OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA
Der Anschluss für OPC UA ist eine OPC UA-Clientanwendung, mit der Sie eine sichere Verbindung mit OPC UA-Servern herstellen können. In OPC UA umfasst Sicherheit Folgendes:
- Anwendungsauthentifizierung
- Nachrichtensignatur
- Datenverschlüsselung
- Authentifizierung und Autorisierung von Benutzern
In diesem Artikel liegt der Schwerpunkt auf der Anwendungsauthentifizierung und dem Konfigurieren des Anschlusses für OPC UA, um eine sichere Verbindung mit Ihren OPC UA-Servern am Edge herzustellen. In OPC UA verfügt jede Anwendungsinstanz über ein X.509-Zertifikat, das verwendet wird, um eine Vertrauensstellung mit den anderen OPC UA-Anwendungen herzustellen, mit denen sie kommuniziert.
Weitere Informationen zur OPC UA-Anwendungssicherheit finden Sie unter Anwendungsauthentifizierung.
Anwendungsinstanzzertifikat für den Anschluss für OPC UA
Der Anschluss für OPC UA ist eine OPC UA-Clientanwendung. Der Anschluss für OPC UA verwendet ein einzelnes OPC UA-Anwendungsinstanzzertifikat für alle Sitzungen, die zum Sammeln von Telemetriedaten von OPC UA-Servern eingerichtet wurden. Eine Standardbereitstellung des Anschlusses für OPC UA verwendet cert-manager zum Verwalten des Anwendungsinstanzzertifikats:
- Cert-Manager generiert ein selbstsigniertes OPC UA-kompatibles Zertifikat und speichert es als Kubernetes nativen Geheimschlüssel. Der Standardname für dieses Zertifikat ist aio-opc-opcuabroker-default-application-cert.
- Der Anschluss für OPC UA ordnet dieses Zertifikat für alle Pods zu, die zum Herstellen einer Verbindung mit OPC UA-Servern verwendet werden.
- cert-manager verlängert Zertifikate automatisch, bevor sie ablaufen.
Der Anschluss für OPC UA stellt standardmäßig eine Verbindung mit einem OPC UA-Server mithilfe des Endpunkts mit der höchsten Sicherheitsstufe bereit. Daher muss der Handshake für die gegenseitige Vertrauensstellung zwischen den beiden OPC UA-Anwendungen vorher eingerichtet werden. Um die gegenseitige Vertrauensstellung der Anwendungsauthentifizierung zu aktivieren, müssen Sie folgende Schritte ausführen:
- Exportieren Sie den öffentlichen Schlüssel des Anwendungsinstanzzertifikats des Anschlusses für OPC UA aus dem Kubernetes-Geheimnisspeicher, und fügen Sie ihn dann der Liste vertrauenswürdiger Zertifikate für den OPC UA-Server hinzu.
- Exportieren Sie den öffentlichen Schlüssel der Anwendungsinstanz des OPC UA-Servers, und fügen Sie ihn dann der Liste vertrauenswürdiger Zertifikate für den Anschluss für OPC UA hinzu.
Die Überprüfung der gegenseitigen Vertrauensstellung zwischen dem OPC UA-Server und dem Anschluss für OPC UA ist jetzt möglich. Sie können jetzt eine AssetEndpointProfile-Schnittstelle für den OPC UA-Server in der Webbenutzeroberfläche für Vorgänge konfigurieren und damit arbeiten.
Die Liste vertrauenswürdiger Zertifikate für den Anschluss für OPC UA
Sie müssen eine Liste vertrauenswürdiger Zertifikate führen, die die Zertifikate aller OPC UA-Server enthält, denen der Anschluss für OPC UA vertraut. So erstellen Sie eine Sitzung mit einem OPC UA-Server
- Der Anschluss für OPC UA sendet den öffentlichen Schlüssel seines Zertifikats.
- Der OPC UA-Server überprüft das Zertifikat des Konnektors anhand seiner Liste vertrauenswürdiger Zertifikate.
- Der Konnektor überprüft das Zertifikat des OPC UA-Servers anhand seiner Liste vertrauenswürdiger Zertifikate.
Wenn der Anschluss für OPC UA einer Zertifizierungsstelle vertraut, vertraut dieser automatisch allen Servern, die über ein gültiges Anwendungsinstanzzertifikat verfügen, das von der Zertifizierungsstelle signiert ist.
Informationen zum Projizieren der vertrauenswürdigen Zertifikate aus Azure Key Vault in den Kubernetes-Cluster finden Sie unter Verwalten von Geheimnissen für Ihre Bereitstellung von „Azure IoT Einsatz“.
Der Standardname für die benutzerdefinierte SecretProviderClass-Ressource, die die Liste vertrauenswürdiger Zertifikate behandelt, ist aio-opc-ua-broker-trust-list.
Die Liste von Ausstellerzertifikaten für den Anschluss für OPC UA
Wenn das Anwendungsinstanzzertifikat des OPC UA-Servers von einer Zwischenzertifizierungsstelle signiert ist, Sie aber nicht automatisch allen von der Zertifizierungsstelle ausgestellten Zertifikaten vertrauen möchten, können Sie eine Ausstellerzertifikatliste verwenden, um die Vertrauensstellungsbeziehung zu verwalten. Diese Ausstellerzertifikatliste speichert die Zertifizierungsstellenzertifikate, denen der Konnektor für OPC UA vertraut.
Wenn das Anwendungszertifikat eines OPC UA-Servers von einer Zwischenzertifizierungsstelle signiert wird, überprüft der Anschluss für OPC UA die vollständige Kette von Zertifizierungsstellen bis zur Stammzertifizierungsstelle. Die Ausstellerzertifikatliste muss die Zertifikate aller Zertifizierungsstellen in der Kette enthalten, um sicherzustellen, dass der Anschluss für OPC UA die OPC UA-Server überprüfen kann.
Sie verwalten die Ausstellerzertifikatliste auf die gleiche Weise wie die Liste der vertrauenswürdigen Zertifikate. Der Standardname für die benutzerdefinierte SecretProviderClass-Ressource, die die Ausstellerzertifikatliste behandelt, ist aio-opc-ua-broker-issuer-list.
Unterstützte Features
Die folgende Tabelle zeigt die Supportebene für Features für die Authentifizierung in der aktuellen Version des Anschlusses für OPC UA:
| Features | Bedeutung | Symbol |
|---|---|---|
| Konfiguration des selbstsignierten OPC UA-Anwendungsinstanzzertifikats | Unterstützt | ✅ |
| Behandeln der Liste der vertrauenswürdigen OPC UA-Zertifikate | Unterstützt | ✅ |
| Handhabung von OPC UA-Ausstellerzertifikatlisten | Unterstützt | ✅ |
| Konfiguration des Anwendungsinstanzzertifikats der OPC UA-Unternehmensklasse | Unterstützt | ✅ |
| Behandeln von nicht vertrauenswürdigen OPC UA-Zertifikaten | Nicht unterstützt | ❌ |
| Behandlung von OPC UA Global Discovery Service (globaler Ermittlungsdienst) | Nicht unterstützt | ❌ |