EDM の 暗号化通信のセットアップ (エッジ機器 - Linux 編)¶
エッジ機器における、暗号化通信のセットアップを行います。
本手順によるセットアップ後、システム構成の全体構成図に記載のポート番号の通り、コンポーネント間の通信が変更されます。 また、暗号化通信の際、下表にある証明書等のファイルを使用します。
| コンポーネント名 | ファイルパス | ファイルの種類 |
|---|---|---|
| ICE | /opt/nec/pf/ice/core/conf/<cacert> | CA証明書 |
エッジ機器で、下記手順にしたがってセットアップを行います。
-
/opt/nec/pf/ice/core/conf/に、<cacert> のファイルを配置します。 -
以下を実行します。
# cd /opt/nec/pf/ice/core/conf # cp cloud_config.json cloud_config.json.bak -
以下を実行します。
# vi cloud_config.json以下のとおり変更します。管理サーバーのIPアドレスはサーバー証明書作成時に指定したコモンネームに合わせて変更します。
-
default.config.urlを、"mqtts://<管理サーバのIPアドレス>:8883"に変更 -
default.config.caを、<cacert> のファイル名に変更
-
-
以下を実行します。
# diff cloud_config.json cloud_config.json.bak以下のように出力されることを確認します。
< "url": "mqtts://<管理サーバのIPアドレス>:8883", < "ca": "<cafile>", --- > "url": "mqtt://<管理サーバのIPアドレス>:1883", -
以下を実行します。
# cp core_config.json core_config.json.bak -
以下を実行します。
# vi core_config.json以下のとおり変更します。
download.white_dirsとupload.white_dirsの設定の下に、以下を追記
"http": { "ca": "<cacert>" },それぞれについて、以下のようになっていることを確認します。
"white_dirs": [ "/tmp" ], "http": { "ca": "<cacert>" }, "default_timeout": 3600000, -
以下を実行します。
# diff core_config.json core_config.json.bak以下のように出力されることを確認します。
< "http": { < "ca": "<cacert>" < },< "http": { < "ca": "<cacert>" < }, -
以下を実行して、ICE Coreを再起動します。
# systemctl restart ice-core -
3秒ほど待機した後、以下の2つを実行します。
# grep "connected to MQTT Broker mqtts://" /var/log/syslog | tail# grep "connected to MQTT Broker mqtts://" /var/log/messages | tailどちらかで、以下が出力されていることを確認します。
(<タイムスタンプ>が、 ICE Core 再起動後の時刻になっていることを確認してください)<タイムスタンプ> (省略) connected to MQTT Broker mqtts://<管理サーバのIPアドレス>:8883