколу OPC UA в следующих случаях:

  • сервер не имеет сертификата и не разрешено небезопасное подключение;
  • в параметре trustList не указан сертификат сервера и не установлено значение AllowAll;
  • сертификат клиента, сертификат сервера или криптографические ключи не удовлетворяют параметрам выбранной политики безопасности.

Клиент и сервер OPC UA устанавливают небезопасное соединение в следующих случаях:

  • установлено значение null для блоков параметров security и userCredentials, и сервер поддерживает такое соединение;
  • установлено значение Any для полей mode и policy, и сервер предлагает выбор небезопасного соединения.

Любое понижение параметров безопасности снижает защищенность соединения. Например, следующие настройки параметров снижают защищенность соединения по протоколу OPC UA:

  • Использование значения null для блока параметров security приводит к использованию соединения без шифрования и подписи.
  • Использование значения AllowAll для поля trustList отключает проверку сертификата сервера.
  • Использование значения null для блока параметров userCredentials отключает возможность подключения к серверу с использованием имени пользователя и пароля.
  • Значения Basic128Rsa15 и Basic256 для поля policy считаются устаревшими в спецификации протокола OPC UA версии 1.4, так как алгоритм хеширования SHA-1 больше не считается безопасным.
  • Использование значения None для полей policy или mode приводит к:
    • использованию соединения без шифрования и подписи данных;
    • передаче пароля серверу в открытом виде.
В начало
[Topic 240935]

Настройка соединения по протоколу MQTT

Kaspersky IoT Secure Gateway 100 передает данные в MQTT-брокер по протоколу MQTT. Вы можете ознакомиться со спецификацией протокола MQTT на сайте разработчика. В Kaspersky IoT Secure Gateway 100 версии 2.0 поддерживается протокол MQTT версии 3.1.1.

В этом разделе справки

Защита соединения по протоколу MQTT

Настройка отправки данных по протоколу MQTT

Описание параметров в конфигурационном файле MqttPublisherSettings-0.json

Особенности заполнения названий MQTT-топиков

Действия при отзыве сертификата MQTT-брокера

В начало
[Topic 224293]

Защита соединения по протоколу MQTT

Чтобы использовать защищенную передачу данных по протоколу MQTT:

  1. Скопируйте файл, содержащий цепочку сертификатов клиента MQTT (цепочка может состоять из одного листового сертификата клиента) в директорию /app/Core/pki/certs/transfer/mqtt/publisher раздела HW-IDS карты microSD.
  2. Скопируйте файл, содержащий цепочку сертификатов, которыми производилась цифровая подпись сертификата сервера в директорию /app/Core/pki/certs/transfer/mqtt/publisher раздела HW-IDS карты microSD.
  3. Скопируйте файл закрытого криптографического ключа клиента MQTT в директорию /app/Core/pki/private/transfer/mqtt/publisher раздела HW-IDS карты microSD.

Используемые клиентом MQTT сертификаты и криптографические ключи должны быть в формате PEM. Длина ключа сертификата клиента должна составлять не менее 2048 бит.

В начало
[Topic 240937]

Настройка отправки данных по протоколу MQTT

Чтобы настроить отправку данных по протоколу MQTT:

  1. Создайте файл MqttPublisherSettings-0.json.
  2. В файле MqttPublisherSettings-0.json укажите параметры MQTT и их значения, соблюдая синтаксис JSON.
  3. Поместите конфигурационный файл в директорию /app/Core/config/transfer/mqtt/publisher в раздел HW-IDS карты microSD.

Пример конфигурационного файла:

MqttPublisherSettings-0.json

{

"id": 0,

"name": "Kaspersky IoT Secure Gateway 100 MQTT Publisher",

"description": "Transfer data to MQTT Broker by Kaspersky IoT Secure Gateway 100",

"clientId": "KISG100",

"serverUri": "ssl://192.168.188.8:8883",

"security": {

"clientPkiData": {

"certificate": "mqtt-publisher.crt",

"privateKey": "mqtt-publisher.key"

},

"trustStore": ["ca-bundle.crt"]

},

"userCredentials":{

"username": "KISG100",

"password": "4vRXE84zsCy8bLQcZi2HH82TmC"

},

"lastWill": {

"topicName": "LastWill",

"message": "LastMessage"

},

"keepAlive": 800,

"qualityOfService": 1,

"topics": [

{

"id": 0,

"name": "Heartbeat",

"topicName": "Heartbeat"

},

{

"id": 1,

"name": "Temperature",

"topicName": "Temperature"

},

{

"id": 2,

"name": "Speed",

"topicName": "Speed"

}

]

}

Для редактирования файлов в формате JSON мы рекомендуем использовать текстовый редактор с поддержкой подсветки синтаксиса JSON. Это позволит избежать возможных ошибок (например, непарных скобок).

