Udostępnij za pośrednictwem

Korzystanie z usługi zarządzania certyfikatami magazynu OPC

  • Artykuł

Ważne

Chociaż aktualizujemy ten artykuł, zobacz Azure Industrial IoT (Azure Industrial IoT ), aby uzyskać najbardziej aktualną zawartość.

W tym artykule wyjaśniono, jak rejestrować aplikacje i jak wystawiać podpisane certyfikaty aplikacji dla urządzeń OPC UA.

Wymagania wstępne

Wdrażanie usługi zarządzania certyfikatami

Najpierw wdróż usługę w chmurze platformy Azure. Aby uzyskać szczegółowe informacje, zobacz Wdrażanie usługi zarządzania certyfikatami magazynu OPC.

Tworzenie certyfikatu urzędu certyfikacji wystawcy

Jeśli jeszcze tego nie zrobiono, utwórz certyfikat urzędu certyfikacji wystawcy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie certyfikatu wystawcy dla magazynu OPC i zarządzanie nim.

Zabezpieczanie aplikacji OPC UA

Krok 1. Rejestrowanie aplikacji OPC UA

Ważne

Do zarejestrowania aplikacji jest wymagana rola składnika zapisywania.

  1. Otwórz usługę certyfikatów pod adresem https://myResourceGroup-app.azurewebsites.neti zaloguj się.

  2. Przejdź do pozycji Zarejestruj nową. W przypadku rejestracji aplikacji użytkownik musi mieć przypisaną co najmniej rolę składnika zapisywania.

  3. Formularz wpisu jest zgodny z konwencjami nazewnictwa w OPC UA. Na przykład na poniższym zrzucie ekranu przedstawiono ustawienia przykładowego serwera referencyjnego OPC UA w stosie OPC UA .NET Standard:

    Zrzut ekranu przedstawiający rejestrację serwera referencyjnego UA dla rejestracji

  4. Wybierz pozycję Zarejestruj , aby zarejestrować aplikację w bazie danych aplikacji usługi certyfikatów. Przepływ pracy bezpośrednio prowadzi użytkownika do następnego kroku w celu zażądania podpisanego certyfikatu dla aplikacji.

Krok 2. Zabezpieczanie aplikacji przy użyciu certyfikatu aplikacji podpisanej przez urząd certyfikacji

Zabezpiecz aplikację OPC UA, wystawiając podpisany certyfikat na podstawie żądania podpisania certyfikatu (CSR). Alternatywnie możesz zażądać nowej pary kluczy, która zawiera nowy klucz prywatny w formacie PFX lub PEM. Aby uzyskać informacje na temat metody obsługiwanej przez aplikację, zobacz dokumentację urządzenia OPC UA. Ogólnie rzecz biorąc, zalecana jest metoda CSR, ponieważ nie wymaga przekazania klucza prywatnego za pośrednictwem przewodu.

Żądanie nowego certyfikatu przy użyciu nowego klucza

  1. Przejdź do pozycji Aplikacje.

  2. Wybierz pozycję Nowe żądanie dla wyświetlonej aplikacji.

    Zrzut ekranu przedstawiający żądanie nowego certyfikatu —

  3. Wybierz pozycję Zażądaj nowego kluczaPair i certyfikatu , aby zażądać klucza prywatnego i nowego podpisanego certyfikatu z kluczem publicznym dla aplikacji.

    Zrzut ekranu przedstawiający generowanie nowej pary kluczy keyPair i certyfikatu

  4. Wypełnij formularz tematem i nazwami domen. Dla klucza prywatnego wybierz pozycję PEM lub PFX z hasłem. Wybierz pozycję Generuj nowy kluczPair , aby utworzyć żądanie certyfikatu.

    Zrzut ekranu przedstawiający ekran Wyświetl szczegóły żądania certyfikatu i przycisk Generuj nowy kluczPair.

  5. Zatwierdzenie wymaga użytkownika z rolą Osoba zatwierdzająca i z uprawnieniami do podpisywania w usłudze Azure Key Vault. W typowym przepływie pracy role Osoba zatwierdzająca i Osoba żądająca powinny być przypisane do różnych użytkowników. Wybierz pozycję Zatwierdź lub Odrzuć , aby rozpocząć lub anulować rzeczywiste utworzenie pary kluczy i operację podpisywania. Nowa para kluczy jest tworzona i przechowywana bezpiecznie w usłudze Azure Key Vault do momentu pobrania przez osoby żądającego certyfikatu. Wynikowy certyfikat z kluczem publicznym jest podpisany przez urząd certyfikacji. Wykonanie tych operacji może potrwać kilka sekund.

