OPC UA 用コネクタの OPC UA 証明書インフラストラクチャ
OPC UA 用コネクタは、OPC UA サーバー アプリケーションに安全に接続できる OPC UA クライアント アプリケーションです。 OPC UA のセキュリティには、次のようなものがあります。
- アプリケーション認証
- メッセージの署名
- データの暗号化
- ユーザーの認証と認可。
この記事では、アプリケーション認証と、エッジの OPC UA サーバーに安全に接続するための OPC UA 用コネクタの構成方法に焦点を当てます。 OPC UA では、すべてのアプリケーション インスタンスに X.509 証明書があり、この証明書を使用して、通信する他の OPC UA アプリケーションとの信頼関係を確立します。
OPC UA アプリケーション セキュリティの詳細については、「アプリケーション認証」を参照してください。
OPC UA 用コネクタ アプリケーション インスタンス証明書
OPC UA 用コネクタは、OPC UA クライアント アプリケーションです。 OPC UA 用コネクタは、OPC UA サーバーからテレメトリ データを収集するために確立されたすべてのセッションに対して、単一の OPC UA アプリケーション インスタンス証明書を使用します。 OPC UA 用コネクタの既定のデプロイでは、cert-manager を使用してアプリケーション インスタンス証明書を管理します。
- Cert-manager は、自己署名 OPC UA 互換証明書を生成し、Kubernetes ネイティブ シークレットとして格納します。 この証明書の既定の名前は aio-opc-opcuabroker-default-application-cert です。
- OPC UA 用コネクタは、OPC UA サーバーへの接続に使用されるすべてのポッドに、この証明書をマッピングして使用します。
- Cert-manager は、有効期限が切れる前に証明書を自動的に更新します。
既定では、OPC UA 用コネクタは、サポートされているセキュリティ レベルが最も高いエンドポイントを使用して、OPC UA サーバーに接続します。 そのため、2 つの OPC UA アプリケーション間の相互信頼ハンドシェイクを事前に確立しておく必要があります。 アプリケーション認証の相互信頼を有効にするには、次の操作が必要です。
- Kubernetes シークレット ストアから OPC UA 用コネクタのアプリケーション インスタンス証明書の公開キーをエクスポートし、OPC UA サーバーの信頼できる証明書の一覧に追加します。
- OPC UA サーバーのアプリケーション インスタンスの公開キーをエクスポートし、OPC UA 用コネクタの信頼できる証明書の一覧に追加します。
OPC UA サーバーと OPC UA 用コネクタ間の相互信頼検証が可能になりました。 操作エクスペリエンス Web UI で OPC UA サーバーの AssetEndpointProfile を構成し、操作を開始できるようになりました。
OPC UA 用コネクタの信頼済み証明書一覧
OPC UA 用コネクタで信頼され、すべての OPC UA サーバーの証明書を含む信頼できる証明書の一覧を管理する必要があります。 OPC UA サーバーとのセッションを作成するには、次の操作を行います。
- OPC UA 用コネクタは、その証明書の公開キーを送信します。
- OPC UA サーバーは、コネクタの証明書をその信頼された証明書の一覧に照らして検証します。
- コネクタは、OPC UA サーバーの証明書をその信頼された証明書の一覧に照らして検証します。
OPC UA 用コネクタで証明機関が信頼されると、証明機関によって署名された有効なアプリケーション インスタンス証明書を持つサーバーが自動的に信頼されます。
信頼された証明書を Azure Key Vault から Kubernetes クラスターに投影する方法については、「Azure IoT Operations デプロイ用のシークレットの管理」を参照してください。
信頼できる証明書の一覧を扱う SecretProviderClass カスタム リソースの既定の名前は、aio-opc-ua-broker-trust-list です。
OPC UA 用コネクタの発行者証明書一覧
OPC UA サーバーのアプリケーション インスタンス証明書が中間証明機関によって署名されているが、証明機関で発行されたすべての証明書を自動的に信頼しないようにする場合は、発行者証明書の一覧を使用して信頼関係を管理できます。 "発行者証明書の一覧" には、OPC UA 用コネクタが信頼する証明機関の証明書が格納されます。
OPC UA サーバーのアプリケーション証明書が中間証明機関によって署名された場合、OPC UA 用コネクタはルート証明機関までの CA チェーンを検証します。 発行者証明書の一覧には、OPC UA 用コネクタで OPC UA サーバーを検証できるように、チェーン内のすべての証明機関の証明書を含める必要があります。
発行者証明書の一覧は、信頼できる証明書の一覧の管理と同じ方法で管理します。 発行者証明書の一覧を扱う SecretProviderClass カスタム リソースの既定の名前は、aio-opc-ua-broker-issuer-list です。
サポートされている機能
次の表は、OPC UA 用コネクタの現在のバージョンでの、認証に対する機能のサポート レベルを示しています。
| 機能 | 意味 | 記号 |
|---|---|---|
| OPC UA 自己署名アプリケーション インスタンス証明書の構成 | サポートされています | ✅ |
| OPC UA 信頼済み証明書のリストの処理 | サポートされています | ✅ |
| OPC UA 発行者証明書リストの処理 | サポートされています | ✅ |
| OPC UA エンタープライズ グレードのアプリケーション インスタンス証明書の構成 | サポートされています | ✅ |
| OPC UA の信頼されていない証明書の処理 | サポートされていない | ❌ |
| OPC UA グローバル探索サービスの処理 | サポートされていない | ❌ |