Infrastruktura certyfikatów OPC UA dla łącznika dla OPC UA
Łącznik OPC UA to aplikacja kliencka OPC UA, która umożliwia bezpieczne łączenie się z serwerami OPC UA. W usłudze OPC UA zabezpieczenia obejmują:
- Uwierzytelnianie aplikacji
- Podpisywanie wiadomości
- Szyfrowanie danych
- Uwierzytelnianie i autoryzacja użytkownika.
W tym artykule opisano uwierzytelnianie aplikacji i sposób konfigurowania łącznika dla protokołu OPC UA w celu bezpiecznego łączenia się z serwerami OPC UA na brzegu sieci. W usłudze OPC UA każde wystąpienie aplikacji ma certyfikat X.509 używany do ustanawiania zaufania z innymi aplikacjami OPC UA, z którymi komunikuje się.
Aby dowiedzieć się więcej na temat zabezpieczeń aplikacji OPC UA, zobacz Uwierzytelnianie aplikacji.
Łącznik dla certyfikatu wystąpienia aplikacji OPC UA
Łącznik OPC UA to aplikacja kliencka OPC UA. Łącznik OPC UA korzysta z jednego certyfikatu wystąpienia aplikacji OPC UA dla wszystkich sesji ustanawianych w celu zbierania danych telemetrycznych z serwerów OPC UA. Domyślne wdrożenie łącznika dla OPC UA używa menedżera certyfikatów do zarządzania certyfikatem wystąpienia aplikacji:
- Narzędzie Cert-manager generuje certyfikat zgodny z protokołem OPC UA i przechowuje go jako natywny wpis tajny platformy Kubernetes. Domyślną nazwą tego certyfikatu jest aio-opc-opcuabroker-default-application-cert.
- Łącznik map OPC UA i używa tego certyfikatu dla wszystkich zasobników używanych do nawiązywania połączenia z serwerami OPC UA.
- Menedżer certyfikatów automatycznie odnawia certyfikaty przed ich wygaśnięciem.
Domyślnie łącznik OPC UA łączy się z serwerem OPC UA przy użyciu punktu końcowego z najwyższym obsługiwanym poziomem zabezpieczeń. W związku z tym należy wcześniej ustanowić uzgadnianie wzajemnego zaufania między dwoma aplikacjami OPC UA. Aby włączyć wzajemne zaufanie do uwierzytelniania aplikacji, należy:
- Wyeksportuj klucz publiczny łącznika dla certyfikatu wystąpienia aplikacji OPC UA z magazynu wpisów tajnych Kubernetes, a następnie dodaj go do listy zaufanych certyfikatów dla serwera OPC UA.
- Wyeksportuj klucz publiczny wystąpienia aplikacji serwera OPC UA, a następnie dodaj go do listy zaufanych certyfikatów dla łącznika OPC UA.
Weryfikacja wzajemnego zaufania między serwerem OPC UA a łącznikiem OPC UA jest teraz możliwa. Teraz możesz skonfigurować AssetEndpointProfile serwer OPC UA w internetowym interfejsie użytkownika środowiska operacji i rozpocząć pracę z nim.
Łącznik listy zaufanych certyfikatów OPC UA
Należy zachować listę zaufanych certyfikatów zawierającą certyfikaty wszystkich serwerów OPC UA, którym łącznik ufa OPC UA. Aby utworzyć sesję z serwerem OPC UA:
- Łącznik OPC UA wysyła klucz publiczny certyfikatu.
- Serwer OPC UA weryfikuje certyfikat łącznika na liście zaufanych certyfikatów.
- Łącznik weryfikuje certyfikat serwera OPC UA na liście zaufanych certyfikatów.
Jeśli łącznik OPC UA ufa urzędowi certyfikacji, automatycznie ufa każdemu serwerowi z prawidłowym certyfikatem wystąpienia aplikacji podpisanym przez urząd certyfikacji.
Aby dowiedzieć się, jak projektować zaufane certyfikaty z usługi Azure Key Vault do klastra Kubernetes, zobacz Zarządzanie wpisami tajnymi dla wdrożenia operacji usługi Azure IoT.
Domyślna nazwa zasobu niestandardowego obsługującego SecretProviderClass listę zaufanych certyfikatów to aio-opc-ua-broker-trust-list.
Łącznik dla listy certyfikatów wystawców OPC UA
Jeśli certyfikat wystąpienia aplikacji serwera OPC UA jest podpisany przez pośredni urząd certyfikacji, ale nie chcesz automatycznie ufać wszystkim certyfikatom wystawionym przez urząd certyfikacji, możesz użyć listy certyfikatów wystawcy do zarządzania relacją zaufania. Ta lista certyfikatów wystawcy przechowuje certyfikaty urzędu certyfikacji, którym łącznik ufa OPC UA.
Jeśli certyfikat aplikacji serwera OPC UA jest podpisany przez pośredni urząd certyfikacji, łącznik OPC UA weryfikuje pełny łańcuch urzędów certyfikacji do katalogu głównego. Lista certyfikatów wystawcy powinna zawierać certyfikaty wszystkich urzędów certyfikacji w łańcuchu, aby upewnić się, że łącznik OPC UA może zweryfikować serwery OPC UA.
Zarządzasz listą certyfikatów wystawcy w taki sam sposób, jak zarządzasz listą zaufanych certyfikatów. Domyślna nazwa zasobu niestandardowego obsługującego SecretProviderClass listę certyfikatów wystawcy to aio-opc-ua-broker-issuer-list.
Obsługiwane funkcje
W poniższej tabeli przedstawiono poziom obsługi funkcji uwierzytelniania w bieżącej wersji łącznika dla OPC UA:
| Funkcje | Znaczenie | Symbol |
|---|---|---|
| Konfiguracja certyfikatu wystąpienia aplikacji z podpisem własnym OPC UA | Obsługiwane | ✅ |
| Obsługa listy zaufanych certyfikatów OPC UA | Obsługiwane | ✅ |
| Obsługa list certyfikatów wystawcy OPC UA | Obsługiwane | ✅ |
| Konfiguracja certyfikatu wystąpienia aplikacji klasy korporacyjnej OPC UA | Obsługiwane | ✅ |
| Obsługa niezaufanych certyfikatów OPC UA | Nieobsługiwane | ❌ |
| Obsługa globalnej usługi odnajdywania OPC UA | Nieobsługiwane | ❌ |