Infrastructuur voor OPC UA-certificaten configureren voor de connector voor OPC UA

2025-06-20

In dit artikel leert u hoe u de infrastructuur voor OPC UA-certificaten voor de connector voor OPC UA configureert. Met deze configuratie kunt u bepalen met welke OPC UA-servers u een sessie veilig tot stand brengt.

Op basis van de OPC UA-specificatie fungeert de connector voor OPC UA als één OPC UA-toepassing wanneer deze beveiligde communicatie met OPC UA-servers tot stand brengt. De connector voor OPC UA maakt gebruik van hetzelfde certificaat voor het toepassingsexemplaren voor alle beveiligde kanalen die worden geopend voor uw OPC UA-servers.

De connector voor OPC UA moet de OPC UA-servers vertrouwen die hiermee worden verbonden. De connector onderhoudt een lijst met vertrouwde certificaten. Zie voor meer informatie:

Certificaten beheren voor uw Azure IoT Operations-implementatie : in dit artikel wordt beschreven hoe Azure IoT Operations gebruikmaakt van Azure Key Vault voor het beheren van certificaten.
OPC UA-certificaatinfrastructuur voor de connector voor OPC UA : in dit artikel worden de rollen van de lijst met vertrouwde certificaten en de lijst met certificaten van verleners beschreven.

Vereisten

Een Azure IoT Operations-exemplaar dat is geïmplementeerd met beveiligde instellingen. Als u Azure IoT Operations met testinstellingen hebt geïmplementeerd, moet u eerst beveiligde instellingen inschakelen.

Een zelfondertekend toepassingsexemplarencertificaat configureren voor de connector voor OPC UA

Met de standaardimplementatie van de connector voor OPC UA worden alle resources geïnstalleerd die door certificaatbeheer nodig zijn om een zelfondertekend OPC UA-compatibel certificaat te maken. Dit certificaat wordt opgeslagen in het aio-opc-opcuabroker-default-application-cert geheim. Dit geheim wordt toegewezen aan alle connectoren voor OPC UA-pods en fungeert als het certificaat van het OPC UA-clienttoepassingsexemplaren. cert-manager verwerkt de automatische verlenging van dit certificaat van het toepassingsexemplaren.

Deze configuratie is doorgaans voldoende voor compatibele en veilige communicatie tussen uw OPC UA-servers en de connector voor OPC UA in een demonstratie- of verkenningsomgeving. Gebruik voor een productieomgeving certificaten van toepassingsexemplaren op bedrijfsniveau in uw implementatie.

De lijst met vertrouwde certificaten configureren

Als u verbinding wilt maken met een OPC UA-server, moet u eerst de wederzijdse vertrouwensrelatie voor toepassingsverificatie tot stand brengen. De lijst met vertrouwde certificaten configureren van de servers waarmee de connector voor OPC UA verbinding moet maken:

Bewerkingservaring
Azure CLI

Voer de volgende stappen uit om de webgebruikersinterface van Operations Experience te gebruiken om de lijst met vertrouwde certificaten te beheren:

Haal het exemplaarcertificaat van de OPC UA-servertoepassing op als een bestand. Deze bestanden hebben doorgaans een .der of .crt extensie. Dit bestand bevat alleen de openbare sleutel.

Aanbeveling

Normaal gesproken heeft een OPC UA-server een interface waarmee u het certificaat van het toepassingsexemplaren kunt exporteren. Deze interface is niet gestandaardiseerd. Voor servers zoals KEPServerEx is er een op Windows gebaseerde configuratiegebruikersinterface voor certificaatbeheer. Andere servers hebben mogelijk een webinterface of gebruiken besturingssysteemmappen om de certificaten op te slaan. Raadpleeg de gebruikershandleiding van uw server om te weten te komen hoe u het certificaat van het toepassingsexemplaar kunt exporteren. Nadat u het certificaat hebt, controleert u of het is gecodeerd met DER of PEM. Deze certificaten worden meestal opgeslagen in bestanden met de extensie .der of .crt. Als het certificaat zich niet in een van deze bestandsindelingen bevindt, gebruikt u een hulpprogramma, bijvoorbeeld openssl om het certificaat te transformeren in de vereiste indeling.
U kunt het certificaat rechtstreeks als geheim toevoegen aan uw Azure Key Vault en daar importeren, of u kunt het certificaat uploaden naar de lijst met vertrouwde certificaten met behulp van de bewerkingservaring.

