Använda certifikathanteringstjänsten för OPC Vault

Viktigt

När vi uppdaterar den här artikeln kan du läsa mer om det senaste innehållet i Azure Industrial IoT .

Den här artikeln beskriver hur du registrerar program och hur du utfärdar signerade programcertifikat för dina OPC UA-enheter.

Förutsättningar

Distribuera certifikathanteringstjänsten

Distribuera först tjänsten till Azure-molnet. Mer information finns i Distribuera OPC Vault-certifikathanteringstjänsten.

Skapa ca-certifikatet för utfärdare

Om du inte har gjort det ännu skapar du certifikatet för utfärdarcertifikatutfärdaren. Mer information finns i Skapa och hantera utfärdarcertifikatet för OPC Vault.

Skydda OPC UA-program

Steg 1: Registrera ditt OPC UA-program

Viktigt

Rollen Författare krävs för att registrera ett program.

1. Öppna certifikattjänsten på https://myResourceGroup-app.azurewebsites.netoch logga in.

2. Gå till Registrera ny. För en programregistrering måste en användare ha minst rollen Författare tilldelad.

3. Inmatningsformuläret följer namngivningskonventionerna i OPC UA. I följande skärmbild visas till exempel inställningarna för OPC UA-referensserverexemplet i OPC UA .NET Standard-stacken:

   

4. Välj Registrera för att registrera programmet i certifikattjänstprogrammets databas. Arbetsflödet vägleder användaren direkt till nästa steg för att begära ett signerat certifikat för programmet.

Steg 2: Skydda ditt program med ett ca-signerat programcertifikat

Skydda ditt OPC UA-program genom att utfärda ett signerat certifikat baserat på en certifikatsigneringsbegäran (CSR). Du kan också begära ett nytt nyckelpar, som innehåller en ny privat nyckel i PFX- eller PEM-format. Information om vilken metod som stöds för ditt program finns i dokumentationen för din OPC UA-enhet. I allmänhet rekommenderas CSR-metoden eftersom det inte kräver att en privat nyckel överförs via en kabel.

Begära ett nytt certifikat med ett nytt nyckelpar

1. Gå till Program.

2. Välj Ny begäran för ett program i listan.

   

3. Välj Begär nya KeyPair och Certifikat för att begära en privat nyckel och ett nytt signerat certifikat med den offentliga nyckeln för ditt program.

   

4. Fyll i formuläret med ett ämne och domännamnen. För den privata nyckeln väljer du PEM eller PFX med lösenord. Välj Generera nytt KeyPair för att skapa certifikatbegäran.

   

5. Godkännande kräver en användare med rollen Godkännare och med signeringsbehörigheter i Azure Key Vault. I det typiska arbetsflödet bör rollerna Godkännare och Beställare tilldelas till olika användare. Välj Godkänn eller Avvisa för att starta eller avbryta det faktiska skapandet av nyckelparet och signeringsåtgärden. Det nya nyckelparet skapas och lagras säkert i Azure Key Vault tills det laddas ned av certifikatförfrågan. Det resulterande certifikatet med offentlig nyckel signeras av certifikatutfärdare. De här åtgärderna kan ta några sekunder att slutföra.

   

6. Den resulterande privata nyckeln (PFX eller PEM) och certifikatet (DER) kan laddas ned härifrån i det format som valts som nedladdning av binärfil. En base64-kodad version är också tillgänglig, till exempel för att kopiera och klistra in certifikatet till en kommandorad eller textpost.

7. När den privata nyckeln har laddats ned och lagrats på ett säkert sätt kan du välja Ta bort privat nyckel. Certifikatet med den offentliga nyckeln är fortfarande tillgängligt för framtida användning.

8. På grund av användningen av ett CA-signerat certifikat bör CA-certifikatet och listan över återkallade certifikat (CRL) också laddas ned här.

Nu beror det på OPC UA-enheten hur det nya nyckelparet ska tillämpas. Certifikatutfärdarcertifikatet och listan över återkallade certifikat kopieras vanligtvis till en trusted mapp, medan de offentliga och privata nycklarna för programcertifikatet tillämpas på en own mapp i certifikatarkivet. Vissa enheter kanske redan stöder server-push för certifikatuppdateringar. Läs dokumentationen för din OPC UA-enhet.

Begära ett nytt certifikat med en CSR

1. Gå till Program.

2. Välj Ny begäran för ett program i listan.

   

3. Välj Begär nytt certifikat med signeringsbegäran för att begära ett nytt signerat certifikat för ditt program.

   

4. Ladda upp CSR genom att välja en lokal fil eller genom att klistra in en base64-kodad CSR i formuläret. Välj Generera nytt certifikat.

   

5. Godkännande kräver en användare med rollen Godkännare och med signeringsbehörigheter i Azure Key Vault. Välj Godkänn eller Avvisa för att starta eller avbryta den faktiska signeringsåtgärden. Det resulterande certifikatet med offentlig nyckel signeras av certifikatutfärdare. Den här åtgärden kan ta några sekunder att slutföra.

   

6. Det resulterande certifikatet (DER) kan laddas ned härifrån som en binär fil. En base64-kodad version är också tillgänglig, till exempel för att kopiera och klistra in certifikatet till en kommandorad eller textpost.

7. När certifikatet har laddats ned och lagrats på ett säkert sätt kan du välja Ta bort certifikat.

8. På grund av användningen av ett CA-signerat certifikat bör certifikatutfärdarcertifikatet och LISTAN över återkallade certifikat också laddas ned här.

Nu beror det på OPC UA-enheten hur det nya certifikatet ska tillämpas. Certifikatutfärdarcertifikatet och listan över återkallade certifikat kopieras vanligtvis till en trusted mapp, medan programcertifikatet tillämpas på en own mapp i certifikatarkivet. Vissa enheter kanske redan stöder server-push för certifikatuppdateringar. Läs dokumentationen för din OPC UA-enhet.

Steg 3: Skyddad enhet

OPC UA-enheten är nu redo att kommunicera med andra OPC UA-enheter som skyddas av CA-signerade certifikat, utan ytterligare konfiguration.

Nästa steg

Nu när du har lärt dig hur du skyddar OPC UA-enheter kan du:

Köra en säker certifikathanteringstjänst