Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
OPC UA bağlayıcısı, OPC UA sunucularına güvenli bir şekilde bağlanmanızı sağlayan bir OPC UA istemci uygulamasıdır. OPC UA'da güvenlik şunları içerir:
- Uygulama kimlik doğrulaması
- İleti imzalama
- Veri şifreleme
- Kullanıcı kimlik doğrulaması ve yetkilendirme. Daha fazla bilgi edinmek için bkz. OPC UA için bağlayıcıyı yapılandırma.
Bu makale , uygulama kimlik doğrulamasına ve OPC UA bağlayıcısının uçta OPC UA sunucularınıza güvenli bir şekilde bağlanacak şekilde yapılandırılmasına odaklanır. OPC UA'da, her uygulama örneğinin iletişim kurduğu diğer OPC UA uygulamalarıyla güven oluşturmak için kullandığı bir X.509 sertifikası vardır.
OPC UA uygulama güvenliği hakkında daha fazla bilgi edinmek için bkz . Uygulama Kimlik Doğrulaması.
Aşağıdaki diyagramda, OPC UA bağlayıcısı bir OPC UA sunucusuna bağlandığında gerçekleşen olayların sırası gösterilmektedir. Bu makalenin devamında yer alan bölümlerde, dizideki her adımın ayrıntıları ele alınmalıdır:
OPC UA uygulama örneği sertifikası bağlayıcısı
OPC UA bağlayıcısı bir OPC UA istemci uygulamasıdır. OPC UA bağlayıcısı, OPC UA sunucularından ileti ve veri toplamak için kurduğu tüm oturumlar için tek bir OPC UA uygulama örneği sertifikası kullanır. OPC UA için bağlayıcının varsayılan dağıtımı, uygulama örneği sertifikasını yönetmek için cert-manager kullanır:
- Cert-manager otomatik olarak imzalanan OPC UA uyumlu bir sertifika oluşturur ve bunu Kubernetes yerel gizli dizisi olarak depolar. Bu sertifikanın varsayılan adı aio-opc-opcuabroker-default-application-cert şeklindedir.
- OPC UA bağlayıcısı, OPC UA sunucularına bağlanmak için kullandığı tüm podlar için bu sertifikayı eşler ve kullanır.
- Cert-manager sertifikaları süresi dolmadan otomatik olarak yeniler.
Varsayılan olarak, OPC UA bağlayıcısı desteklenen en yüksek güvenlik düzeyine sahip uç noktayı kullanarak bir OPC UA sunucusuna bağlanır. Bu nedenle, iki OPC UA uygulaması arasında karşılıklı güven el sıkışması önceden oluşturulmalıdır. Karşılıklı uygulama kimlik doğrulaması güvenini etkinleştirmek için şunları yapmanız gerekir:
- OPC UA uygulama örneği sertifikası için bağlayıcının ortak anahtarını Kubernetes gizli dizi deposundan dışarı aktarın ve ardından OPC UA sunucusu için güvenilen sertifikalar listesine ekleyin.
- OPC UA sunucusunun uygulama örneğinin ortak anahtarını dışarı aktarın ve ardından OPC UA bağlayıcısı için güvenilen sertifikalar listesine ekleyin.
OPC UA sunucusu ile OPC UA bağlayıcısı arasında karşılıklı güven doğrulaması artık mümkündür. Artık işletim deneyimi web kullanıcı arabiriminde OPC UA sunucusu için bir cihaz yapılandırabilir ve onunla çalışmaya başlayabilirsiniz.
Otomatik olarak imzalanan OPC UA sunucusu uygulama örneği sertifikalarını kullanma
Bu senaryoda, OPC UA bağlayıcısının güvendiği tüm OPC UA sunucularının sertifikalarını içeren güvenilir bir sertifika listesi tutmanız gerekir. OPC UA sunucusuyla oturum oluşturmak için:
- OPC UA bağlayıcısı, uygulama örneği sertifikasının ortak anahtarını OPC UA sunucusuna gönderir.
