Mengonfigurasi infrastruktur sertifikat OPC UA untuk konektor untuk OPC UA

Dalam artikel ini, Anda mempelajari cara mengonfigurasi infrastruktur sertifikat OPC UA untuk konektor untuk OPC UA. Konfigurasi ini memungkinkan Anda menentukan server OPC UA mana yang Anda percayai untuk membangun sesi dengan aman.

Berdasarkan spesifikasi OPC UA, konektor untuk OPC UA bertindak sebagai satu aplikasi OPC UA ketika membangun komunikasi yang aman dengan server OPC UA. Konektor untuk OPC UA menggunakan sertifikat instans aplikasi yang sama untuk semua saluran aman yang dibukanya ke server AGEN OPC Anda.

Konektor untuk OPC UA harus mempercayai server OPC UA yang terhubung dengannya. Konektor mempertahankan daftar sertifikat tepercaya. Untuk mempelajari selengkapnya, lihat:

• Mengelola sertifikat untuk penyebaran Operasi Azure IoT Anda - artikel ini menjelaskan cara Operasi Azure IoT menggunakan Azure Key Vault untuk mengelola sertifikat.
• Infrastruktur sertifikat OPC UA untuk konektor OPC UA - artikel ini menjelaskan peran daftar sertifikat tepercaya dan daftar sertifikat penerbit.

Prasyarat

Instans Operasi Azure IoT disebarkan dengan pengaturan aman. Jika Anda menyebarkan Operasi Azure IoT dengan pengaturan pengujian, Anda harus terlebih dahulu mengaktifkan pengaturan aman.

Mengonfigurasi sertifikat aplikasi instans yang ditandatangani sendiri untuk konektor OPC UA

Penyebaran default konektor untuk OPC UA menginstal semua sumber daya yang diperlukan oleh cert-manager untuk membuat sertifikat opc UA yang ditandatangani sendiri. Sertifikat ini disimpan dalam aio-opc-opcuabroker-default-application-cert rahasia. Rahasia ini dipetakan ke semua konektor untuk pod OPC UA dan bertindak sebagai sertifikat instans aplikasi klien OPC UA. cert-manager menangani perpanjangan otomatis sertifikat instans aplikasi ini.

Konfigurasi ini biasanya cukup untuk komunikasi yang sesuai dan aman antara server OPC UA Anda dan konektor untuk OPC UA dalam lingkungan demonstrasi atau eksplorasi. Untuk lingkungan produksi, gunakan sertifikat instans aplikasi tingkat perusahaan dalam penyebaran Anda.

Mengonfigurasi daftar sertifikat tepercaya

Untuk menyambungkan ke server OPC UA, pertama-tama Anda perlu membangun kepercayaan timbal balik autentikasi aplikasi. Untuk mengonfigurasi daftar sertifikat tepercaya dari server yang ingin Anda hubungkan menggunakan penghubung OPC UA:

Pengalaman operasi

Untuk menggunakan antarmuka pengguna web pengalaman operasi untuk mengelola daftar sertifikat tepercaya, selesaikan langkah-langkah berikut:

1. Dapatkan sertifikat instans aplikasi server OPC UA sebagai file. File-file ini biasanya memiliki .der ekstensi atau .crt . File ini hanya berisi kunci publik.

   Petunjuk / Saran

   Biasanya, server OPC UA memiliki antarmuka yang memungkinkan Anda mengekspor sertifikat instans aplikasinya. Antarmuka ini tidak distandarkan. Untuk server seperti KEPServerEx, ada UI konfigurasi berbasis Windows untuk manajemen sertifikat. Server lain mungkin memiliki antarmuka web atau menggunakan folder sistem operasi untuk menyimpan sertifikat. Untuk mengetahui cara mengekspor sertifikat instans aplikasi, lihat manual pengguna server Anda. Setelah Anda memiliki sertifikat, pastikan sertifikat tersebut dikodekan DER atau PEM. Sertifikat ini biasanya disimpan dalam file dengan .der ekstensi atau .crt . Jika sertifikat tidak dalam salah satu format file tersebut, gunakan alat seperti openssl untuk mengubah sertifikat menjadi format yang diperlukan.

2. Anda dapat menambahkan sertifikat langsung ke Azure Key Vault Anda sebagai rahasia dan mengimpor dari sana, atau Anda dapat mengunggah sertifikat ke daftar sertifikat tepercaya menggunakan pengalaman operasi.

   Nota

   Konektor untuk OPC UA menggunakan rahasia asli Kubernetes bernama aio-opc-ua-broker-trust-list untuk menyimpan daftar sertifikat tepercaya. Rahasia ini dibuat saat Anda mengimplementasikan Operasi Azure IoT.

