Freigeben über


OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA

Der Anschluss für OPC UA ist eine OPC UA-Clientanwendung, mit der Sie eine sichere Verbindung mit OPC UA-Servern herstellen können. In OPC UA umfasst Sicherheit Folgendes:

  • Anwendungsauthentifizierung
  • Nachrichtensignatur
  • Datenverschlüsselung
  • Authentifizierung und Autorisierung von Benutzern

In diesem Artikel liegt der Schwerpunkt auf der Anwendungsauthentifizierung und dem Konfigurieren des Anschlusses für OPC UA, um eine sichere Verbindung mit Ihren OPC UA-Servern am Edge herzustellen. In OPC UA verfügt jede Anwendungsinstanz über ein X.509-Zertifikat, das verwendet wird, um eine Vertrauensstellung mit den anderen OPC UA-Anwendungen herzustellen, mit denen sie kommuniziert.

Weitere Informationen zur OPC UA-Anwendungssicherheit finden Sie unter Anwendungsauthentifizierung.

Das folgende Diagramm zeigt die Abfolge von Ereignissen, die auftreten, wenn der Connector für OPC UA eine Verbindung mit einem OPC UA-Server herstellt. In den Abschnitten weiter unten in diesem Artikel werden die Details der einzelnen Schritte in der Sequenz erläutert:

Diagramm, das den Handshake der OPC UA-Verbindungsverbindung zusammenfasst.

Anwendungsinstanzzertifikat für den Anschluss für OPC UA

Der Anschluss für OPC UA ist eine OPC UA-Clientanwendung. Der Connector für OPC UA verwendet ein einzelnes OPC UA-Anwendungsinstanzzertifikat für alle Sitzungen, die er zum Sammeln von Nachrichten und Daten von OPC UA-Servern herstellt. Eine Standardbereitstellung des Anschlusses für OPC UA verwendet cert-manager zum Verwalten des Anwendungsinstanzzertifikats:

  • Cert-Manager generiert ein selbstsigniertes OPC UA-kompatibles Zertifikat und speichert es als Kubernetes nativen Geheimschlüssel. Der Standardname für dieses Zertifikat ist aio-opc-opcuabroker-default-application-cert.
  • Der Anschluss für OPC UA ordnet dieses Zertifikat für alle Pods zu, die zum Herstellen einer Verbindung mit OPC UA-Servern verwendet werden.
  • cert-manager verlängert Zertifikate automatisch, bevor sie ablaufen.

Der Anschluss für OPC UA stellt standardmäßig eine Verbindung mit einem OPC UA-Server mithilfe des Endpunkts mit der höchsten Sicherheitsstufe bereit. Daher muss der Handshake für die gegenseitige Vertrauensstellung zwischen den beiden OPC UA-Anwendungen vorher eingerichtet werden. Um die gegenseitige Vertrauensstellung der Anwendungsauthentifizierung zu aktivieren, müssen Sie folgende Schritte ausführen:

  • Exportieren Sie den öffentlichen Schlüssel des Anwendungsinstanzzertifikats des Anschlusses für OPC UA aus dem Kubernetes-Geheimnisspeicher, und fügen Sie ihn dann der Liste vertrauenswürdiger Zertifikate für den OPC UA-Server hinzu.
  • Exportieren Sie den öffentlichen Schlüssel der Anwendungsinstanz des OPC UA-Servers, und fügen Sie ihn dann der Liste vertrauenswürdiger Zertifikate für den Anschluss für OPC UA hinzu.

Die Überprüfung der gegenseitigen Vertrauensstellung zwischen dem OPC UA-Server und dem Anschluss für OPC UA ist jetzt möglich. Sie können jetzt eine AssetEndpointProfile-Schnittstelle für den OPC UA-Server in der Webbenutzeroberfläche für Vorgänge konfigurieren und damit arbeiten.

Verwenden von selbstsignierten OPC UA-Serveranwendungsinstanzzertifikaten

In diesem Szenario müssen Sie eine vertrauenswürdige Zertifikatliste verwalten, die die Zertifikate aller OPC UA-Server enthält, denen der Connector für OPC UA vertraut. So erstellen Sie eine Sitzung mit einem OPC UA-Server

  • Der Connector für OPC UA sendet den öffentlichen Schlüssel seines Anwendungsinstanzzertifikats an den OPC UA-Server.
  • Der OPC UA-Server überprüft das Zertifikat des Konnektors anhand seiner Liste vertrauenswürdiger Zertifikate.
  • Der Konnektor überprüft das Zertifikat des OPC UA-Servers anhand seiner Liste vertrauenswürdiger Zertifikate.

