Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Łącznik OPC UA to aplikacja kliencka OPC UA, która umożliwia bezpieczne łączenie się z serwerami OPC UA. W usłudze OPC UA zabezpieczenia obejmują:
- Uwierzytelnianie aplikacji
- Podpisywanie wiadomości
- Szyfrowanie danych
- Uwierzytelnianie i autoryzacja użytkownika.
W tym artykule opisano uwierzytelnianie aplikacji i sposób konfigurowania łącznika dla protokołu OPC UA w celu bezpiecznego łączenia się z serwerami OPC UA na brzegu sieci. W usłudze OPC UA każde wystąpienie aplikacji ma certyfikat X.509 używany do ustanawiania zaufania z innymi aplikacjami OPC UA, z którymi komunikuje się.
Aby dowiedzieć się więcej na temat zabezpieczeń aplikacji OPC UA, zobacz Uwierzytelnianie aplikacji.
Na poniższym diagramie przedstawiono sekwencję zdarzeń, które występują, gdy łącznik OPC UA łączy się z serwerem OPC UA. W kolejnych sekcjach tego artykułu omówiono szczegóły poszczególnych kroków w sekwencji:
Łącznik dla certyfikatu wystąpienia aplikacji OPC UA
Łącznik OPC UA to aplikacja kliencka OPC UA. Łącznik OPC UA korzysta z pojedynczego certyfikatu instancji aplikacji OPC UA dla wszystkich sesji, które ustanawia, do zbierania komunikatów i danych z serwerów OPC UA. Domyślne wdrożenie łącznika dla OPC UA używa menedżera certyfikatów do zarządzania certyfikatem wystąpienia aplikacji:
- Narzędzie Cert-manager generuje certyfikat zgodny z protokołem OPC UA i przechowuje go jako natywny wpis tajny platformy Kubernetes. Domyślną nazwą tego certyfikatu jest aio-opc-opcuabroker-default-application-cert.
- Łącznik map OPC UA i używa tego certyfikatu dla wszystkich zasobników używanych do nawiązywania połączenia z serwerami OPC UA.
- Menedżer certyfikatów automatycznie odnawia certyfikaty przed ich wygaśnięciem.
Domyślnie łącznik OPC UA łączy się z serwerem OPC UA przy użyciu punktu końcowego z najwyższym obsługiwanym poziomem zabezpieczeń. W związku z tym należy wcześniej ustanowić uzgadnianie wzajemnego zaufania między dwoma aplikacjami OPC UA. Aby włączyć wzajemne zaufanie do uwierzytelniania aplikacji, należy:
- Wyeksportuj klucz publiczny łącznika dla certyfikatu wystąpienia aplikacji OPC UA z magazynu wpisów tajnych Kubernetes, a następnie dodaj go do listy zaufanych certyfikatów dla serwera OPC UA.
- Wyeksportuj klucz publiczny wystąpienia aplikacji serwera OPC UA, a następnie dodaj go do listy zaufanych certyfikatów dla łącznika OPC UA.
Weryfikacja wzajemnego zaufania między serwerem OPC UA a łącznikiem OPC UA jest teraz możliwa. Teraz możesz skonfigurować AssetEndpointProfile serwer OPC UA w internetowym interfejsie użytkownika środowiska operacji i rozpocząć pracę z nim.
Używanie certyfikatów wystąpienia aplikacji serwera OPC UA z podpisem własnym
W tym scenariuszu należy zachować listę zaufanych certyfikatów, która zawiera certyfikaty wszystkich serwerów OPC UA, którym ufa łącznik OPC UA. Aby utworzyć sesję z serwerem OPC UA:
- Łącznik dla OPC UA wysyła klucz publiczny swojego certyfikatu wystąpienia aplikacji do serwera OPC UA.
- Serwer OPC UA weryfikuje certyfikat łącznika na liście zaufanych certyfikatów.
- Łącznik weryfikuje certyfikat serwera OPC UA na liście zaufanych certyfikatów.
Aby dowiedzieć się, jak zarządzać listą zaufanych certyfikatów, zobacz Konfigurowanie listy zaufanych certyfikatów.
Domyślna nazwa zasobu niestandardowego obsługującego SecretProviderClass listę zaufanych certyfikatów to aio-opc-ua-broker-trust-list.
Używaj certyfikatów instancji aplikacji serwera OPC UA podpisanych przez urząd certyfikacji.
W tym scenariuszu do listy zaufanych certyfikatów dla łącznika OPC UA należy dodać klucz publiczny urzędu certyfikacji. Łącznik OPC UA automatycznie ufa każdemu serwerowi z prawidłowym certyfikatem instancji aplikacji podpisanym przez urząd certyfikacyjny.
Możesz również przekazać listę odwołania certyfikatów (CRL) do listy zaufanych certyfikatów. Łącznik OPC UA używa listy CRL, aby sprawdzić, czy urząd certyfikacji odwołał certyfikat serwera OPC UA.
Aby dowiedzieć się, jak zarządzać listą zaufanych certyfikatów, zobacz Konfigurowanie listy zaufanych certyfikatów.
Używanie certyfikatów wystąpienia aplikacji serwera OPC UA podpisanych przez pośredni urząd certyfikacji
W tym scenariuszu chcesz ufać podzestawowi certyfikatów wystawionych przez urząd certyfikacji. Aby zarządzać relacją zaufania, możesz użyć listy certyfikatów wystawcy . Ta lista certyfikatów wystawcy przechowuje certyfikaty pośrednie, którym ufa łącznik dla OPC UA. Łącznik dla OPC UA ufa tylko certyfikatom podpisanym przez certyfikaty pośrednie na liście certyfikatów wystawcy.
Należy również przekazać klucz publiczny wystawcy certyfikatu root do listy zaufanych certyfikatów dla łącznika OPC UA. Łącznik OPC UA używa klucza publicznego głównego urzędu certyfikacji do sprawdzania poprawności certyfikatów pośrednich na liście certyfikatów wystawcy.
Możesz również przekazać listę odwołania certyfikatów (CRL) do listy certyfikatów wystawcy. Łącznik OPC UA używa listy CRL, aby sprawdzić, czy urząd certyfikacji odwołał certyfikat serwera OPC UA.
Domyślna nazwa zasobu niestandardowego obsługującego SecretProviderClass listę certyfikatów wystawcy to aio-opc-ua-broker-issuer-list.
Aby dowiedzieć się, jak zarządzać listą certyfikatów wystawcy, zobacz Konfigurowanie listy certyfikatów wystawcy.
Obsługiwane funkcje
W poniższej tabeli przedstawiono poziom obsługi funkcji uwierzytelniania w bieżącej wersji łącznika dla OPC UA:
| Funkcje | Znaczenie | Symbol |
|---|---|---|
| Konfiguracja certyfikatu wystąpienia aplikacji z podpisem własnym OPC UA | Obsługiwane | ✅ |
| Obsługa listy zaufanych certyfikatów OPC UA | Obsługiwane | ✅ |
| Obsługa list certyfikatów wystawcy OPC UA | Obsługiwane | ✅ |
| Konfiguracja certyfikatu wystąpienia aplikacji klasy korporacyjnej OPC UA | Obsługiwane | ✅ |
| Obsługa niezaufanych certyfikatów OPC UA | Nieobsługiwane | ❌ |
| Obsługa globalnej usługi odnajdywania OPC UA | Nieobsługiwane | ❌ |