Compartir vía


Infraestructura de certificados de OPC UA para el conector para OPC UA

El conector para OPC UA es una aplicación cliente de OPC UA que le permite conectarse de forma segura a los servidores de OPC UA. En OPC UA, la seguridad incluye lo siguiente:

  • Autenticación de la aplicación
  • Firma de mensajes
  • Cifrado de datos
  • Autenticación y autorización de usuarios.

Este artículo se centra en la autenticación de aplicaciones y cómo configurar el conector para que OPC UA se conecte de forma segura a los servidores de OPC UA en el perímetro. En OPC UA, cada instancia de aplicación tiene un certificado X.509 que se usa para establecer la confianza con las otras aplicaciones de OPC UA con las que se comunica.

Para obtener más información sobre la seguridad de las aplicaciones de OPC UA, consulte Autenticación de aplicaciones.

Conector para el certificado de instancia de aplicación de OPC UA

El conector para OPC UA es una aplicación cliente de OPC UA. El conector de OPC UA usa un único certificado de instancia de aplicación de OPC UA para todas las sesiones que establece para recopilar datos de telemetría de servidores OPC UA. Una implementación predeterminada del conector para OPC UA usa cert-manager para administrar su certificado de instancia de aplicación:

  • Cert-manager genera un certificado compatible con OPC UA autofirmado y lo almacena como secreto nativo de Kubernetes. El nombre predeterminado de este certificado es aio-opc-opcuabroker-default-application-cert.
  • El conector para OPC UA se asigna y usa este certificado para todos los pods que usa para conectarse a servidores de OPC UA.
  • Cert-manager renueva automáticamente los certificados antes de que expiren.

De forma predeterminada, el conector de OPC UA se conecta a un servidor OPC UA mediante el punto de conexión con el nivel de seguridad más alto admitido. Por lo tanto, el protocolo de enlace de confianza mutua entre las dos aplicaciones de OPC UA debe establecerse de antemano. Para habilitar la confianza mutua de autenticación de aplicaciones, debe hacer lo siguiente:

  • Exporte la clave pública del conector para el certificado de instancia de aplicación de OPC UA desde el almacén de secretos de Kubernetes y, a continuación, agréguelo a la lista de certificados de confianza para el servidor OPC UA.
  • Exporte la clave pública de la instancia de aplicación del servidor OPC UA y agréguela a la lista de certificados de confianza para el conector para OPC UA.

La validación de confianza mutua entre el servidor OPC UA y el conector para OPC UA ahora es posible. Ahora puede configurar un AssetEndpointProfile para el servidor OPC UA en la interfaz de usuario web de la experiencia de operaciones y empezar a trabajar con él.

El conector para la lista de certificados de confianza de OPC UA

Debe mantener una lista de certificados de confianza que contenga los certificados de todos los servidores de OPC UA en los que confía el conector para OPC UA. Para crear una sesión con un servidor OPC UA:

  • El conector de OPC UA envía la clave pública de su certificado.
  • El servidor OPC UA valida el certificado del conector en su lista de certificados de confianza.
  • El conector valida el certificado del servidor OPC UA en su lista de certificados de confianza.

Si el conector de OPC UA confía en una entidad de certificación, confía automáticamente en cualquier servidor que tenga un certificado de instancia de aplicación válido firmado por la entidad de certificación.

Para obtener información sobre cómo proyectar los certificados de confianza desde Azur  Key Vault en el clúster de Kubernetes, vea Administración de secretos para la implementación de Operaciones de IoT de Azure.

El nombre predeterminado del recurso personalizado SecretProviderClass que controla la lista de certificados de confianza es aio-opc-ua-broker-trust-list.

El conector para la lista de certificados de emisores de OPC UA

Si el certificado de instancia de la aplicación del servidor OPC UA está firmado por una entidad de certificación intermedia, pero no desea confiar automáticamente en todos los certificados emitidos por la entidad de certificación, puede usar una lista de certificados del emisor para administrar la relación de confianza. Esta lista de certificados del emisor almacena los certificados de entidad de certificación en los que confía el conector para OPC UA.

Si el certificado de aplicación de un servidor OPC UA está firmado por una entidad de certificación intermedia, el conector de OPC UA valida la cadena completa de entidades de certificación hasta la raíz. La lista de certificados del emisor debe contener los certificados de todas las entidades de certificación de la cadena para asegurarse de que el conector para OPC UA pueda validar los servidores de OPC UA.

La lista de certificados del emisor se administra de la misma manera en que se administra la lista de certificados de confianza. El nombre predeterminado del recurso personalizado SecretProviderClass que controla la lista de certificados del emisor es aio-opc-ua-broker-issuer-list.

Características admitidas

En la tabla siguiente se muestra el nivel de compatibilidad de características para la autenticación en la versión actual del conector para OPC UA:

Características Significado Símbolo
Configuración del certificado de instancia de aplicación autofirmado de OPC UA Compatible
Control de la lista de certificados de confianza de OPC UA Compatible
Control de las listas de certificados de emisor de OPC UA Compatible
Configuración del certificado de instancia de aplicación de nivel empresarial de OPC UA Compatible
Control de certificados que no son de confianza de OPC UA No admitidas
Control de Global Discovery Service de OPC UA No compatible