Infrastructure de certificats OPC UA pour le connecteur OPC UA
Le connecteur OPC UA est une application cliente OPC UA qui vous permet de vous connecter de manière sécurisée à des serveurs OPC UA. Dans OPC UA, la sécurité inclut ce qui suit :
- Authentification de l’application
- Signature de message
- Chiffrement des données
- L’authentification et l’autorisation de l’utilisateur.
Cet article est axé sur l’authentification des applications et sur la manière de configurer le connecteur OPC UA pour se connecter de manière sécurisée à vos serveurs OPC UA à la périphérie. Dans OPC UA, chaque instance d’application a un certificat X.509 qu’elle utilise pour établir l’approbation avec les autres applications OPC UA avec lesquelles elle communique.
Pour en savoir plus sur la sécurité des applications OPC UA, consultez Application Authentication.
Certificat d’instance d’application Connecteur OPC UA
Le connecteur OPC UA est une application cliente OPC UA. Le connecteur OPC UA utilise un certificat d’instance d’application OPC UA unique pour toutes les sessions qu’il établit pour collecter des données de télémétrie à partir de serveurs OPC UA. Un déploiement par défaut de Connecteur OPC UA utilise cert-manager pour gérer son certificat d’instance d’application :
- Cert-manager génère un certificat compatible OPC UA auto-signé et le stocke en tant que secret natif Kubernetes. Le nom par défaut de ce certificat est aio-opc-opcuabroker-default-application-cert.
- Le connecteur OPC UA mappe et utilise ce certificat pour tous les pods qu’il utilise pour se connecter à des serveurs OPC UA.
- Cert-manager renouvelle automatiquement les certificats avant leur expiration.
Par défaut, le connecteur OPC UA se connecte à un serveur OPC UA à l’aide du point de terminaison avec le niveau de sécurité le plus élevé pris en charge. Par conséquent, l’établissement d’une liaison de confiance mutuelle entre les deux applications OPC UA doit avoir lieu au préalable. Pour activer l’approbation d’authentification d’application mutuelle, vous devez :
- Exportez la clé publique du certificat d’instance d’application Connecteur OPC UA à partir du magasin de secrets Kubernetes, puis ajoutez-la à la liste des certificats approuvés pour le serveur OPC UA.
- Exportez la clé publique de l’instance d’application du serveur OPC UA, puis ajoutez-la à la liste des certificats approuvés pour le connecteur OPC UA.
La validation de la confiance mutuelle entre le serveur OPC UA et le connecteur OPC UA est désormais possible. Vous pouvez maintenant configurer un AssetEndpointProfile
pour le serveur OPC UA dans l’interface utilisateur web de l’expérience d’opérations et commencer à l’utiliser.
Liste des certificats approuvés du connecteur OPC UA
Vous devez tenir à jour une liste de certificats approuvés qui contient les certificats de tous les serveurs OPC UA approuvés par le connecteur OPC UA. Pour créer une session avec un serveur OPC UA :
- Le connecteur OPC UA envoie la clé publique de son certificat.
- Le serveur OPC UA valide le certificat du connecteur par rapport à sa liste de certificats approuvés.
- Le connecteur valide le certificat du serveur OPC UA par rapport à sa liste de certificats approuvés.
Si le connecteur OPC UA approuve une autorité de certification, il approuve automatiquement tout serveur disposant d’un certificat d’instance d’application valide signé par l’autorité de certification.
Pour savoir comment projeter les certificats approuvés d’Azure Key Vault dans le cluster Kubernetes, consultez Gérer les secrets pour votre déploiement Opérations Azure IoT.
Le nom par défaut de la ressource personnalisée SecretProviderClass
qui gère la liste des certificats approuvés est aio-opc-ua-broker-trust-list.
Liste des certificats d’émetteur du connecteur OPC UA
Si le certificat d’instance d’application de votre serveur OPC UA est signé par une autorité de certification intermédiaire, mais que vous ne souhaitez pas approuver automatiquement tous les certificats émis par l’autorité de certification, vous pouvez utiliser une liste de certificats d’émetteur pour gérer la relation d’approbation. Cette liste de certificats d’émetteur stocke les certificats d’autorité approuvés par le connecteur OPC UA.
Si le certificat d’application d’un serveur OPC UA a été signé par une autorité de certification intermédiaire, le connecteur OPC UA valide la chaîne complète d’autorités de certification jusqu’à la racine. La liste de certificats d’émetteur doit contenir les certificats de toutes les autorités de certification de la chaîne, afin de garantir que le connecteur OPC UA puisse valider les serveurs OPC UA.
Vous gérez la liste des certificats d’émetteur de la même façon que la liste des certificats approuvés. Le nom par défaut de la ressource personnalisée SecretProviderClass
qui gère la liste des certificats d’émetteur est aio-opc-ua-broker-issuer-list.
Fonctionnalités prises en charge
Le tableau suivant présente le niveau de prise en charge des fonctionnalités pour l’authentification dans la version actuelle du connecteur OPC UA :
Fonctionnalités | Signification | Symbole |
---|---|---|
Configuration du certificat d’instance d’application auto-signé OPC UA | Prise en charge | ✅ |
Gestion de la liste des certificats approuvés OPC UA | Prise en charge | ✅ |
Gestion de la liste des certificats d’émetteur OPC UA | Prise en charge | ✅ |
Configuration du certificat d’instance d’application de niveau entreprise OPC UA | Prise en charge | ✅ |
Gestion des certificats non approuvés OPC UA | Non pris en charge | ❌ |
Gestion du service de découverte globale OPC UA | Non pris en charge | ❌ |