Udostępnij za pośrednictwem

Zarządzanie usługą certyfikatów magazynu OPC

  • Artykuł

Ważne

Chociaż aktualizujemy ten artykuł, zobacz Azure Industrial IoT ,aby uzyskać najbardziej aktualną zawartość.

W tym artykule opisano zadania administracyjne usługi zarządzania certyfikatami magazynu OPC na platformie Azure. Zawiera on informacje dotyczące odnawiania certyfikatów urzędu certyfikacji wystawcy, odnawiania listy odwołania certyfikatów (CRL) oraz sposobu udzielania i odwoływania dostępu użytkownika.

Tworzenie lub odnawianie certyfikatu głównego urzędu certyfikacji

Po wdrożeniu magazynu OPC należy utworzyć certyfikat głównego urzędu certyfikacji. Bez prawidłowego certyfikatu urzędu certyfikacji wystawcy nie można podpisać ani wystawiać certyfikatów aplikacji. Zapoznaj się z tematem Certyfikaty , aby zarządzać certyfikatami przy użyciu rozsądnych, bezpiecznych okresów istnienia. Odnów certyfikat urzędu certyfikacji wystawcy po połowie okresu istnienia. Podczas odnawiania należy również wziąć pod uwagę, że skonfigurowany okres istnienia nowo podpisanego certyfikatu aplikacji nie powinien przekraczać okresu istnienia certyfikatu urzędu certyfikacji wystawcy.

Ważne

Rola Administrator jest wymagana do utworzenia lub odnowienia certyfikatu urzędu certyfikacji wystawcy.

  1. Otwórz usługę certyfikatów pod adresem https://myResourceGroup-app.azurewebsites.neti zaloguj się.
  2. Przejdź do pozycji Grupy certyfikatów.
  3. Na liście znajduje się jedna domyślna grupa certyfikatów. Wybierz pozycję Edytuj.
  4. W obszarze Edytuj szczegóły grupy certyfikatów można zmodyfikować nazwę podmiotu i okres istnienia certyfikatów urzędu certyfikacji i aplikacji. Podmiot i okresy istnienia powinny być ustawione tylko raz przed wystawieniem pierwszego certyfikatu urzędu certyfikacji. Zmiany okresu istnienia podczas operacji mogą powodować niespójne okresy istnienia wystawionych certyfikatów i list CRL.
  5. Wprowadź prawidłowy temat (na przykład CN=My CA Root, O=MyCompany, OU=MyDepartment).

    Ważne

    Jeśli zmienisz temat, musisz odnowić certyfikat wystawcy lub usługa nie będzie mogła podpisać certyfikatów aplikacji. Temat konfiguracji jest sprawdzany względem podmiotu aktywnego certyfikatu wystawcy. Jeśli podmioty nie są zgodne, podpisywanie certyfikatu zostanie odrzucone.

  6. Wybierz pozycję Zapisz.
  7. Jeśli w tym momencie wystąpi błąd "zabronione", poświadczenia użytkownika nie mają uprawnień administratora do modyfikowania ani tworzenia nowego certyfikatu głównego. Domyślnie użytkownik, który wdrożył usługę, ma role administratora i podpisywania w usłudze. Inni użytkownicy muszą zostać dodani do ról osoby zatwierdzającej, zapisywania lub administratora, zgodnie z potrzebami w rejestracji aplikacji Azure Active Directory (Azure AD).
  8. Wybierz pozycję Szczegóły. Powinno to zawierać zaktualizowane informacje.
  9. Wybierz pozycję Odnów certyfikat urzędu certyfikacji, aby wydać pierwszy certyfikat urzędu certyfikacji wystawcy lub odnowić certyfikat wystawcy. Następnie wybierz przycisk OK.
  10. Po kilku sekundach zobaczysz szczegóły certyfikatu. Aby pobrać najnowszy certyfikat urzędu certyfikacji i listę CRL do dystrybucji do aplikacji OPC UA, wybierz pozycję Wystawca lub Lista Crl.