    Zrzut ekranu przedstawiający wyświetlanie szczegółów żądania certyfikatu z komunikatem o zatwierdzeniu w dolnej parze

  6. Wynikowy klucz prywatny (PFX lub PEM) i certyfikat (DER) można pobrać tutaj w formacie wybranym jako plik binarny do pobrania. Dostępna jest również zakodowana w formacie Base64 wersja, na przykład w celu skopiowania i wklejania certyfikatu do wiersza polecenia lub wpisu tekstowego.

  7. Po pobraniu i bezpiecznym zapisaniu klucza prywatnego możesz wybrać pozycję Usuń klucz prywatny. Certyfikat z kluczem publicznym pozostaje dostępny do użycia w przyszłości.

  8. Ze względu na użycie certyfikatu podpisanego przez urząd certyfikacji certyfikat certyfikatu i listy odwołania certyfikatów (CRL) należy również pobrać tutaj.

Teraz zależy to od urządzenia OPC UA, jak zastosować nową parę kluczy. Zazwyczaj certyfikat urzędu certyfikacji i lista CRL są kopiowane do trusted folderu, podczas gdy klucze publiczne i prywatne certyfikatu aplikacji są stosowane do own folderu w magazynie certyfikatów. Niektóre urządzenia mogą już obsługiwać wypychanie serwera na potrzeby aktualizacji certyfikatów. Zapoznaj się z dokumentacją urządzenia OPC UA.

Żądanie nowego certyfikatu za pomocą żądania CSR

  1. Przejdź do pozycji Aplikacje.

  2. Wybierz pozycję Nowe żądanie dla wyświetlonej aplikacji.

    Zrzut ekranu przedstawiający żądanie nowego certyfikatu —

  3. Wybierz pozycję Zażądaj nowego certyfikatu z żądaniem podpisania , aby zażądać nowego podpisanego certyfikatu dla aplikacji.

    Zrzut ekranu przedstawiający generowanie nowego certyfikatu

  4. Przekaż żądanie CSR, wybierając plik lokalny lub wklejając zakodowany w formularzu plik CSR zakodowany w formacie base64. Wybierz pozycję Generuj nowy certyfikat.

    Zrzut ekranu przedstawiający wyświetlanie szczegółów żądania certyfikatu

  5. Zatwierdzenie wymaga użytkownika z rolą Osoba zatwierdzająca i z uprawnieniami do podpisywania w usłudze Azure Key Vault. Wybierz pozycję Zatwierdź lub Odrzuć , aby rozpocząć lub anulować rzeczywistą operację podpisywania. Wynikowy certyfikat z kluczem publicznym jest podpisany przez urząd certyfikacji. Wykonanie tej operacji może potrwać kilka sekund.

    Zrzut ekranu przedstawiający szczegóły żądania certyfikatu wyświetl i zawiera komunikat o zatwierdzeniu u dołu.

  6. Wynikowy certyfikat (DER) można pobrać tutaj jako plik binarny. Dostępna jest również zakodowana w formacie Base64 wersja, na przykład w celu skopiowania i wklejania certyfikatu do wiersza polecenia lub wpisu tekstowego.

  7. Po pobraniu i bezpiecznym zapisaniu certyfikatu możesz wybrać pozycję Usuń certyfikat.

  8. Ze względu na użycie certyfikatu podpisanego przez urząd certyfikacji certyfikat certyfikatu urzędu certyfikacji i listy CRL należy również pobrać tutaj.

Teraz zależy to od urządzenia OPC UA, jak zastosować nowy certyfikat. Zazwyczaj certyfikat urzędu certyfikacji i lista CRL są kopiowane do trusted folderu, podczas gdy certyfikat aplikacji jest stosowany do own folderu w magazynie certyfikatów. Niektóre urządzenia mogą już obsługiwać wypychanie serwera na potrzeby aktualizacji certyfikatów. Zapoznaj się z dokumentacją urządzenia OPC UA.

Krok 3. Zabezpieczanie urządzenia

Urządzenie OPC UA jest teraz gotowe do komunikowania się z innymi urządzeniami OPC UA zabezpieczonymi certyfikatami podpisanymi przez urząd certyfikacji bez dalszej konfiguracji.

Następne kroki

Teraz, gdy wiesz już, jak zabezpieczyć urządzenia OPC UA, możesz:

Uruchamianie bezpiecznej usługi zarządzania certyfikatami