3. Buka halaman Perangkat di antarmuka pengguna web pengalaman operasi .

4. Untuk melihat daftar sertifikat tepercaya, pilih Kelola sertifikat dan rahasia lalu Sertifikat:

   

5. Anda dapat mengunggah file sertifikat dari komputer lokal atau menambahkan file yang sebelumnya Anda tambahkan sebagai rahasia di Azure Key Vault Anda:

   

6. Pilih Terapkan untuk menyimpan perubahan. Sertifikat sekarang ditambahkan ke daftar sertifikat tepercaya. Jika Anda mengunggah sertifikat, sertifikat akan secara otomatis ditambahkan ke Azure Key Vault Anda sebagai rahasia.

Jika server OPC UA Anda menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikat (CA), Anda dapat mempercayai CA dengan menambahkan sertifikat kunci publiknya ke daftar sertifikat tepercaya. Konektor untuk OPC UA sekarang secara otomatis mempercayai semua server yang menggunakan sertifikat valid yang dikeluarkan oleh CA. Oleh karena itu, Anda tidak perlu secara eksplisit menambahkan sertifikat server OPC UA ke konektor untuk daftar sertifikat tepercaya OPC UA. Saat ini, Anda tidak dapat menggunakan pengalaman operasi untuk menambahkan daftar pencabutan sertifikat ke daftar sertifikat tepercaya.

Petunjuk / Saran

Untuk menambahkan sertifikat baru dalam pengalaman operasi, Anda harus ditetapkan ke peran Petugas Rahasia Key Vault untuk Azure Key Vault Anda.

Penting

Jika Anda menambahkan sertifikat dari Azure Key Vault, sertifikat tersebut harus disimpan sebagai rahasia dan bukan sebagai sertifikat.

Azure CLI

Untuk menggunakan Azure CLI untuk mengelola daftar sertifikat tepercaya, selesaikan langkah-langkah berikut:

1. Dapatkan sertifikat instans aplikasi server OPC UA sebagai file. File-file ini biasanya memiliki .der ekstensi atau .crt . File ini hanya berisi kunci publik.

   Petunjuk / Saran

   Biasanya, server OPC UA memiliki antarmuka yang memungkinkan Anda mengekspor sertifikat instans aplikasinya. Antarmuka ini tidak distandarkan. Untuk server seperti KEPServerEx, ada UI konfigurasi berbasis Windows untuk manajemen sertifikat. Server lain mungkin memiliki antarmuka web atau menggunakan folder sistem operasi untuk menyimpan sertifikat. Untuk mengetahui cara mengekspor sertifikat instans aplikasi, lihat manual pengguna server Anda. Setelah Anda memiliki sertifikat, pastikan sertifikat tersebut dikodekan DER atau PEM. Sertifikat ini biasanya disimpan dalam file dengan .der ekstensi atau .crt . Jika sertifikat tidak dalam salah satu format file tersebut, gunakan alat seperti openssl untuk mengubah sertifikat menjadi format yang diperlukan.

2. Tambahkan sertifikat instans aplikasi server OPC UA ke daftar sertifikat tepercaya. Daftar ini diimplementasikan sebagai rahasia asli Kubernetes bernama aio-opc-ua-broker-trust-list yang dibuat saat Anda menyebarkan Azure IoT Operations.

   Untuk sertifikat yang dikodekan DER dalam file seperti ./my-server.der, jalankan perintah berikut:

   # Append my-server.der OPC UA server certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.der"
   

   Untuk sertifikat yang dikodekan PEM dalam file seperti ./my-server.crt, jalankan perintah berikut:

   # Append my-server.crt OPC UA server certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.crt"
   

Jika server OPC UA Anda menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikat (CA), Anda dapat mempercayai CA dengan menambahkan sertifikat kunci publiknya ke konektor untuk daftar sertifikat tepercaya OPC UA. Konektor untuk OPC UA sekarang secara otomatis mempercayai semua server yang menggunakan sertifikat valid yang dikeluarkan oleh CA. Oleh karena itu, Anda tidak perlu secara eksplisit menambahkan sertifikat server OPC UA ke konektor untuk daftar sertifikat tepercaya OPC UA.

Untuk mempercayai CA, selesaikan langkah-langkah berikut:

1. Dapatkan pengodean kunci publik sertifikat CA dalam format DER atau PEM. Sertifikat ini biasanya disimpan dalam file dengan .der ekstensi atau .crt . Dapatkan CRL CA. Daftar ini biasanya dalam file dengan .crl. Periksa dokumentasi untuk server OPC UA Anda untuk detailnya.