Teraz usługa zarządzania certyfikatami OPC UA jest gotowa do wystawiania certyfikatów dla aplikacji OPC UA.

Odnawianie listy CRL

Odnawianie listy CRL to aktualizacja, która powinna być dystrybuowana do aplikacji w regularnych odstępach czasu. Urządzenia OPC UA, które obsługują rozszerzenie X509 punktu dystrybucji listy CRL, mogą bezpośrednio zaktualizować listę CRL z punktu końcowego mikrousługi. Inne urządzenia OPC UA mogą wymagać aktualizacji ręcznych lub można je zaktualizować przy użyciu rozszerzeń wypychania serwera GDS (*) w celu zaktualizowania list zaufania za pomocą certyfikatów i list CRL.

W poniższym przepływie pracy wszystkie żądania certyfikatów w usuniętych stanach są odwoływalone w listach CRL, które odpowiadają certyfikatowi urzędu certyfikacji wystawcy, dla którego zostały wystawione. Numer wersji listy CRL jest zwiększany o 1.

Uwaga

Wszystkie wystawione listy CRL są prawidłowe do momentu wygaśnięcia certyfikatu urzędu certyfikacji wystawcy. Wynika to z faktu, że specyfikacja OPC UA nie wymaga obowiązkowego, deterministycznego modelu dystrybucji listy CRL.

Ważne

Rola Administrator jest wymagana do odnowienia listy CRL wystawcy.

  1. Otwórz usługę certyfikatów pod adresem https://myResourceGroup.azurewebsites.neti zaloguj się.
  2. Przejdź do strony Grupy certyfikatów .
  3. Wybierz pozycję Szczegóły. Powinno to zawierać bieżące informacje dotyczące certyfikatu i listy CRL.
  4. Wybierz pozycję Aktualizuj listę odwołania listy CRL (CRL), aby wydać zaktualizowaną listę CRL dla wszystkich aktywnych certyfikatów wystawcy w magazynie magazynu OPC.
  5. Po kilku sekundach zobaczysz szczegóły certyfikatu. Aby pobrać najnowszy certyfikat urzędu certyfikacji i listę CRL do dystrybucji do aplikacji OPC UA, wybierz pozycję Wystawca lub Lista Crl.

Zarządzanie rolami użytkowników

Role użytkowników dla mikrousługi usługi OPC Vault można zarządzać w aplikacji usługi Azure AD Enterprise. Aby uzyskać szczegółowy opis definicji ról, zobacz Role.

Domyślnie uwierzytelniony użytkownik w dzierżawie może zalogować się jako czytelnik. Wyższe role uprzywilejowane wymagają ręcznego zarządzania w Azure Portal lub przy użyciu programu PowerShell.

Dodaj użytkownika

  1. Otwórz witrynę Azure Portal.
  2. Przejdź do Azure Active Directory>Enterprise aplikacji.
  3. Wybierz rejestrację mikrousługi magazynu OPC Vault (domyślnie ).resourceGroupName-service
  4. Przejdź do pozycji Użytkownicy i grupy.
  5. Wybierz pozycję Dodaj użytkownika.
  6. Wybierz lub zaproś użytkownika do przypisania do określonej roli.
  7. Wybierz rolę dla użytkowników.
  8. Wybierz opcję Przypisz.
  9. W przypadku użytkowników w roli Administrator lub Osoba zatwierdzająca dodaj zasady dostępu do usługi Azure Key Vault.

Usuwanie użytkownika

  1. Otwórz witrynę Azure Portal.
  2. Przejdź do Azure Active Directory>Enterprise aplikacji.
  3. Wybierz rejestrację mikrousługi magazynu OPC Vault (domyślnie ).resourceGroupName-service
  4. Przejdź do pozycji Użytkownicy i grupy.
  5. Wybierz użytkownika z rolą do usunięcia, a następnie wybierz pozycję Usuń.
  6. W przypadku usuniętych użytkowników w roli Administrator lub Osoba zatwierdzająca usuń je również z zasad usługi Azure Key Vault.