Opmerking

De connector voor OPC UA maakt gebruik van een systeemeigen Kubernetes-geheim met de naam aio-opc-ua-broker-trust-list om de lijst met vertrouwde certificaten op te slaan. Dit geheim wordt gemaakt wanneer u Azure IoT Operations implementeert.
Ga naar de pagina Asset-eindpunten in de webinterface van de operationele ervaring.
Als u de lijst met vertrouwde certificaten wilt weergeven, selecteert u Certificaten en geheimen beheren en vervolgens Certificaten:
U kunt een certificaatbestand uploaden vanaf uw lokale computer of een certificaatbestand toevoegen dat u eerder hebt toegevoegd als een geheim in uw Azure Key Vault:
Selecteer Toepassen om de wijzigingen op te slaan. Het certificaat wordt nu toegevoegd aan de lijst met vertrouwde certificaten. Als u het certificaat uploadt, wordt het automatisch als geheim toegevoegd aan uw Azure Key Vault.

Als uw OPC UA-server gebruikmaakt van een certificaat dat is uitgegeven door een certificeringsinstantie (CA), kunt u de CA vertrouwen door het bijbehorende openbare-sleutelcertificaat toe te voegen aan de lijst met vertrouwde certificaten. De connector voor OPC UA vertrouwt nu automatisch alle servers die gebruikmaken van een geldig certificaat dat is uitgegeven door de CA. Daarom hoeft u het certificaat van de OPC UA-server niet expliciet toe te voegen aan de connector voor de lijst met vertrouwde OPC UA-certificaten. Op dit moment kunt u de bewerkingservaring niet gebruiken om een certificaatintrekkingslijst toe te voegen aan de lijst met vertrouwde certificaten.

Aanbeveling

Als u een nieuw certificaat wilt toevoegen in de bewerkingservaring, moet u zijn toegewezen aan de rol Key Vault Secrets Officer voor uw Azure Key Vault.

Belangrijk

Als u een certificaat uit Azure Key Vault toevoegt, moet het worden opgeslagen als geheim en niet als certificaat.

Als u de Azure CLI wilt gebruiken om de lijst met vertrouwde certificaten te beheren, voert u de volgende stappen uit:

Haal het exemplaarcertificaat van de OPC UA-servertoepassing op als een bestand. Deze bestanden hebben doorgaans een .der of .crt extensie. Dit bestand bevat alleen de openbare sleutel.

Aanbeveling

Normaal gesproken heeft een OPC UA-server een interface waarmee u het certificaat van het toepassingsexemplaren kunt exporteren. Deze interface is niet gestandaardiseerd. Voor servers zoals KEPServerEx is er een op Windows gebaseerde configuratiegebruikersinterface voor certificaatbeheer. Andere servers hebben mogelijk een webinterface of gebruiken besturingssysteemmappen om de certificaten op te slaan. Raadpleeg de gebruikershandleiding van uw server om te weten te komen hoe u het certificaat van het toepassingsexemplaar kunt exporteren. Nadat u het certificaat hebt, controleert u of het is gecodeerd met DER of PEM. Deze certificaten worden meestal opgeslagen in bestanden met de extensie .der of .crt. Als het certificaat zich niet in een van deze bestandsindelingen bevindt, gebruikt u een hulpprogramma, bijvoorbeeld openssl om het certificaat te transformeren in de vereiste indeling.
Voeg het certificaat van het toepassingsexemplaren van de OPC UA-server toe aan de lijst met vertrouwde certificaten. Deze lijst wordt geïmplementeerd als een systeemeigen Kubernetes-geheim met de naam aio-opc-ua-broker-trust-list die wordt gemaakt bij het implementeren van Azure IoT Operations.

Voer de volgende opdracht uit voor een DER-gecodeerd certificaat in een bestand, zoals ./my-server.der:
```
# Append my-server.der OPC UA server certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.der"
```
Voer de volgende opdracht uit voor een PEM-gecodeerd certificaat in een bestand, zoals ./my-server.crt:
```
# Append my-server.crt OPC UA server certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.crt"
```

Als uw OPC UA-server gebruikmaakt van een certificaat dat is uitgegeven door een certificeringsinstantie (CA), kunt u de CA vertrouwen door het openbare-sleutelcertificaat toe te voegen aan de connector voor de lijst met vertrouwde OPC UA-certificaten. De connector voor OPC UA vertrouwt nu automatisch alle servers die gebruikmaken van een geldig certificaat dat is uitgegeven door de CA. Daarom hoeft u het certificaat van de OPC UA-server niet expliciet toe te voegen aan de connector voor de lijst met vertrouwde OPC UA-certificaten.

Voer de volgende stappen uit om een CA te vertrouwen:

Haal de openbare sleutelcode van het CA-certificaat op in DE DER- of PEM-indeling. Deze certificaten worden meestal opgeslagen in bestanden met de extensie .der of .crt. Haal de CRL van de CA op. Deze lijst bevindt zich meestal in een bestand met de .crl. Raadpleeg de documentatie voor uw OPC UA-server voor meer informatie.

