Infraestrutura de certificados OPC UA para o conector para OPC UA
O conector para OPC UA é um aplicativo cliente OPC UA que permite que você se conecte com segurança aos servidores OPC UA. No OPC UA, a segurança inclui:
- Autenticação de aplicação
- Assinatura de mensagens
- Encriptação de dados
- Autenticação e autorização do usuário.
Este artigo se concentra na autenticação de aplicativos e em como configurar o conector para que o OPC UA se conecte com segurança aos servidores OPC UA na borda. No OPC UA, cada instância de aplicativo tem um certificado X.509 que usa para estabelecer confiança com os outros aplicativos OPC UA com os quais se comunica.
Para saber mais sobre a segurança de aplicativos OPC UA, consulte Autenticação de aplicativos.
Conector para certificado de instância de aplicativo OPC UA
O conector para OPC UA é um aplicativo cliente OPC UA. O conector para OPC UA faz uso de um único certificado de instância de aplicativo OPC UA para todas as sessões que estabelece para coletar dados de telemetria de servidores OPC UA. Uma implantação padrão do conector para OPC UA usa cert-manager para gerenciar seu certificado de instância de aplicativo:
- O Cert-manager gera um certificado compatível com OPC UA autoassinado e o armazena como segredo nativo do Kubernetes. O nome padrão para este certificado é aio-opc-opcuabroker-default-application-cert.
- O conector para OPC UA mapeia e usa esse certificado para todos os pods que ele usa para se conectar aos servidores OPC UA.
- O Cert-manager renova automaticamente os certificados antes que eles expirem.
Por padrão, o conector para OPC UA se conecta a um servidor OPC UA usando o ponto de extremidade com o mais alto nível de segurança suportado. Portanto, um handshake de confiança mútua entre os dois aplicativos OPC UA deve ser estabelecido previamente. Para habilitar a confiança de autenticação mútua de aplicativos, você precisa:
- Exporte a chave pública do conector para o certificado de instância do aplicativo OPC UA do repositório secreto do Kubernetes e adicione-a à lista de certificados confiáveis para o servidor OPC UA.
- Exporte a chave pública da instância de aplicativo do servidor OPC UA e adicione-a à lista de certificados confiáveis para o conector para OPC UA.
A validação de confiança mútua entre o servidor OPC UA e o conector para OPC UA agora é possível. Agora você pode configurar um AssetEndpointProfile para o servidor OPC UA na interface do usuário da Web da experiência de operações e começar a trabalhar com ele.
O conector para a lista de certificados confiáveis OPC UA
Você precisa manter uma lista de certificados confiáveis que contenha os certificados de todos os servidores OPC UA nos quais o conector do OPC UA confia. Para criar uma sessão com um servidor OPC UA:
- O conector para OPC UA envia a chave pública do certificado.
- O servidor OPC UA valida o certificado do conector em relação à sua lista de certificados confiáveis.
- O conector valida o certificado do servidor OPC UA em relação à sua lista de certificados confiáveis.
Se o conector para OPC UA confiar em uma autoridade de certificação, ele confiará automaticamente em qualquer servidor que tenha um certificado de instância de aplicativo válido assinado pela autoridade de certificação.
Para saber como projetar os certificados confiáveis do Cofre da Chave do Azure no cluster do Kubernetes, consulte Gerenciar segredos para sua implantação do Azure IoT Operations.
O nome padrão para o SecretProviderClass recurso personalizado que lida com a lista de certificados confiáveis é aio-opc-ua-broker-trust-list.
O conector para a lista de certificados de emissor OPC UA
Se o certificado de instância de aplicativo do servidor OPC UA for assinado por uma autoridade de certificação intermediária, mas você não quiser confiar automaticamente em todos os certificados emitidos pela autoridade de certificação, poderá usar uma lista de certificados de emissor para gerenciar a relação de confiança. Esta lista de certificados de emissor armazena os certificados de autoridade de certificação nos quais o conector para OPC UA confia.
Se o certificado de aplicativo de um servidor OPC UA for assinado por uma autoridade de certificação intermediária, o conector para OPC UA validará toda a cadeia de autoridades de certificação até a raiz. A lista de certificados do emissor deve conter os certificados de todas as autoridades de certificação na cadeia para garantir que o conector para OPC UA possa validar os servidores OPC UA.
Você gerencia a lista de certificados do emissor da mesma forma que gerencia a lista de certificados confiáveis. O nome padrão para o SecretProviderClass recurso personalizado que lida com a lista de certificados do emissor é aio-opc-ua-broker-issuer-list.
Funcionalidades suportadas
A tabela a seguir mostra o nível de suporte de recurso para autenticação na versão atual do conector para OPC UA:
| Funcionalidades | Significado | Símbolo |
|---|---|---|
| Configuração do certificado de instância de aplicativo autoassinado OPC UA | Suportado | ✅ |
| Tratamento da lista de certificados confiáveis OPC UA | Suportado | ✅ |
| Tratamento de listas de certificados de emissor OPC UA | Suportado | ✅ |
| Configuração do certificado de instância de aplicativo de nível empresarial OPC UA | Suportado | ✅ |
| Tratamento de certificados não confiáveis OPC UA | Não suportado | ❌ |
| Tratamento do OPC UA Global Discovery Service | Não suportado | ❌ |