Informationen zum Verwalten der Liste vertrauenswürdiger Zertifikate finden Sie unter Konfigurieren der Liste vertrauenswürdiger Zertifikate.

Der Standardname für die benutzerdefinierte SecretProviderClass-Ressource, die die Liste vertrauenswürdiger Zertifikate behandelt, ist aio-opc-ua-broker-trust-list.

Verwenden von OPC UA-Anwendungsinstanzzertifikaten, die von einer Zertifizierungsstelle signiert sind

In diesem Szenario fügen Sie den öffentlichen Schlüssel der Zertifizierungsstelle zur Liste der vertrauenswürdigen Zertifikate für den Connector für OPC UA hinzu. Der Connector für OPC UA vertraut automatisch jedem Server mit einem gültigen Anwendungsinstanzzertifikat, das von der Zertifizierungsstelle signiert ist.

Sie können auch eine Zertifikatsperrliste (Certificate Revocation List, CRL) in die Liste der vertrauenswürdigen Zertifikate hochladen. Der Connector für OPC UA verwendet die CRL, um zu überprüfen, ob die Zertifizierungsstelle das Zertifikat eines OPC UA-Servers widerrufen hat.

Informationen zum Verwalten der Liste vertrauenswürdiger Zertifikate finden Sie unter Konfigurieren der Liste vertrauenswürdiger Zertifikate.

Verwenden von OPC UA-Serveranwendungsinstanzzertifikaten, die von einer Zwischenzertifizierungsstelle signiert wurden

In diesem Szenario möchten Sie einer Teilmenge der von der Zertifizierungsstelle ausgestellten Zertifikate vertrauen. Sie können eine Ausstellerzertifikatliste verwenden, um die Vertrauensstellung zu verwalten. Diese Ausstellerzertifikatliste speichert die Zwischenzertifikate, denen der Connector für OPC UA vertraut. Der Connector für OPC UA vertraut nur Zertifikaten, die von den Zwischenzertifikaten in der Ausstellerzertifikatliste signiert sind.

Sie müssen auch den öffentlichen Schlüssel der Stammzertifizierungsstelle in die Liste der vertrauenswürdigen Zertifikate für den Connector für OPC UA hochladen. Der Connector für OPC UA verwendet den öffentlichen Schlüssel der Stammzertifizierungsstelle, um die Zwischenzertifikate in der Ausstellerzertifikatliste zu überprüfen.

Sie können auch eine Zertifikatsperrliste (Certificate Revocation List, CRL) in die Ausstellerzertifikatliste hochladen. Der Connector für OPC UA verwendet die CRL, um zu überprüfen, ob die Zertifizierungsstelle das Zertifikat eines OPC UA-Servers widerrufen hat.

Der Standardname für die benutzerdefinierte SecretProviderClass-Ressource, die die Ausstellerzertifikatliste behandelt, ist aio-opc-ua-broker-issuer-list.

Informationen zum Verwalten der Ausstellerzertifikatliste finden Sie unter Konfigurieren der Ausstellerzertifikatliste.

Unterstützte Features

Die folgende Tabelle zeigt die Supportebene für Features für die Authentifizierung in der aktuellen Version des Anschlusses für OPC UA:

Funktionen Bedeutung Symbol
Konfiguration des selbstsignierten OPC UA-Anwendungsinstanzzertifikats Unterstützt
Behandeln der Liste der vertrauenswürdigen OPC UA-Zertifikate Unterstützt
Handhabung von OPC UA-Ausstellerzertifikatlisten Unterstützt
Konfiguration des Anwendungsinstanzzertifikats der OPC UA-Unternehmensklasse Unterstützt
Behandeln von nicht vertrauenswürdigen OPC UA-Zertifikaten Nicht unterstützt
Behandlung von OPC UA Global Discovery Service (globaler Ermittlungsdienst) Nicht unterstützt