Infraestructura de certificados de OPC UA para el conector para OPC UA
Importante
Versión preliminar de operaciones de Azure IoT: habilitada por Azure Arc está actualmente en versión preliminar. No se debería usar este software en versión preliminar en entornos de producción.
Tendrá que implementar una nueva instalación de Operaciones de IoT de Azure cuando haya una versión disponible con carácter general. No podrá actualizar una instalación de versión preliminar.
Para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general, consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure.
El conector para OPC UA es una aplicación cliente de OPC UA que le permite conectarse de forma segura a los servidores de OPC UA. En OPC UA, la seguridad incluye lo siguiente:
- Autenticación de la aplicación
- Firma de mensajes
- Cifrado de datos
- Autenticación y autorización de usuarios.
Este artículo se centra en la autenticación de aplicaciones y cómo configurar el conector para que OPC UA se conecte de forma segura a los servidores de OPC UA en el perímetro. En OPC UA, cada instancia de aplicación tiene un certificado X.509 que se usa para establecer la confianza con las otras aplicaciones de OPC UA con las que se comunica.
Para obtener más información sobre la seguridad de las aplicaciones de OPC UA, consulte Autenticación de aplicaciones.
Conector para el certificado de instancia de aplicación de OPC UA
El conector para OPC UA es una aplicación cliente de OPC UA. El conector de OPC UA usa un único certificado de instancia de aplicación de OPC UA para todas las sesiones que establece para recopilar datos de telemetría de servidores OPC UA. Una implementación predeterminada del conector para OPC UA usa cert-manager para administrar su certificado de instancia de aplicación:
- Cert-manager genera un certificado compatible con OPC UA autofirmado y lo almacena como secreto nativo de Kubernetes. El nombre predeterminado de este certificado es aio-opc-opcuabroker-default-application-cert.
- El conector para OPC UA se asigna y usa este certificado para todos los pods que usa para conectarse a servidores de OPC UA.
- Cert-manager renueva automáticamente los certificados antes de que expiren.
De forma predeterminada, el conector de OPC UA se conecta a un servidor OPC UA mediante el punto de conexión con el nivel de seguridad más alto admitido. Por lo tanto, el protocolo de enlace de confianza mutua entre las dos aplicaciones de OPC UA debe establecerse de antemano. Para habilitar la confianza mutua de autenticación de aplicaciones, debe hacer lo siguiente:
- Exporte la clave pública del conector para el certificado de instancia de aplicación de OPC UA desde el almacén de secretos de Kubernetes y, a continuación, agréguelo a la lista de certificados de confianza para el servidor OPC UA.
- Exporte la clave pública de la instancia de aplicación del servidor OPC UA y agréguela a la lista de certificados de confianza para el conector para OPC UA.
La validación de confianza mutua entre el servidor OPC UA y el conector para OPC UA ahora es posible. Ahora puede configurar un AssetEndpointProfile para el servidor OPC UA en la interfaz de usuario web de la experiencia de operaciones y empezar a trabajar con él.
El conector para la lista de certificados de confianza de OPC UA
Debe mantener una lista de certificados de confianza que contenga los certificados de todos los servidores de OPC UA en los que confía el conector para OPC UA. Para crear una sesión con un servidor OPC UA:
- El conector de OPC UA envía la clave pública de su certificado.
- El servidor OPC UA valida el certificado del conector en su lista de certificados de confianza.
- El conector valida el certificado del servidor OPC UA en su lista de certificados de confianza.
De forma predeterminada, el conector para OPC UA almacena su lista de certificados de confianza en Azure Key Vault y usa el Controlador CSI del Almacén de secretos para proyectar los certificados de confianza en el conector para pods de OPC UA. Azure Key Vault almacena los certificados codificados en formato DER o PEM.
Si el conector de OPC UA confía en una entidad de certificación, confía automáticamente en cualquier servidor que tenga un certificado de instancia de aplicación válido firmado por la entidad de certificación.
Para obtener información sobre cómo proyectar los certificados de confianza de Azure Key Vault en el clúster de Kubernetes, consulte Administración de secretos para la implementación de la versión preliminar de Operaciones de IoT de Azure.
El nombre predeterminado del recurso personalizado SecretProviderClass que controla la lista de certificados de confianza es aio-opc-ua-broker-trust-list.
El conector para la lista de certificados de emisores de OPC UA
Si el certificado de instancia de la aplicación del servidor OPC UA está firmado por una entidad de certificación intermedia, pero no desea confiar automáticamente en todos los certificados emitidos por la entidad de certificación, puede usar una lista de certificados del emisor para administrar la relación de confianza. Esta lista de certificados del emisor almacena los certificados de entidad de certificación en los que confía el conector para OPC UA.
Si el certificado de aplicación de un servidor OPC UA está firmado por una entidad de certificación intermedia, el conector de OPC UA valida la cadena completa de entidades de certificación hasta la raíz. La lista de certificados del emisor debe contener los certificados de todas las entidades de certificación de la cadena para asegurarse de que el conector para OPC UA pueda validar los servidores de OPC UA.
La lista de certificados del emisor se administra de la misma manera en que se administra la lista de certificados de confianza. El nombre predeterminado del recurso personalizado SecretProviderClass que controla la lista de certificados del emisor es aio-opc-ua-broker-issuer-list.
Características admitidas
En la tabla siguiente se muestra el nivel de compatibilidad de características para la autenticación en la versión actual del conector para OPC UA:
| Características | Significado | Símbolo |
|---|---|---|
| Configuración del certificado de instancia de aplicación autofirmado de OPC UA | Compatible | ✅ |
| Control de la lista de certificados de confianza de OPC UA | Compatible | ✅ |
| Control de las listas de certificados de emisor de OPC UA | Compatible | ✅ |
| Configuración del certificado de instancia de aplicación de nivel empresarial de OPC UA | Compatible | ✅ |
| Control de certificados que no son de confianza de OPC UA | No admitidas | ❌ |
| Control de Global Discovery Service de OPC UA | No compatible | ❌ |