Dodawanie zasad dostępu użytkowników do usługi Azure Key Vault

Dodatkowe zasady dostępu są wymagane dla osób zatwierdzających i administratorów.

Domyślnie tożsamość usługi ma tylko ograniczone uprawnienia dostępu do Key Vault, aby zapobiec operacjom z podwyższonym poziomem uprawnień lub zmianom, które mają być wykonywane bez personifikacji użytkownika. Podstawowe uprawnienia usługi to Pobieranie i wyświetlanie listy zarówno dla wpisów tajnych, jak i certyfikatów. W przypadku wpisów tajnych istnieje tylko jeden wyjątek: usługa może usunąć klucz prywatny z magazynu wpisów tajnych po zaakceptowaniu go przez użytkownika. Wszystkie inne operacje wymagają uprawnień personifikacji użytkownika.

W przypadku roli Osoba zatwierdzająca należy dodać następujące uprawnienia do Key Vault

  1. Otwórz witrynę Azure Portal.
  2. Przejdź do magazynu resourceGroupNameOPC , używanego podczas wdrażania.
  3. Przejdź do Key Vault resourceGroupName-xxxxx.
  4. Przejdź do pozycji Zasady dostępu.
  5. Wybierz pozycję Dodaj nowy.
  6. Pomiń szablon. Nie ma szablonu spełniającego wymagania.
  7. Wybierz pozycję Wybierz podmiot zabezpieczeń i wybierz użytkownika do dodania lub zaproś nowego użytkownika do dzierżawy.
  8. Wybierz następujące uprawnienia klucza: Pobierz, Wyświetl iPodpisz.
  9. Wybierz następujące uprawnienia wpisu tajnego: Pobierz, Wyświetl, Ustaw i Usuń.
  10. Wybierz następujące uprawnienia certyfikatu: Pobieranie i wyświetlanie listy.
  11. Wybierz przycisk OK, a następnie wybierz pozycję Zapisz.

W przypadku roli administratora należy dodać następujące uprawnienia do Key Vault

  1. Otwórz witrynę Azure Portal.
  2. Przejdź do magazynu resourceGroupNameOPC , używanego podczas wdrażania.
  3. Przejdź do Key Vault resourceGroupName-xxxxx.
  4. Przejdź do pozycji Zasady dostępu.
  5. Wybierz pozycję Dodaj nową.
  6. Pomiń szablon. Nie ma szablonu spełniającego wymagania.
  7. Wybierz pozycję Wybierz podmiot zabezpieczeń, a następnie wybierz użytkownika do dodania lub zaproś nowego użytkownika do dzierżawy.
  8. Wybierz następujące uprawnienia klucza: Pobierz, Lista i Podpisz.
  9. Wybierz następujące uprawnienia wpisu tajnego: Pobierz, Lista, Ustaw i Usuń.
  10. Wybierz następujące uprawnienia certyfikatu: Pobieranie, wyświetlanie listy, aktualizowanie, tworzenie i importowanie.
  11. Wybierz przycisk OK, a następnie wybierz pozycję Zapisz.

Usuwanie zasad dostępu użytkowników z usługi Azure Key Vault

  1. Otwórz witrynę Azure Portal.
  2. Przejdź do magazynu resourceGroupNameOPC , używanego podczas wdrażania.
  3. Przejdź do Key Vault resourceGroupName-xxxxx.
  4. Przejdź do pozycji Zasady dostępu.
  5. Znajdź użytkownika do usunięcia, a następnie wybierz pozycję Usuń.

Następne kroki

Teraz, gdy wiesz już, jak zarządzać certyfikatami i użytkownikami magazynu OPC, możesz wykonywać następujące czynności:

Bezpieczna komunikacja urządzeń OPC