Infrastruktura certifikátů OPC UA pro konektor pro OPC UA
Konektor pro OPC UA je klientská aplikace OPC UA, která umožňuje zabezpečené připojení k serverům OPC UA. V OPC UA zahrnuje zabezpečení:
- Ověřování aplikací
- Podepisování zpráv
- Šifrování dat
- Ověřování a autorizace uživatelů.
Tento článek se zaměřuje na ověřování aplikací a postup konfigurace konektoru pro OPC UA pro zabezpečené připojení k serverům OPC UA na hraničních zařízeních. V OPC UA má každá instance aplikace certifikát X.509, který používá k navázání důvěryhodnosti s ostatními aplikacemi OPC UA, se kterými komunikuje.
Další informace o zabezpečení aplikací OPC UA najdete v tématu Ověřování aplikací.
Konektor pro certifikát instance aplikace OPC UA
Konektor pro OPC UA je klientská aplikace OPC UA. Konektor pro OPC UA využívá jeden certifikát instance aplikace OPC UA pro všechny relace, které vytváří ke shromažďování telemetrických dat ze serverů OPC UA. Výchozí nasazení konektoru pro OPC UA používá ke správě certifikátu instance aplikace nástroj cert-manager :
- Cert-manager vygeneruje certifikát kompatibilní s OPC UA podepsaný svým držitelem a uloží ho jako nativní tajný klíč Kubernetes. Výchozí název tohoto certifikátu je aio-opc-opcuabroker-default-application-cert.
- Konektor pro mapy OPC UA a používá tento certifikát pro všechny pody, které používá pro připojení k serverům OPC UA.
- Cert-manager automaticky obnoví certifikáty před vypršením jejich platnosti.
Ve výchozím nastavení se konektor pro OPC UA připojuje k serveru OPC UA pomocí koncového bodu s nejvyšší podporovanou úrovní zabezpečení. Proto je nutné předem stanovit metodu handshake vzájemné důvěry mezi dvěma aplikacemi OPC UA. Pokud chcete povolit vztah důvěryhodnosti vzájemného ověřování aplikací, musíte:
- Exportujte veřejný klíč konektoru pro certifikát instance aplikace OPC UA z úložiště tajných kódů Kubernetes a pak ho přidejte do seznamu důvěryhodných certifikátů pro server OPC UA.
- Exportujte veřejný klíč instance aplikace serveru OPC UA a pak ho přidejte do seznamu důvěryhodných certifikátů pro konektor OPC UA.
Ověřování vzájemné důvěryhodnosti mezi serverem OPC UA a konektorem pro OPC UA je nyní možné. Teď můžete nakonfigurovat AssetEndpointProfile server OPC UA ve webovém uživatelském rozhraní provozního prostředí a začít s ním pracovat.
Seznam důvěryhodných certifikátů OPC UA konektoru
Musíte udržovat seznam důvěryhodných certifikátů, který obsahuje certifikáty všech serverů OPC UA, které konektor pro vztahy důvěryhodnosti OPC UA. Vytvoření relace se serverem OPC UA:
- Konektor pro OPC UA odešle veřejný klíč certifikátu.
- Server OPC UA ověří certifikát konektoru v seznamu důvěryhodných certifikátů.
- Konektor ověří certifikát serveru OPC UA vůči seznamu důvěryhodných certifikátů.
Pokud konektor pro OPC UA důvěřuje certifikační autoritě, automaticky důvěřuje jakémukoli serveru, který má platný certifikát instance aplikace podepsaný certifikační autoritou.
Informace o tom, jak promítat důvěryhodné certifikáty ze služby Azure Key Vault do clusteru Kubernetes, najdete v tématu Správa tajných kódů pro vaše nasazení operací Azure IoT.
Výchozí název vlastního SecretProviderClass prostředku, který zpracovává seznam důvěryhodných certifikátů, je aio-opc-ua-broker-trust-list.
Seznam certifikátů vystavitele OPC UA konektoru
Pokud je certifikát instance aplikace serveru OPC UA podepsaný zprostředkující certifikační autoritou, ale nechcete automaticky důvěřovat všem certifikátům vydaným certifikační autoritou, můžete ke správě vztahu důvěryhodnosti použít seznam certifikátů vystavitele. Tento seznam certifikátů vystavitele ukládá certifikáty certifikační autority, které konektor pro vztahy důvěryhodnosti OPC UA.
Pokud je certifikát aplikace serveru OPC UA podepsaný zprostředkující certifikační autoritou, konektor pro OPC UA ověří úplný řetěz certifikačních autorit až do kořenového adresáře. Seznam certifikátů vystavitele by měl obsahovat certifikáty všech certifikačních autorit v řetězu, aby se zajistilo, že konektor pro OPC UA může ověřit servery OPC UA.
Seznam certifikátů vystavitele spravujete stejným způsobem, jakým spravujete seznam důvěryhodných certifikátů. Výchozí název vlastního SecretProviderClass prostředku, který zpracovává seznam certifikátů vystavitele, je aio-opc-ua-broker-issuer-list.
Podporované funkce
Následující tabulka ukazuje úroveň podpory funkcí pro ověřování v aktuální verzi konektoru pro OPC UA:
| Funkce | Význam | Symbol |
|---|---|---|
| Konfigurace certifikátu instance aplikace podepsaného svým držitelem OPC UA | Podporováno | ✅ |
| Zpracování seznamu důvěryhodných certifikátů OPC UA | Podporováno | ✅ |
| Zpracování seznamů certifikátů vystavitele OPC UA | Podporováno | ✅ |
| Konfigurace certifikátu instance aplikace OPC UA na podnikové úrovni | Podporováno | ✅ |
| Zpracování nedůvěryhodných certifikátů OPC UA | Nepodporované | ❌ |
| Zpracování globální služby zjišťování OPC UA | Nepodporovaný | ❌ |