Инфраструктура сертификатов OPC UA для соединителя для OPC UA
Внимание
Предварительная версия операций Интернета вещей Azure, включенная Azure Arc в настоящее время в предварительной версии. Не следует использовать это программное обеспечение предварительной версии в рабочих средах.
Вам потребуется развернуть новую установку Операций Интернета вещей Azure, когда общедоступная версия станет доступной. Вы не сможете обновить предварительную установку.
Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Соединитель для OPC UA — это клиентское приложение OPC UA, которое позволяет безопасно подключаться к серверам OPC UA. В OPC UA безопасность включает:
- Проверка подлинности приложения
- Подпись сообщения
- Шифрование данных
- Проверка подлинности и авторизация пользователей.
В этой статье рассматривается проверка подлинности приложений и настройка соединителя для OPC UA для безопасного подключения к серверам OPC UA на границе. В OPC UA каждый экземпляр приложения имеет сертификат X.509, который используется для установления доверия с другими приложениями OPC UA, с которыми он взаимодействует.
Дополнительные сведения о безопасности приложений OPC UA см. в статье "Проверка подлинности приложений".
Соединитель для сертификата экземпляра приложения OPC UA
Соединитель для OPC UA — это клиентское приложение OPC UA. Соединитель для OPC UA использует один сертификат экземпляра приложения OPC UA для всех сеансов, устанавливаемых для сбора данных телеметрии с серверов OPC UA. Развертывание соединителя по умолчанию для OPC UA использует cert-manager для управления сертификатом экземпляра приложения:
- Cert-manager создает самозаверяющий совместимый сертификат OPC UA и сохраняет его как собственный секрет Kubernetes. Имя по умолчанию для этого сертификата — aio-opc-opcuabroker-default-application-cert.
- Соединитель для карт OPC UA и использует этот сертификат для всех модулей pod, которые он использует для подключения к серверам OPC UA.
- Cert-manager автоматически продлевает сертификаты до истечения срока их действия.
По умолчанию соединитель для OPC UA подключается к серверу OPC UA с помощью конечной точки с самым высоким поддерживаемым уровнем безопасности. Таким образом, необходимо заранее установить подтверждение взаимного доверия между двумя приложениями OPC UA. Чтобы включить взаимное доверие к проверке подлинности приложений, необходимо выполнить следующие действия.
- Экспортируйте открытый ключ соединителя для сертификата экземпляра приложения OPC UA из хранилища секретов Kubernetes, а затем добавьте его в список доверенных сертификатов для сервера OPC UA.
- Экспортируйте открытый ключ экземпляра приложения OPC UA сервера OPC, а затем добавьте его в список доверенных сертификатов для соединителя для OPC UA.
Проверка взаимного доверия между сервером OPC UA и соединителем для OPC UA теперь возможна. Теперь вы можете настроить AssetEndpointProfile сервер OPC UA в пользовательском веб-интерфейсе операций и начать работу с ним.
Соединитель для списка доверенных сертификатов OPC UA
Необходимо сохранить список доверенных сертификатов, содержащий сертификаты всех серверов OPC UA, которые соединитель для доверия OPC UA. Чтобы создать сеанс с сервером OPC UA, выполните приведенные действия.
- Соединитель для OPC UA отправляет открытый ключ сертификата.
- Сервер OPC UA проверяет сертификат соединителя в списке доверенных сертификатов.
- Соединитель проверяет сертификат сервера OPC UA в списке доверенных сертификатов.
По умолчанию соединитель для OPC UA сохраняет свой список доверенных сертификатов в Azure Key Vault и использует драйвер CSI хранилища секретов для проецировать доверенные сертификаты в соединитель для модулей pod OPC UA. Azure Key Vault сохраняет сертификаты, закодированные в формате DER или PEM.
Если соединитель для OPC UA доверяет центру сертификации, он автоматически доверяет любому серверу с действительным сертификатом экземпляра приложения, подписанным центром сертификации.
Сведения о том, как проектировать доверенные сертификаты из Azure Key Vault в кластер Kubernetes, см. в статье "Управление секретами для развертывания Azure IoT Operations Preview".
Имя по умолчанию для SecretProviderClass настраиваемого ресурса, обрабатывающего список доверенных сертификатов, — aio-opc-ua-broker-trust-list.
Список сертификатов издателя OPC UA
Если сертификат экземпляра приложения сервера OPC UA подписан промежуточным центром сертификации, но вы не хотите автоматически доверять всем сертификатам, выданным центром сертификации, можно использовать список сертификатов издателя для управления отношениями доверия. Этот список сертификатов издателя сохраняет сертификаты центра сертификации, которые соединитель для доверия OPC UA.
Если сертификат приложения сервера OPC UA подписан промежуточным центром сертификации, соединитель для OPC UA проверяет полную цепочку центров сертификации до корневого каталога. Список сертификатов издателя должен содержать сертификаты всех центров сертификации в цепочке, чтобы убедиться, что соединитель для OPC UA может проверить серверы OPC UA.
Вы управляете списком сертификатов издателя таким же образом, как и список доверенных сертификатов. Имя по умолчанию для SecretProviderClass настраиваемого ресурса, обрабатывающего список сертификатов издателя, — aio-opc-ua-broker-issuer-list.
Поддерживаемые функции
В следующей таблице показан уровень поддержки функций для проверки подлинности в текущей версии соединителя для OPC UA:
| Функции | Значение | Символ |
|---|---|---|
| Настройка самозаверяющего сертификата экземпляра приложения OPC UA | Поддерживается | ✅ |
| Обработка списка доверенных сертификатов OPC UA | Поддерживается | ✅ |
| Обработка списков сертификатов издателя OPC UA | Поддерживается | ✅ |
| Настройка сертификата экземпляра приложения корпоративного класса OPC UA | Поддерживается | ✅ |
| Обработка недоверенных сертификатов OPC UA | Не поддерживается | ❌ |
| Обработка службы глобального обнаружения OPC UA | Не поддерживается | ❌ |