Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le connecteur OPC UA est une application cliente OPC UA qui vous permet de vous connecter de manière sécurisée à des serveurs OPC UA. Dans OPC UA, la sécurité inclut ce qui suit :
- Authentification de l’application
- Signature de message
- Chiffrement des données
- L’authentification et l’autorisation de l’utilisateur.
Cet article est axé sur l’authentification des applications et sur la manière de configurer le connecteur OPC UA pour se connecter de manière sécurisée à vos serveurs OPC UA à la périphérie. Dans OPC UA, chaque instance d’application a un certificat X.509 qu’elle utilise pour établir l’approbation avec les autres applications OPC UA avec lesquelles elle communique.
Pour en savoir plus sur la sécurité des applications OPC UA, consultez Application Authentication.
Le diagramme suivant montre la séquence d’événements qui se produisent lorsque le connecteur pour OPC UA se connecte à un serveur OPC UA. Les sections plus loin dans cet article décrivent les détails de chaque étape de la séquence :
Certificat d’instance d’application Connecteur OPC UA
Le connecteur OPC UA est une application cliente OPC UA. Le connecteur pour OPC UA utilise un certificat d’instance d’application OPC UA unique pour toutes les sessions qu’il établit pour collecter des messages et des données à partir de serveurs OPC UA. Un déploiement par défaut de Connecteur OPC UA utilise cert-manager pour gérer son certificat d’instance d’application :
- Cert-manager génère un certificat compatible OPC UA auto-signé et le stocke en tant que secret natif Kubernetes. Le nom par défaut de ce certificat est aio-opc-opcuabroker-default-application-cert.
- Le connecteur OPC UA mappe et utilise ce certificat pour tous les pods qu’il utilise pour se connecter à des serveurs OPC UA.
- Cert-manager renouvelle automatiquement les certificats avant leur expiration.
Par défaut, le connecteur OPC UA se connecte à un serveur OPC UA à l’aide du point de terminaison avec le niveau de sécurité le plus élevé pris en charge. Par conséquent, l’établissement d’une liaison de confiance mutuelle entre les deux applications OPC UA doit avoir lieu au préalable. Pour activer l’approbation d’authentification d’application mutuelle, vous devez :
- Exportez la clé publique du certificat d’instance d’application Connecteur OPC UA à partir du magasin de secrets Kubernetes, puis ajoutez-la à la liste des certificats approuvés pour le serveur OPC UA.
- Exportez la clé publique de l’instance d’application du serveur OPC UA, puis ajoutez-la à la liste des certificats approuvés pour le connecteur OPC UA.
La validation de la confiance mutuelle entre le serveur OPC UA et le connecteur OPC UA est désormais possible. Vous pouvez maintenant configurer un AssetEndpointProfile pour le serveur OPC UA dans l’interface utilisateur web de l’expérience d’opérations et commencer à l’utiliser.
Utiliser des certificats d’instance d’application de serveur OPC UA auto-signés
Dans ce scénario, vous devez conserver une liste de certificats de confiance qui contient les certificats de tous les serveurs OPC UA auxquels le connecteur OPC UA fait confiance. Pour créer une session avec un serveur OPC UA :
- Le connecteur pour OPC UA envoie la clé publique de son certificat d’instance d’application au serveur OPC UA.
- Le serveur OPC UA valide le certificat du connecteur par rapport à sa liste de certificats approuvés.
- Le connecteur valide le certificat du serveur OPC UA par rapport à sa liste de certificats approuvés.
Pour savoir comment gérer la liste des certificats approuvés, consultez Configurer la liste des certificats approuvés.
Le nom par défaut de la ressource personnalisée SecretProviderClass qui gère la liste des certificats approuvés est aio-opc-ua-broker-trust-list.
Utiliser des certificats d’instance d’application de serveur OPC UA signés par une autorité de certification
Dans ce scénario, vous ajoutez la clé publique de l’autorité de certification à la liste des certificats approuvés pour le connecteur pour OPC UA. Le connecteur pour OPC UA approuve automatiquement tout serveur disposant d’un certificat d’instance d’application valide signé par l’autorité de certification.
Vous pouvez également charger une liste de révocation de certificats (CRL) dans la liste des certificats approuvés. Le connecteur pour OPC UA utilise la liste de révocation de certificats pour vérifier si l’autorité de certification a révoqué le certificat d’un serveur OPC UA.
Pour savoir comment gérer la liste des certificats approuvés, consultez Configurer la liste des certificats approuvés.
Utiliser des certificats d’instance d’application de serveur OPC UA signés par une autorité de certification intermédiaire
Dans ce scénario, vous souhaitez approuver un sous-ensemble des certificats émis par l’autorité de certification. Vous pouvez utiliser une liste de certificats d’émetteur pour gérer la relation d’approbation. Cette liste de certificats émetteurs stocke les certificats intermédiaires que le connecteur pour OPC UA approuve. Le connecteur pour OPC UA n'approuve que les certificats signés par les certificats intermédiaires figurant dans la liste des certificats d'émetteur.
Vous devez également charger la clé publique de l’autorité de certification racine dans la liste des certificats approuvés du connecteur pour OPC UA. Le connecteur pour OPC UA utilise la clé publique de l’autorité de certification racine pour valider les certificats intermédiaires dans la liste des certificats émetteur.
Vous pouvez également charger une liste de révocation de certificats (CRL) dans la liste des certificats d’émetteur. Le connecteur pour OPC UA utilise la liste de révocation de certificats pour vérifier si l’autorité de certification a révoqué le certificat d’un serveur OPC UA.
Le nom par défaut de la ressource personnalisée SecretProviderClass qui gère la liste des certificats d’émetteur est aio-opc-ua-broker-issuer-list.
Pour savoir comment gérer la liste des certificats d’émetteur, consultez Configurer la liste des certificats d’émetteur.
Fonctionnalités prises en charge
Le tableau suivant présente le niveau de prise en charge des fonctionnalités pour l’authentification dans la version actuelle du connecteur OPC UA :
| Fonctionnalités | Signification | Symbole |
|---|---|---|
| Configuration du certificat d’instance d’application auto-signé OPC UA | Pris en charge | ✅ |
| Gestion de la liste des certificats approuvés OPC UA | Pris en charge | ✅ |
| Gestion de la liste des certificats d’émetteur OPC UA | Pris en charge | ✅ |
| Configuration du certificat d’instance d’application de niveau entreprise OPC UA | Pris en charge | ✅ |
| Gestion des certificats non approuvés OPC UA | Non pris en charge | ❌ |
| Gestion du service de découverte globale OPC UA | Non pris en charge | ❌ |