Infrastruttura di certificati OPC UA per il connettore per OPC UA
Il connettore per OPC UA è un'applicazione client OPC UA che consente di connettersi in modo sicuro ai server OPC UA. In OPC UA, la sicurezza include:
- Autenticazione applicazione
- Firma del messaggio
- Crittografia dei dati
- Autenticazione e autorizzazione degli utenti.
Questo articolo è incentrato sull'autenticazione dell'applicazione e su come configurare il connettore per OPC UA per connettersi in modo sicuro ai server OPC UA a livello periferico. In OPC UA, ogni istanza dell'applicazione ha un certificato X.509 che usa per stabilire l'attendibilità con le altre applicazioni OPC UA con cui comunica.
Per altre informazioni sulla sicurezza delle applicazioni OPC UA, vedere Autenticazione delle applicazioni.
Certificato di istanza dell'applicazione del connettore per OPC UA
Il connettore per OPC UA è un'applicazione client OPC UA. Il connettore per OPC UA usa un singolo certificato dell'istanza dell'applicazione OPC UA per tutte le sessioni stabilite per raccogliere i dati di telemetria dai server OPC UA. Una distribuzione predefinita del connettore per OPC UA usa cert-manager per gestire il certificato dell'istanza dell'applicazione:
- Cert-manager genera un certificato autofirmato compatibile con OPC UA e lo archivia come segreto nativo di Kubernetes. Il nome predefinito per questo certificato è aio-opc-opcuabroker-default-application-cert.
- Il connettore per OPC UA esegue il mapping e usa questo certificato per tutti i pod usati per connettersi ai server OPC UA.
- Cert-manager rinnova automaticamente i certificati prima della loro scadenza.
Per impostazione predefinita, il connettore per OPC UA si connette a un server OPC UA usando l'endpoint con il livello di sicurezza più elevato supportato. Pertanto, è necessario stabilire in anticipo un handshake di attendibilità reciproca tra le due applicazioni OPC UA. Per abilitare l'attendibilità reciproca dell'autenticazione delle applicazioni, è necessario:
- Esportare la chiave pubblica del certificato dell'istanza dell'applicazione del connettore per OPC UA dall'archivio segreto di Kubernetes, quindi aggiungerla all'elenco dei certificati attendibili per il server OPC UA.
- Esportare la chiave pubblica dell'istanza dell'applicazione del server OPC UA e aggiungerla all'elenco dei certificati attendibili per il connettore per OPC UA.
È ora possibile eseguire la convalida dell'attendibilità reciproca tra il server OPC UA e il connettore per OPC UA. È ora possibile configurare un AssetEndpointProfile per il server OPC UA nell'interfaccia utente Web dell'esperienza operativa e iniziare a usarlo.
Elenco dei certificati attendibili per il connettore per OPC UA
È necessario mantenere un elenco di certificati attendibili che contenga i certificati di tutti i server OPC UA considerati attendibili dal connettore per OPC UA. Per creare una sessione con un server OPC UA:
- Il connettore per OPC UA invia la chiave pubblica del relativo certificato.
- Il server OPC UA convalida il certificato del connettore rispetto all'elenco di certificati attendibili.
- Il connettore convalida il certificato del server OPC UA rispetto all'elenco di certificati attendibili.
Se il connettore per OPC UA considera attendibile un'autorità di certificazione, considera automaticamente attendibile qualsiasi server che disponga di un certificato di istanza dell'applicazione valido firmato dall'autorità di certificazione.
Per informazioni su come proiettare i certificati attendibili da Azure Key Vault nel cluster Kubernetes, vedere Gestire i segreti per la distribuzione di Operazioni IoT di Azure.
Il nome predefinito per la risorsa personalizzata SecretProviderClass che gestisce l'elenco dei certificati attendibili è aio-opc-ua-broker-trust-list.
Elenco dei certificati emittenti per il connettore per OPC UA
Se il certificato dell'istanza dell'applicazione del server OPC UA è firmato da un'autorità di certificazione intermedia, ma non si vuole considerare automaticamente attendibili tutti i certificati emessi dall'autorità di certificazione, è possibile usare un elenco di certificati dell'emittente per gestire la relazione di attendibilità. Questo elenco di certificati dell'autorità di certificazione archivia i certificati dell'autorità di certificazione attendibili del connettore per OPC UA.
Se il certificato dell'applicazione di un server OPC UA è firmato da un'autorità di certificazione intermedia, il connettore per OPC UA convalida l'intera catena dell'autorità di certificazione fino alla radice. L'elenco dei certificati dell'emittente deve contenere i certificati di tutte le autorità di certificazione nella catena per assicurarsi che il connettore per OPC UA possa convalidare i server OPC UA.
L'elenco dei certificati dell'emittente viene gestito nello stesso modo in cui si gestisce l'elenco dei certificati attendibili. Il nome predefinito per la risorsa personalizzata SecretProviderClass che gestisce l'elenco dei certificati dell'emittente è aio-opc-ua-broker-issuer-list.
Funzionalità supportate
La tabella seguente illustra il livello di supporto delle funzionalità per l'autenticazione nella versione corrente del connettore per OPC UA:
| Funzionalità | Significato | Simbolo |
|---|---|---|
| Configurazione del certificato dell'istanza dell'applicazione autofirmata OPC UA | Supportata | ✅ |
| Gestione dell'elenco di certificati attendibili OPC UA | Supportata | ✅ |
| Gestione degli elenchi dei certificati dell'emittente OPC UA | Supportata | ✅ |
| Configurazione del certificato di istanza dell'applicazione di livello aziendale OPC UA | Supportata | ✅ |
| Gestione dei certificati OPC UA non attendibili | Non supportato | ❌ |
| Gestione del servizio di individuazione globale OPC UA | Non supportata | ❌ |