OPC UA 用コネクタの OPC UA 証明書インフラストラクチャ
重要
Azure Arc によって有効にされる Azure IoT Operations Preview は、 現在プレビュー段階です。 運用環境ではこのプレビュー ソフトウェアを使わないでください。
一般公開されたリリースが利用可能になった場合に、新しい Azure IoT Operations を表示する必要があります。プレビュー段階のインストールをアップグレードすることはできません。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
OPC UA 用コネクタは、OPC UA サーバー アプリケーションに安全に接続できる OPC UA クライアント アプリケーションです。 OPC UA のセキュリティには、次のようなものがあります。
- アプリケーション認証
- メッセージの署名
- データの暗号化
- ユーザーの認証と認可。
この記事では、アプリケーション認証と、エッジの OPC UA サーバーに安全に接続するための OPC UA 用コネクタの構成方法に焦点を当てます。 OPC UA では、すべてのアプリケーション インスタンスに X.509 証明書があり、この証明書を使用して、通信する他の OPC UA アプリケーションとの信頼関係を確立します。
OPC UA アプリケーション セキュリティの詳細については、「アプリケーション認証」を参照してください。
OPC UA 用コネクタ アプリケーション インスタンス証明書
OPC UA 用コネクタは、OPC UA クライアント アプリケーションです。 OPC UA 用コネクタは、OPC UA サーバーからテレメトリ データを収集するために確立されたすべてのセッションに対して、単一の OPC UA アプリケーション インスタンス証明書を使用します。 OPC UA 用コネクタの既定のデプロイでは、cert-manager を使用してアプリケーション インスタンス証明書を管理します。
- Cert-manager は、自己署名 OPC UA 互換証明書を生成し、Kubernetes ネイティブ シークレットとして格納します。 この証明書の既定の名前は aio-opc-opcuabroker-default-application-cert です。
- OPC UA 用コネクタは、OPC UA サーバーへの接続に使用されるすべてのポッドに、この証明書をマッピングして使用します。
- Cert-manager は、有効期限が切れる前に証明書を自動的に更新します。
既定では、OPC UA 用コネクタは、サポートされているセキュリティ レベルが最も高いエンドポイントを使用して、OPC UA サーバーに接続します。 そのため、2 つの OPC UA アプリケーション間の相互信頼ハンドシェイクを事前に確立しておく必要があります。 アプリケーション認証の相互信頼を有効にするには、次の操作が必要です。
- Kubernetes シークレット ストアから OPC UA 用コネクタのアプリケーション インスタンス証明書の公開キーをエクスポートし、OPC UA サーバーの信頼できる証明書の一覧に追加します。
- OPC UA サーバーのアプリケーション インスタンスの公開キーをエクスポートし、OPC UA 用コネクタの信頼できる証明書の一覧に追加します。
OPC UA サーバーと OPC UA 用コネクタ間の相互信頼検証が可能になりました。 操作エクスペリエンス Web UI で OPC UA サーバーの AssetEndpointProfile を構成し、操作を開始できるようになりました。
OPC UA 用コネクタの信頼済み証明書一覧
OPC UA 用コネクタで信頼され、すべての OPC UA サーバーの証明書を含む信頼できる証明書の一覧を管理する必要があります。 OPC UA サーバーとのセッションを作成するには、次の操作を行います。
- OPC UA 用コネクタは、その証明書の公開キーを送信します。
- OPC UA サーバーは、その信頼できる証明書の一覧に対して検証します。
- OPC UA サーバーの証明書の同様の検証は、OPC UA 用コネクタでも行われます。
既定では、OPC UA 用コネクタは Azure Key Vault にその信頼できる証明書の一覧を格納し、Secrets Store CSI Driver を使用して信頼できる証明書を OPC UA 用コネクタ ポッドに投影します。 Azure Key Vault は、DER または PEM 形式でエンコードされた証明書を格納します。
OPC UA 用コネクタで証明機関が信頼されると、証明機関によって署名された有効なアプリケーション インスタンス証明書を持つサーバーが自動的に信頼されます。
Azure Key Vault から信頼できる証明書を Kubernetes クラスターに投影するには、SecretProviderClass カスタム リソースを構成する必要があります。 このカスタム リソースには、信頼できる証明書に関連付けられたすべてのシークレット参照の一覧が含まれます。 OPC UA 用コネクタでは、カスタム リソースを使用して、信頼された証明書を OPC UA コンテナー用のコネクタにマップし、検証に使用できるようにします。 信頼できる証明書の一覧を扱う SecretProviderClass カスタム リソースの既定の名前は、aio-opc-ua-broker-trust-list です。
Note
クラスターへの Azure Key Vault 証明書のプロジェクションにかかる時間は、構成されたポーリング間隔によって異なります。
OPC UA 用コネクタの発行者証明書一覧
OPC UA サーバーのアプリケーション インスタンス証明書が中間証明機関によって署名されているが、証明機関で発行されたすべての証明書を自動的に信頼しないようにする場合は、発行者証明書の一覧を使用して信頼関係を管理できます。
発行者証明書の一覧は、OPC UA 用コネクタが信頼する証明機関の証明書を格納します。 OPC UA サーバーのアプリケーション証明書が中間証明機関によって署名された場合、OPC UA 用コネクタはルート証明機関までの CA チェーンを検証します。 発行者証明書の一覧には、OPC UA 用コネクタで OPC UA サーバーを検証できるように、チェーン内のすべての証明機関の証明書を含める必要があります。
発行者証明書の一覧は、信頼できる証明書の一覧の管理と同じ方法で管理します。 発行者証明書の一覧を扱う SecretProviderClass カスタム リソースの既定の名前は、aio-opc-ua-broker-issuer-list です。
サポートされている機能
次の表は、OPC UA 用コネクタの現在のバージョンでの、認証に対する機能のサポート レベルを示しています。
| 機能 | 意味 | 記号 |
|---|---|---|
| OPC UA 自己署名アプリケーション インスタンス証明書の構成 | サポートされています | ✅ |
| OPC UA 信頼済み証明書のリストの処理 | サポートされています | ✅ |
| OPC UA 発行者証明書リストの処理 | サポートされています | ✅ |
| OPC UA エンタープライズ グレードのアプリケーション インスタンス証明書の構成 | サポートされています | ✅ |
| OPC UA の信頼されていない証明書の処理 | サポートされていない | ❌ |
| OPC UA グローバル検索サービス (GDS) の処理 | サポートされていない | ❌ |