2. Simpan sertifikat CA dan CRL dalam secret bawaan Kubernetes aio-opc-ua-broker-trust-list.

   Untuk sertifikat CA yang dikodekan DER dalam file seperti ./my-server-ca.der, jalankan perintah berikut:

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   data=$(kubectl create secret generic temp --from-file= my-server-ca.crl=./ my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   $data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   Untuk sertifikat OS yang dikodekan PEM dalam file seperti ./my-server-ca.crt, jalankan perintah berikut:

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
   
   # Append the CRL to the trusted certificates list secret as a new entry
   data=$(kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   $data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

Mengonfigurasi daftar sertifikat penerbit

Jika server OPC UA Anda menggunakan sertifikat yang dikeluarkan oleh CA, tetapi Anda tidak ingin mempercayai semua sertifikat yang dikeluarkan oleh CA, konfigurasikan daftar sertifikat penerbit:

Pengalaman operasi

Sebelum Anda dapat mengonfigurasi daftar sertifikat penerbit dengan sertifikat perantara, Anda perlu menambahkan sertifikat CA ke daftar sertifikat tepercaya. Konektor untuk OPC UA menggunakan sertifikat CA untuk memvalidasi rantai penerbit sertifikat server OPC UA.

Untuk menggunakan antarmuka pengguna web pengalaman operasi untuk mengelola daftar sertifikat penerbit, selesaikan langkah-langkah berikut:

1. Dapatkan sertifikat penerbit yang digunakan untuk menandatangani sertifikat instans server Anda sebagai file. File-file ini biasanya memiliki .der ekstensi atau .crt . File ini hanya berisi kunci publik. Anda mungkin juga memiliki file .crl (daftar pencabutan sertifikat) untuk sertifikat penerbit.

2. Anda dapat menambahkan sertifikat penerbit langsung ke Azure Key Vault Anda sebagai rahasia dan mengimpor dari sana, atau Anda dapat mengunggah sertifikat dan daftar pencabutan sertifikat (file.crl) ke daftar sertifikat penerbit menggunakan pengalaman operasi.

   Nota

   Konektor untuk OPC UA menggunakan rahasia asli Kubernetes bernama aio-opc-ua-broker-issuer-list untuk menyimpan daftar sertifikat penerbit. Rahasia ini dibuat saat Anda mengimplementasikan Operasi Azure IoT.

3. Buka halaman Perangkat di antarmuka pengguna web pengalaman operasi .

4. Untuk melihat daftar sertifikat penerbit, pilih Kelola sertifikat dan rahasia lalu Sertifikat. Kotak filter memungkinkan Anda melihat daftar sertifikat yang berbeda:

   

5. Anda dapat mengunggah file sertifikat pengeluar sertifikat dari komputer lokal atau menambahkan file yang sebelumnya Anda tambahkan sebagai rahasia di Azure Key Vault Anda:

   

6. Pilih Terapkan untuk menyimpan perubahan. Sertifikat sekarang ditambahkan ke daftar sertifikat penerbit. Jika Anda mengunggah sertifikat, sertifikat akan secara otomatis ditambahkan ke Azure Key Vault Anda sebagai rahasia.

Anda juga dapat menggunakan pengalaman operasi untuk menambahkan daftar pencabutan sertifikat (file.crl) ke daftar sertifikat tepercaya.

Petunjuk / Saran

Untuk menambahkan sertifikat baru dalam pengalaman operasi, Anda harus ditetapkan ke peran Petugas Rahasia Key Vault untuk Azure Key Vault Anda.

Penting

Jika Anda menambahkan sertifikat dari Azure Key Vault, sertifikat tersebut harus disimpan sebagai rahasia dan bukan sebagai sertifikat.

Azure CLI

Sebelum Anda dapat mengonfigurasi daftar sertifikat penerbit dengan sertifikat perantara, Anda perlu menambahkan sertifikat CA ke daftar sertifikat tepercaya. Konektor untuk OPC UA menggunakan sertifikat CA untuk memvalidasi rantai penerbit sertifikat server OPC UA.