- OPC UA sunucusu, bağlayıcının sertifikasını güvenilen sertifikalar listesinde doğrular.
- Bağlayıcı, OPC UA sunucusunun sertifikasını güvenilen sertifikalar listesinde doğrular.
Güvenilen sertifikalar listesinin nasıl yönetileceğini öğrenmek için bkz. Güvenilen sertifikalar listesini yapılandırma.
Güvenilen sertifika listesini işleyen özel kaynağın varsayılan adı SecretProviderClass aio-opc-ua-broker-trust-list'dir.
Sertifika yetkilisi tarafından imzalanan OPC UA sunucusu uygulama örneği sertifikalarını kullanma
Bu senaryoda, sertifika yetkilisinin ortak anahtarını OPC UA bağlayıcısının güvenilen sertifikalar listesine eklersiniz. OPC UA bağlayıcısı, sertifika yetkilisi tarafından imzalanan geçerli bir uygulama örneği sertifikasına sahip olan tüm sunuculara otomatik olarak güvenir.
Sertifika iptal listesini (CRL) güvenilen sertifikalar listesine de yükleyebilirsiniz. OPC UA bağlayıcısı, sertifika yetkilisinin OPC UA sunucusunun sertifikasını iptalip iptal etmediğini denetlemek için CRL'yi kullanır.
Güvenilen sertifikalar listesinin nasıl yönetileceğini öğrenmek için bkz. Güvenilen sertifikalar listesini yapılandırma.
Ara sertifika yetkilisi tarafından imzalanan OPC UA sunucusu uygulama örneği sertifikalarını kullanma
Bu senaryoda, sertifika yetkilisi tarafından verilen sertifikaların bir alt kümesine güvenmek istiyorsunuz. Güven ilişkisini yönetmek için veren sertifika listesini kullanabilirsiniz. Bu veren sertifika listesi, OPC UA bağlayıcısının güvendiği ara sertifikaları depolar. OPC UA bağlayıcısı yalnızca veren sertifika listesindeki ara sertifikalar tarafından imzalanan sertifikalara güvenir.
Ayrıca kök sertifika yetkilisinin ortak anahtarını OPC UA bağlayıcısının güvenilen sertifikalar listesine de yüklemeniz gerekir. OPC UA bağlayıcısı, sertifika veren sertifika listesindeki ara sertifikaları doğrulamak için kök sertifika yetkilisinin ortak anahtarını kullanır.
Sertifika iptal listesini (CRL) veren sertifikalar listesine de yükleyebilirsiniz. OPC UA bağlayıcısı, sertifika yetkilisinin OPC UA sunucusunun sertifikasını iptalip iptal etmediğini denetlemek için CRL'yi kullanır.
Veren sertifika listesini işleyen özel kaynağın varsayılan adı SecretProviderClass aio-opc-ua-broker-issuer-list şeklindedir.
Veren sertifika listesinin nasıl yönetileceğini öğrenmek için bkz. Veren sertifikaları listesini yapılandırma.
Desteklenen özellikler
Aşağıdaki tabloda, OPC UA için bağlayıcının geçerli sürümünde kimlik doğrulaması için özellik destek düzeyi gösterilmektedir:
| Özellikler | Anlamı | Sembol |
|---|---|---|
| OPC UA otomatik olarak imzalanan uygulama örneği sertifikasının yapılandırması | Destekleniyor | ✅ |
| OPC UA güvenilen sertifikalar listesinin işlenmesi | Destekleniyor | ✅ |
| OPC UA veren sertifika listelerinin işlenmesi | Destekleniyor | ✅ |
| OPC UA kurumsal sınıf uygulama örneği sertifikası yapılandırması | Destekleniyor | ✅ |
| OPC UA güvenilmeyen sertifikaların işlenmesi | Desteklenmeyen | ❌ |
| OPC UA Genel Bulma Hizmeti İşleme | Desteklenmeyen | ❌ |