Infrastructuur voor OPC UA-certificaten voor de connector voor OPC UA
De connector voor OPC UA is een OPC UA-clienttoepassing waarmee u veilig verbinding kunt maken met OPC UA-servers. In OPC UA omvat de beveiliging:
- Toepassingsverificatie
- Berichtondertekening
- Gegevensversleuteling
- Gebruikersverificatie en autorisatie.
Dit artikel is gericht op toepassingsverificatie en het configureren van de connector voor OPC UA om veilig verbinding te maken met uw OPC UA-servers aan de rand. In OPC UA heeft elk toepassingsexemplaren een X.509-certificaat dat wordt gebruikt om een vertrouwensrelatie tot stand te brengen met de andere OPC UA-toepassingen waarmee deze communiceert.
Zie Toepassingsverificatie voor meer informatie over OPC UA-toepassingsbeveiliging.
Connector voor OPC UA-toepassingsexemplarencertificaat
De connector voor OPC UA is een OPC UA-clienttoepassing. De connector voor OPC UA maakt gebruik van één OPC UA-toepassingsexemplarencertificaat voor alle sessies die worden gemaakt voor het verzamelen van telemetriegegevens van OPC UA-servers. Een standaardimplementatie van de connector voor OPC UA maakt gebruik van certificaatbeheer om het certificaat van het toepassingsexemplaren te beheren:
- Certificaatbeheer genereert een zelfondertekend OPC UA-compatibel certificaat en slaat het op als systeemeigen Kubernetes-geheim. De standaardnaam voor dit certificaat is aio-opc-opcuabroker-default-application-cert.
- De connector voor OPC UA-toewijzingen en gebruikt dit certificaat voor alle pods die worden gebruikt om verbinding te maken met OPC UA-servers.
- Certificaatbeheer vernieuwt certificaten automatisch voordat ze verlopen.
De connector voor OPC UA maakt standaard verbinding met een OPC UA-server met behulp van het eindpunt met het hoogste ondersteunde beveiligingsniveau. Daarom moet er vooraf een wederzijdse vertrouwenshanddruk tussen de twee OPC UA-toepassingen worden gemaakt. Als u wederzijdse vertrouwensrelatie voor toepassingsverificatie wilt inschakelen, moet u het volgende doen:
- Exporteer de openbare sleutel van de connector voor het CERTIFICAAT van het OPC UA-toepassingsexemplaren uit het geheimarchief van Kubernetes en voeg deze vervolgens toe aan de lijst met vertrouwde certificaten voor de OPC UA-server.
- Exporteer de openbare sleutel van het toepassingsexemplaren van de OPC UA-server en voeg deze vervolgens toe aan de lijst met vertrouwde certificaten voor de connector voor OPC UA.
Wederzijdse vertrouwensvalidatie tussen de OPC UA-server en de connector voor OPC UA is nu mogelijk. U kunt nu een AssetEndpointProfile voor de OPC UA-server configureren in de webgebruikersinterface van operations experience en ermee aan de slag gaan.
De lijst met vertrouwde certificaten voor OPC UA
U moet een lijst met vertrouwde certificaten onderhouden die de certificaten bevat van alle OPC UA-servers die de connector voor OPC UA vertrouwt. Een sessie maken met een OPC UA-server:
- De connector voor OPC UA verzendt de openbare sleutel van het certificaat.
- De OPC UA-server valideert het certificaat van de connector op basis van de lijst met vertrouwde certificaten.
- De connector valideert het certificaat van de OPC UA-server op basis van de lijst met vertrouwde certificaten.
Als de connector voor OPC UA een certificeringsinstantie vertrouwt, vertrouwt deze automatisch een server met een geldig certificaat voor het toepassingsexemplaren dat is ondertekend door de certificeringsinstantie.
Zie Geheimen beheren voor uw Azure IoT Operations-implementatie voor meer informatie over het projecteren van de vertrouwde certificaten van Azure Key Vault in het Kubernetes-cluster.
De standaardnaam voor de SecretProviderClass aangepaste resource die de lijst met vertrouwde certificaten verwerkt, is aio-opc-ua-broker-trust-list.
De lijst met certificaten voor OPC UA-verleners
Als het toepassingsexemplarencertificaat van uw OPC UA-server is ondertekend door een tussenliggende certificeringsinstantie, maar u niet automatisch alle certificaten wilt vertrouwen die zijn uitgegeven door de certificeringsinstantie, kunt u een lijst met certificaatverleners gebruiken om de vertrouwensrelatie te beheren. In deze lijst met certificaatverleners worden de certificaten van de certificeringsinstantie opgeslagen die de connector voor OPC UA vertrouwt.
Als het toepassingscertificaat van een OPC UA-server is ondertekend door een tussenliggende certificeringsinstantie, valideert de connector voor OPC UA de volledige keten van certificeringsinstanties tot aan de basis. De lijst met certificaatverleners moet de certificaten van alle certificeringsinstanties in de keten bevatten om ervoor te zorgen dat de connector voor OPC UA de OPC UA-servers kan valideren.
U beheert de lijst met certificaatverleners op dezelfde manier als u de lijst met vertrouwde certificaten beheert. De standaardnaam voor de SecretProviderClass aangepaste resource die de lijst met verlenercertificaten afhandelt, is aio-opc-ua-broker-issuer-list.
Ondersteunde functies
In de volgende tabel ziet u het ondersteuningsniveau voor functies voor verificatie in de huidige versie van de connector voor OPC UA:
| Functies | Betekenis | Symbool |
|---|---|---|
| Configuratie van zelfondertekend toepassingsexemplarencertificaat van OPC UA | Ondersteund | ✅ |
| Verwerking van de lijst met vertrouwde OPC UA-certificaten | Ondersteund | ✅ |
| Afhandeling van lijsten met CERTIFICATEN van OPC UA-verleners | Ondersteund | ✅ |
| Configuratie van opC UA-certificaat voor toepassingsexemplaren op ondernemingsniveau | Ondersteund | ✅ |
| Verwerking van niet-vertrouwde OPC UA-certificaten | Niet ondersteund | ❌ |
| Verwerking van OPC UA Global Discovery Service | Niet-ondersteund | ❌ |