Untuk menggunakan Azure CLI untuk mengelola daftar sertifikat penerbit, selesaikan langkah-langkah berikut:

• Simpan sertifikat CA dan CRL dalam aio-opc-ua-broker-issuer-list rahasia:

  # Append CA certificate to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
  
  # Append the CRL to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"
  

  Untuk sertifikat yang dikodekan PEM dalam file seperti ./my-server-ca.crt, jalankan perintah berikut:

  # Append CA certificate to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
  
  # Append the CRL to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"
  

Mengonfigurasi server AGEN OPC Anda

Untuk menyelesaikan konfigurasi kepercayaan timbal balik autentikasi aplikasi, Anda perlu mengonfigurasi server agen pengguna OPC Anda untuk mempercayai konektor untuk sertifikat instans aplikasi OPC UA:

1. Untuk mengekstrak konektor untuk sertifikat OPC UA ke dalam opcuabroker.crt file, jalankan perintah berikut:

   kubectl -n azure-iot-operations get secret aio-opc-opcuabroker-default-application-cert -o jsonpath='{.data.tls\.crt}' | base64 -d > opcuabroker.crt
   

   kubectl -n azure-iot-operations get secret aio-opc-opcuabroker-default-application-cert -o jsonpath='{.data.tls\.crt}' | %{ [Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($_)) } > opcuabroker.crt
   

2. Banyak server OPC UA hanya mendukung sertifikat dalam format DER. Jika perlu, gunakan perintah berikut untuk mengonversi sertifikat opcuabroker.crt ke opcuabroker.der:

   openssl x509 -outform der -in opcuabroker.crt -out opcuabroker.der
   

3. Lihat dokumentasi server OPC UA Anda untuk mempelajari cara menambahkan opcuabroker.crt file sertifikat atau opcuabroker.der ke daftar sertifikat tepercaya server.

Mengonfigurasi sertifikat instans aplikasi tingkat perusahaan

Untuk lingkungan produksi, Anda dapat mengonfigurasi konektor untuk OPC UA untuk menggunakan sertifikat instans aplikasi tingkat perusahaan. Biasanya, OS perusahaan mengeluarkan sertifikat ini dan Anda memerlukan sertifikat CA ke konfigurasi Anda. Seringkali, ada hierarki CA dan Anda perlu menambahkan rantai validasi LENGKAP CA ke konfigurasi Anda.

Contoh berikut mereferensikan item berikut:

Barang	Deskripsi
opcuabroker-certificate.der	File yang berisi kunci publik sertifikat instans aplikasi tingkat perusahaan.
opcuabroker-certificate.pem	File yang berisi kunci privat sertifikat instans aplikasi tingkat perusahaan.
subjectName	String nama subjek yang disematkan dalam sertifikat instans aplikasi.
applicationUri	URI instans aplikasi yang disematkan dalam instans aplikasi.
enterprise-grade-ca-1.der	File yang berisi kunci umum sertifikat CA tingkat perusahaan.
enterprise-grade-ca-1.crl	File CRL CA.

Seperti contoh sebelumnya, Anda menggunakan rahasia Kubernetes khusus untuk menyimpan sertifikat dan CRL. Untuk mengonfigurasi sertifikat instans aplikasi tingkat perusahaan, selesaikan langkah-langkah berikut:

1. Simpan sertifikat dan CRL di rahasia aio-opc-ua-broker-client-certificate dengan menggunakan perintah berikut:

   Bash

   # Create aio-opc-ua-broker-client-certificate secret
   # Upload OPC UA public key certificate as an entry to the secret
   # Upload OPC UA private key certificate as an entry to the secret
   az iot ops connector opcua client add \
       --instance <your instance name> \
       -g <your resource group> \
       --public-key-file "./opcuabroker-certificate.der" \
       --private-key-file "./opcuabroker-certificate.pem" \
       --subject-name <subject name from the public key cert> \
       --application-uri <application uri from the public key cert>
   

   PowerShell

   # Create aio-opc-ua-broker-client-certificate secret
   # Upload OPC UA public key certificate as an entry to the secret
   # Upload OPC UA private key certificate as an entry to the secret
   az iot ops connector opcua client add `
       --instance <your instance name> `
       -g <your resource group> `
       --public-key-file "./opcuabroker-certificate.der" `
       --private-key-file "./opcuabroker-certificate.pem" `
       --subject-name <subject name from the public key cert> `
       --application-uri <application uri from the public key cert>
   

2. Jika Anda menggunakan CA untuk menerbitkan sertifikat untuk broker OPC UA Anda, konfigurasikan rahasia aio-opc-ua-broker-issuer-list . Gunakan klien Kubernetes seperti kubectl untuk mengonfigurasi rahasia enterprise-grade-ca-1.der dan enterprise-grade-ca-1.crl:

   # Append CA certificate to the issuer list secret as a new entry
   az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./enterprise-grade-ca-1.der"
   
   # Append the CRL to the issuer list secret as a new entry
   az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./enterprise-grade-ca-1.crl"
   

Sekarang setelah konektor untuk OPC UA menggunakan sertifikat perusahaan, jangan lupa untuk menambahkan kunci umum sertifikat baru ke daftar sertifikat tepercaya dari semua server OPC UA yang perlu disambungkan.