В начало
[Topic 240939]

Описание параметров в конфигурационном файле MqttPublisherSettings-0.json

Параметры, отмеченные как обязательные, следует явно указать. Прочие параметры настраивать необязательно. Для необязательных параметров, не включенных в конфигурационный файл, может использоваться значение по умолчанию, предусмотренное протоколом MQTT.

Параметры в файле MqttPublisherSettings-0.json

Имя параметра

Обязательный параметр

Описание

Возможные значения и примечания

id

Да

Идентификатор клиента MQTT, который будет отправлять данные в MQTT-брокер.

0.

Значение этого параметра должно совпадать со значением параметра sendingHubId в конфигурационном файле GuideSettings-0.json.

name

Да

Имя клиента MQTT, который будет отправлять данные в MQTT-брокер.

<MQTT Publisher name>.

Пример: Kaspersky IoT Secure Gateway 100 MQTT Publisher.

description

Нет

Описание клиента MQTT, который будет отправлять данные в MQTT-брокер.

<MQTT Publisher description>.

Пример: Transfer data to MQTT Broker by Kaspersky IoT Secure Gateway 100.

clientId

Нет

Уникальный идентификатор клиента MQTT.

1.

Внутренняя архитектура Kaspersky IoT Secure Gateway 100 предполагает взаимодействие между принимающим и отправляющим концентратором. Параметр id связан с отправляющим концентратором. Параметр clientId связан с требованиями протокола MQTT и определяет идентификатор клиента MQTT в рамках этого протокола.

Значение clientId должно быть уникальным среди всех подключенных к MQTT-брокеру клиентов.

serverUri

Да

Адрес сервера, к которому будет подключаться клиент MQTT.

<схема>://<хост>:<порт>.

Пример: ssl://192.168.188.8:8883.

ssl – схема обращения к ресурсу, предусмотренная архитектурой.

8883 – порт по умолчанию.

security

Да

Блок параметров для настройки безопасного соединения. Содержит блоки параметров clientPkiData и trustStore.

Блок параметров {clientPkiData, trustStore}.

В блоке параметров security указываются сертификаты и криптографические ключи для цифровой подписи и шифрования данных.

clientPkiData

Да

Блок параметров с именами файлов сертификата и закрытого криптографического ключа клиента MQTT для безопасного соединения.

Блок параметров {certificate, privateKey}.

certificate

Да

Имя файла, содержащего цепочку сертификатов до сертификата клиента MQTT.

mqtt-publisher.crt.

privateKey

Да

Имя файла закрытого криптографического ключа.

mqtt-publisher.key.

Длина ключа должна составлять не менее 2048 бит.

trustStore

Да

Массив, который содержит имя файла, содержащего цепочку сертификатов до сертификата MQTT-брокера.

ca-bundle.crt.

Имя файла, содержащего цепочку сертификатов до сертификата удостоверяющего центра, который подписывал сертификат MQTT-брокера.

userCredentials

Да

Блок параметров, который отвечает за аутентификацию клиента MQTT на сервере.

  • Блок параметров {username, password} с учетными данными пользователя.
  • null – указывается, если вы хотите разрешить анонимное подключение клиента MQTT к MQTT-брокеру. В этом случае не требуется заполнять поля username и password.

username

Нет

Имя учетной записи пользователя для авторизации на сервере MQTT.

<username>.

password

Нет

Пароль учетной записи пользователя для авторизации на сервере MQTT.

<password>.

lastWill

Нет

Блок параметров для настройки сообщения, которое уведомляет о некорректном отключении клиента (LWT-сообщение).

Блок параметров {topicName, message}.

Клиент может указать LWT-сообщение при первом подключении к MQTT-брокеру. MQTT-брокер хранит это сообщение до тех пор, пока не обнаружит некорректное отключение клиента, а при обнаружении – отправит LWT-сообщение всем клиентам, подписавшимся на получение такого сообщения. При корректном отключении клиента, MQTT-брокер не отправляет такое сообщение.

topicName

Нет

Название MQTT-топика, который определяет информационный канал, на котором публикуется LWT-сообщение.

