我们提供两种不同的PTP 670无线加密方案:
TLS-PSK依赖于一个相同的预共享密钥(pre-shared key, PSK),安装在ODUs的链路两端。理想情况下,PSK是随机生成的,并且只针对一个链接。PSK提供认证、授权和隐私功能。AES加密是基于PSK的。
在TLS-RSA中,我们使用X.509证书来认证主ODU到从ODU,从ODU到主ODU。每个证书的主题都是对应ODU的MAC地址。通过将认证后的MAC地址与配置的目标MAC地址、白名单或黑名单进行比对,对远端ODU进行授权。AES加密是在通过TLS协商建立的主密钥的基础上建立的。ODUs可以使用工厂安装的设备证书,但他们也支持用户创建证书。下面的步骤展示了如何使用OpenSSL生成适合TLS-RSA的用户创建的设备证书…
这个过程类似于HTTPS的证书配方,只是这里的主题是MAC地址,而不是IP地址或DNS名称。HTTPS证书请参阅此主题:
HTTPS证书和设备证书都是由本地证书颁发机构签署的,因此请参考本主题:
好了,我们开始吧……
首先,生成私钥:
openssl genrsa -out 0004565800B8-key。pem 2048
生成证书签名请求:
openssl req -new -sha256 -subj "/C=GB/ST=Devon/L=Ashburton/O=Aardvark Enterprises/OU=Wireless/CN=0004565800b8" -key 0004565800b8 -keypem治疗0004565800 b8-csr.pem
注意,我们需要在CN字段中使用小写字母
请求:
openssl x509 -req -days 3650 -in 0004565800B8-csr。pem ca aardvark-ca-cert。pem凝固了的aardvark-ca-key。- cacreatesserial -outform DER -out 0004565800B8-cert.der
最后,将私钥转换为DER:
openssl rsa -in 0004565800B8-key。-outform DER -out 0004565800B8-key.der . pem -outform DER -out 0004565800B8-key.der
生成的设备证书主题为MAC地址:
设备证书与CA证书形成一个链:
使用安全向导在ODU中安装根CA、私钥和公共证书,如下所示:
