OPC UA용 커넥터에 대한 OPC UA 인증서 인프라
OPC UA용 커넥터는 OPC UA 서버에 안전하게 연결할 수 있는 OPC UA 클라이언트 애플리케이션입니다. OPC UA의 보안에는 다음이 포함됩니다.
- 애플리케이션 인증
- 메시지 서명
- 데이터 암호화
- 사용자 인증 및 권한 부여
이 게시물에서는 애플리케이션 인증과 에지에서 OPC UA 서버에 안전하게 연결하도록 OPC UA용 커넥터를 구성하는 방법에 중점을 둡니다. OPC UA에서 모든 애플리케이션 인스턴스에는 통신하는 다른 OPC UA 애플리케이션과의 신뢰를 설정하는 데 사용하는 X.509 인증서가 있습니다.
OPC UA 애플리케이션 보안에 대해 자세히 알아보려면 애플리케이션 인증을 참조하세요.
OPC UA용 커넥터 애플리케이션 인스턴스 인증서
OPC UA용 커넥터는 OPC UA 클라이언트 애플리케이션입니다. OPC UA용 커넥터 인스턴스는 OPC UA 서버에서 원격 분석 데이터를 수집하기 위해 설정하는 모든 세션에 대해 단일 OPC UA 애플리케이션 인스턴스 인증서를 사용합니다. OPC UA용 커넥터의 기본 배포에서는 cert-manager를 사용하여 해당 애플리케이션 인스턴스 인증서를 관리합니다.
- Cert-manager는 자체 서명된 OPC UA 호환 인증서를 생성하고 이를 Kubernetes 네이티브 비밀로 저장합니다. 이 인증서의 기본 이름은 aio-opc-opcuabroker-default-application-cert입니다.
- OPC UA용 커넥터는 OPC UA 서버에 연결하는 데 사용하는 모든 Pod에 대해 이 인증서를 매핑하고 사용합니다.
- Cert-manager는 인증서가 만료되기 전에 자동으로 갱신합니다.
기본적으로 OPC UA용 커넥터는 지원되는 보안 수준이 가장 높은 엔드포인트를 사용하여 OPC UA 서버에 연결합니다. 따라서 두 OPC UA 애플리케이션 간의 상호 신뢰 핸드셰이크를 미리 설정해야 합니다. 상호 애플리케이션 인증 신뢰를 사용하도록 설정하려면 다음을 수행해야 합니다.
- Kubernetes 비밀 저장소에서 OPC UA용 커넥터 애플리케이션 인스턴스 인증서의 공개 키를 내보낸 다음 이를 OPC UA 서버의 신뢰할 수 있는 인증서 목록에 추가합니다.
- OPC UA 서버 애플리케이션 인스턴스의 공개 키를 내보낸 다음 OPC UA용 커넥터에 대한 신뢰할 수 있는 인증서 목록에 추가합니다.
이제 OPC UA 서버와 OPC UA용 커넥터 간의 상호 트러스트 유효성 검사가 가능합니다. 이제 작업 환경 웹 UI에서 OPC UA 서버에 대해 AssetEndpointProfile을 구성하고 작업을 시작할 수 있습니다.
OPC UA용 커넥터 트러스트 인증서 목록
OPC UA용 커넥터가 신뢰할 수 있는 모든 OPC UA 서버의 인증서가 포함된 신뢰할 수 있는 인증서 목록을 유지 관리해야 합니다. OPC UA 서버로 세션을 만들려면 다음을 수행합니다.
- OPC UA용 커넥터는 인증서의 공개 키를 보냅니다.
- OPC UA 서버는 신뢰할 수 있는 인증서 목록에 대해 커넥터 인증서의 유효성을 검사합니다.
- 커넥터는 신뢰할 수 있는 인증서 목록에 대해 OPC UA 서버의 인증서의 유효성을 검사합니다.
OPC UA용 커넥터가 인증 기관을 신뢰하는 경우 인증 기관이 서명한 유효한 애플리케이션 인스턴스 인증서가 있는 모든 서버를 자동으로 신뢰합니다.
Azure Key Vault에서 Kubernetes 클러스터로 신뢰할 수 있는 인증서를 프로젝션하는 방법을 알아보려면 Azure IoT Operations 배포에 대한 비밀 관리를 참조하세요.
신뢰할 수 있는 인증서 목록을 처리하는 SecretProviderClass 사용자 지정 리소스의 기본 이름은 aio-opc-ua-broker-trust-list입니다.
OPC UA용 커넥터 발급자 인증서 목록
OPC UA 서버의 애플리케이션 인스턴스 인증서가 중간 인증 기관에 의해 서명되었지만 인증 기관에서 발급한 모든 인증서를 자동으로 신뢰하지 않으려는 경우 발급자 인증서 목록을 사용하여 신뢰 관계를 관리할 수 있습니다. 이 발급자 인증서 목록에 는 OPC UA용 커넥터가 신뢰하는 인증 기관 인증서가 저장됩니다.
OPC UA 서버의 애플리케이션 인증서가 중간 인증 기관에 의해 서명된 경우 OPC UA용 커넥터는 루트까지 인증 기관의 전체 체인의 유효성을 검사합니다. 발급자 인증서 목록에는 OPC UA용 커넥터가 OPC UA 서버의 유효성을 검사할 수 있도록 체인에 있는 모든 인증 기관의 인증서가 포함되어야 합니다.
신뢰할 수 있는 인증서 목록을 관리하는 것과 동일한 방식으로 발급자 인증서 목록을 관리합니다. 발급자 인증서 목록을 처리하는 SecretProviderClass 사용자 지정 리소스의 기본 이름은 aio-opc-ua-broker-issuer-list입니다.
지원되는 기능
다음 표에서는 현재 버전의 OPC UA용 커넥터에서 인증에 대한 기능 지원 수준을 보여줍니다.
| 기능 | 의미 | 기호 |
|---|---|---|
| OPC UA 자체 서명된 애플리케이션 인스턴스 인증서 구성 | 지원됨 | ✅ |
| OPC UA 신뢰할 수 있는 인증서 목록 처리 | 지원됨 | ✅ |
| OPC UA 발급자 인증서 목록 처리 | 지원됨 | ✅ |
| OPC UA 엔터프라이즈급 애플리케이션 인스턴스 인증서 구성 | 지원됨 | ✅ |
| OPC UA 신뢰할 수 없는 인증서 처리 | 지원되지 않음 | ❌ |
| OPC UA 글로벌 검색 서비스 처리 | 지원되지 않음 | ❌ |