<topicName>.

Пример: LastWill.

message

Нет

Содержание LWT-сообщения.

<message>.

Пример: LastMessage.

keepAlive

Нет

Интервал, в течение которого MQTT-брокер может не получать сообщения от клиента MQTT и при этом не разрывать соединение.

800.

Значение по умолчанию: 120.

Возможные значения: 065535.

Если значение keepAlive равно нулю, сервер не будет обязан отключать клиента на основании бездействия клиента.

Сервер может отключить клиента, который, по его мнению, неактивен или не отвечает на запросы, в любое время, независимо от значения keepAlive, предоставленного клиентом.

qualityOfService

Нет

Параметр, определяющий гарантию отправки сообщений.

1.

Соглашение между отправителем сообщения (издателем) и получателем сообщения (подписчиком), которое определяет гарантию доставки для конкретного сообщения. В спецификации MQTT определены три уровня qualityOfService:

  • 0 – не более одного раза: клиент публикует сообщения, не проверяя факт доставки до брокера. Сообщения могут быть потеряны или продублированы.
  • 1 – по крайней мере один раз: брокер подтверждает доставку. Сообщения могут дублироваться, но доставка гарантирована.
  • 2 – ровно один раз: обеспечивается гарантированная доставка сообщения, при этом исключается возможное дублирование.

Значение по умолчанию: 1.

topics

Да

Массив из блоков параметров MQTT-топиков.

Массив блоков параметров [{id, name, topicName}].

Отдельный блок параметров в массиве заполняется для каждого MQTT-топика.

id

Да

Идентификатор целевого порта.

<id>.

Пример: 0.

name

Да

Имя целевого порта. Должно совпадать с именем исходящего порта name одного из узлов данных сервера OPC UA, указанным в блоке параметров nodes в конфигурационном файле OpcUaClientSettings-0.json.

<name>.

Пример: Temperature.

Для корректной передачи данных от сервера OPC UA в MQTT-брокер, требуется сопоставить MQTT-топики и соответствующие им узлы данных OPC UA. Сопоставление осуществляется по значению name.

topicName

Да

Название MQTT-топика.

<topicName>.

Пример: Heartbeat.

См. также: Особенности заполнения названий MQTT-топиков.

В начало
[Topic 240940]

Особенности заполнения названий MQTT-топиков

При заполнении значений topicName учитывайте следующие особенности:

  • В названиях MQTT-топиков нельзя использовать подстановочные знаки. Также мы не рекомендуем использовать в названиях MQTT-топиков знак $.
  • Название MQTT-топика не может быть пустым (должно содержать хотя бы один символ).
  • Названия MQTT-топиков чувствительны к регистру.
  • Названия MQTT-топиков могут содержать символ пробела.
  • MQTT-топики, различающимися только символом / в начале или в конце названия, являются разными MQTT-топиками.
  • Допустимо название MQTT-топика, состоящее только из символа /.
  • Название MQTT-топика не должно содержать нулевой символ (NUL).
  • Названия MQTT-топиков представляют собой строки в кодировке UTF-8, они не должны быть объемом более 65535 байт.
В начало
[Topic 240941]

Действия при отзыве сертификата MQTT-брокера

При отзыве сертификата MQTT-брокера, вам потребуется получить новый сертификат у администратора MQTT-брокера и заменить отозванный сертификат. Если этого не сделать, Kaspersky IoT Secure Gateway 100 будет доверять как отозванному сертификату, так и новому, пока не истечет срок действия отозванного сертификата. При этом возможна ситуация, когда соединение, установленное по безопасному каналу, в действительности не будет являться безопасным.

Чтобы использовать новый сертификат MQTT-брокера вместо отозванного:

  1. В директории /app/Core/pki/certs/transfer/mqtt/publisher раздела HW-IDS карты microSD удалите файл, указанный в параметре trustStore конфигурационного файла MqttPublisherSettings-0.json.
  2. В параметре trustStore конфигурационного файла MqttPublisherSettings-0.json укажите имя файла нового сертификата.
  3. Скопируйте в директорию /app/Core/pki/certs/transfer/mqtt/publisher раздела HW-IDS файл нового сертификата.

В начало
[Topic 246545]