Sla het CA-certificaat en de CRL op in het systeemeigen kubernetes-geheim aio-opc-ua-broker-trust-list :

Voer de volgende opdrachten uit voor een DOOR DER gecodeerd CA-certificaat in een bestand, zoals ./my-server-ca.der:

# Append CA certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"

# Append the CRL to the trusted certificate list secret as a new entry
data=$(kubectl create secret generic temp --from-file= my-server-ca.crl=./ my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"

# Append CA certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"

# Append the CRL to the trusted certificate list secret as a new entry
$data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"

Voer de volgende opdrachten uit voor een PEM-gecodeerd CA-certificaat in een bestand zoals ./my-server-ca.crt:

# Append CA certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"

# Append the CRL to the trusted certificates list secret as a new entry
data=$(kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"

# Append CA certificate to the trusted certificate list secret as a new entry
az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"

# Append the CRL to the trusted certificate list secret as a new entry
$data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"

De lijst met certificaten voor verleners configureren

Als uw OPC UA-server gebruikmaakt van een certificaat dat is uitgegeven door een CA, maar u niet alle certificaten wilt vertrouwen die zijn uitgegeven door de CA, configureert u de lijst met certificaten van verleners:

Bewerkingservaring
Azure CLI

Voordat u de lijst met certificaten voor verleners met uw tussenliggende certificaten kunt configureren, moet u het CA-certificaat toevoegen aan de lijst met vertrouwde certificaten. De connector voor OPC UA maakt gebruik van het CA-certificaat om de certificaatketen van de OPC UA-server te valideren.

Voer de volgende stappen uit om de webgebruikersinterface voor operations experience te gebruiken om de lijst met certificaten van verleners te beheren:

Haal het uitgeverscertificaat op dat is gebruikt voor het ondertekenen van uw serverinstantie-certificaten als een bestand. Deze bestanden hebben doorgaans een .der of .crt extensie. Dit bestand bevat alleen de openbare sleutel. Mogelijk hebt u ook een CRL-bestand (certificaatintrekkingslijst) voor het certificaat van de uitgever.
U kunt het certificaat van de uitgever rechtstreeks als geheim toevoegen aan uw Azure Key Vault en daar importeren, of u kunt het certificaat- en certificaatintrekkingslijst (.crl-bestand) uploaden naar de lijst met certificaatverlenercertificaten met behulp van de bewerkingservaring.

Opmerking

De connector voor OPC UA maakt gebruik van een systeemeigen Kubernetes-geheim met de naam aio-opc-ua-broker-issuer-list om de lijst met certificaatverleners op te slaan. Dit geheim wordt gemaakt wanneer u Azure IoT Operations implementeert.
Ga naar de pagina Asset-eindpunten in de webinterface van de operationele ervaring.
Als u de lijst met certificaten van verleners wilt weergeven, selecteert u Certificaten en geheimen beheren en vervolgens Certificaten:
U kunt een certificaatbestand voor verleners uploaden vanaf uw lokale computer of een certificaatbestand toevoegen dat u eerder hebt toegevoegd als geheim in uw Azure Key Vault:
Selecteer Toepassen om de wijzigingen op te slaan. Het certificaat wordt nu toegevoegd aan de lijst met certificaten van verleners. Als u het certificaat uploadt, wordt het automatisch als geheim toegevoegd aan uw Azure Key Vault.

U kunt de bewerkingservaring ook gebruiken om een certificaatintrekkingslijst (.crl-bestand) toe te voegen aan de lijst met vertrouwde certificaten.

Aanbeveling

Als u een nieuw certificaat wilt toevoegen in de bewerkingservaring, moet u zijn toegewezen aan de rol Key Vault Secrets Officer voor uw Azure Key Vault.

Belangrijk

Als u een certificaat uit Azure Key Vault toevoegt, moet het worden opgeslagen als geheim en niet als certificaat.

Als u de Azure CLI wilt gebruiken om de lijst met certificaten van verleners te beheren, voert u de volgende stappen uit:

Sla het CA-certificaat en de CRL op in het aio-opc-ua-broker-issuer-list geheim:

# Append CA certificate to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"

# Append the CRL to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"

Voer de volgende opdrachten uit voor een PEM-gecodeerd certificaat in een bestand, zoals ./my-server-ca.crt:

# Append CA certificate to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"

# Append the CRL to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"

Uw OPC UA-server configureren

Als u de configuratie van de wederzijdse vertrouwensrelatie voor toepassingsverificatie wilt voltooien, moet u uw OPC UA-server configureren om de connector te vertrouwen voor het certificaat van het OPC UA-toepassingsexemplaren:

Voer de volgende opdracht uit om de connector voor OPC UA-certificaat uit te pakken in een opcuabroker.crt bestand:

kubectl -n azure-iot-operations get secret aio-opc-opcuabroker-default-application-cert -o jsonpath='{.data.tls\.crt}' | base64 -d > opcuabroker.crt

kubectl -n azure-iot-operations get secret aio-opc-opcuabroker-default-application-cert -o jsonpath='{.data.tls\.crt}' | %{ [Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($_)) } > opcuabroker.crt

Veel OPC UA-servers ondersteunen alleen certificaten in de DER-indeling. Gebruik indien nodig de volgende opdracht om het opcuabroker.crt-certificaat te converteren naar opcuabroker.der:
```
openssl x509 -outform der -in opcuabroker.crt -out opcuabroker.der
```
Raadpleeg de documentatie van uw OPC UA-server voor meer informatie over het toevoegen van het opcuabroker.crt of opcuabroker.der certificaatbestand aan de lijst met vertrouwde certificaten van de server.

Een certificaat voor een toepassingsexemplaren op bedrijfsniveau configureren

Voor productieomgevingen kunt u de connector voor OPC UA configureren voor het gebruik van een toepassingsexemplementatiecertificaat op bedrijfsniveau. Normaal gesproken geeft een ca van een onderneming dit certificaat uit en hebt u het CA-certificaat nodig voor uw configuratie. Vaak is er een hiërarchie van CA's en moet u de volledige validatieketen van CA's toevoegen aan uw configuratie.

In het volgende voorbeeld wordt verwezen naar de volgende items:

Onderdeel	Beschrijving
opcuabroker-certificate.der	Bestand dat de openbare sleutel van het toepassingsexemplaren van bedrijfsniveau bevat.
opcuabroker-certificate.pem	Bestand dat de persoonlijke sleutel van het certificaat van het bedrijfstoepassingsexemplaren bevat.
`subjectName`	De tekenreeks met de onderwerpnaam die is ingesloten in het certificaat van het toepassingsexemplaren.
`applicationUri`	De URI van het toepassingsexemplaren die is ingesloten in het toepassingsexemplaren.
enterprise-grade-ca-1.der	Bestand dat de openbare sleutel van het CA-certificaat van ondernemingsniveau bevat.
enterprise-grade-ca-1.crl	Het CRL-bestand van de CA.

Net als in de vorige voorbeelden gebruikt u een toegewezen Kubernetes-geheim om de certificaten en CRL's op te slaan. Voer de volgende stappen uit om het certificaat van het instantie-exemplaar van bedrijfstoepassingen te configureren:

Sla de certificaten en de CRL op in het geheim aio-opc-ua-broker-client-certificate met behulp van de volgende opdracht:

Bash
Powershell

# Create aio-opc-ua-broker-client-certificate secret
# Upload OPC UA public key certificate as an entry to the secret
# Upload OPC UA private key certificate as an entry to the secret
az iot ops connector opcua client add \
    --instance <your instance name> \
    -g <your resource group> \
    --public-key-file "./opcuabroker-certificate.der" \
    --private-key-file "./opcuabroker-certificate.pem" \
    --subject-name <subject name from the public key cert> \
    --application-uri <application uri from the public key cert>

# Create aio-opc-ua-broker-client-certificate secret
# Upload OPC UA public key certificate as an entry to the secret
# Upload OPC UA private key certificate as an entry to the secret
az iot ops connector opcua client add `
    --instance <your instance name> `
    -g <your resource group> `
    --public-key-file "./opcuabroker-certificate.der" `
    --private-key-file "./opcuabroker-certificate.pem" `
    --subject-name <subject name from the public key cert> `
    --application-uri <application uri from the public key cert>

Als u de CA gebruikt om certificaten uit te geven voor uw OPC UA-broker, configureert u het geheim aio-opc-ua-broker-issuer-list . Gebruik een Kubernetes-client, zoals kubectl het configureren van de geheimen op enterprise-grade-ca-1.der en enterprise-grade-ca-1.crl:

# Append CA certificate to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./enterprise-grade-ca-1.der"

# Append the CRL to the issuer list secret as a new entry
az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./enterprise-grade-ca-1.crl"

Nu de connector voor OPC UA gebruikmaakt van het bedrijfscertificaat, vergeet dan niet om de openbare sleutel van het nieuwe certificaat toe te voegen aan de lijsten met vertrouwde certificaten van alle OPC UA-servers waarmee verbinding moet worden gemaakt.