OPC UA-certifikatinfrastruktur för anslutningsappen för OPC UA
Anslutningsappen för OPC UA är ett OPC UA-klientprogram som gör att du kan ansluta säkert till OPC UA-servrar. I OPC UA omfattar säkerheten:
- Programautentisering
- Meddelandesignering
- Datakryptering
- Användarautentisering och auktorisering.
Den här artikeln fokuserar på programautentisering och hur du konfigurerar anslutningsappen för OPC UA för säker anslutning till dina OPC UA-servrar vid gränsen. I OPC UA har varje programinstans ett X.509-certifikat som används för att upprätta förtroende med de andra OPC UA-program som den kommunicerar med.
Mer information om OPC UA-programsäkerhet finns i Programautentisering.
Anslutningsapp för OPC UA-programinstanscertifikat
Anslutningsappen för OPC UA är ett OPC UA-klientprogram. Anslutningsappen för OPC UA använder ett enda OPC UA-programinstanscertifikat för alla sessioner som upprättas för att samla in telemetridata från OPC UA-servrar. En standarddistribution av anslutningsappen för OPC UA använder cert-manager för att hantera dess programinstanscertifikat:
- Cert-manager genererar ett självsignerat OPC UA-kompatibelt certifikat och lagrar det som Kubernetes interna hemlighet. Standardnamnet för det här certifikatet är aio-opc-opcuabroker-default-application-cert.
- Anslutningsappen för OPC UA mappar och använder det här certifikatet för alla poddar som används för att ansluta till OPC UA-servrar.
- Cert-manager förnyar automatiskt certifikat innan de upphör att gälla.
Som standard ansluter anslutningsappen för OPC UA till en OPC UA-server med hjälp av slutpunkten med den högsta säkerhetsnivån som stöds. Därför måste ett ömsesidigt förtroende mellan de två OPC UA-programmen upprättas i förväg. Om du vill aktivera förtroende för ömsesidig programautentisering måste du:
- Exportera den offentliga nyckeln för anslutningsappen för OPC UA-programinstanscertifikatet från Kubernetes hemliga arkiv och lägg sedan till den i listan över betrodda certifikat för OPC UA-servern.
- Exportera den offentliga nyckeln för OPC UA-serverns programinstans och lägg sedan till den i listan över betrodda certifikat för anslutningsprogrammet för OPC UA.
Ömsesidig förtroendevalidering mellan OPC UA-servern och anslutningsappen för OPC UA är nu möjlig. Nu kan du konfigurera en AssetEndpointProfile för OPC UA-servern i driftupplevelsens webbgränssnitt och börja arbeta med den.
Anslutningsappen för listan över betrodda OPC UA-certifikat
Du måste ha en lista över betrodda certifikat som innehåller certifikaten för alla OPC UA-servrar som anslutningsappen för OPC UA litar på. Så här skapar du en session med en OPC UA-server:
- Anslutningsappen för OPC UA skickar certifikatets offentliga nyckel.
- OPC UA-servern verifierar anslutningsappens certifikat mot listan över betrodda certifikat.
- Anslutningsappen validerar OPC UA-serverns certifikat mot listan över betrodda certifikat.
Om anslutningsappen för OPC UA litar på en certifikatutfärdare, litar den automatiskt på alla servrar som har ett giltigt programinstanscertifikat signerat av certifikatutfärdare.
Information om hur du projicerar betrodda certifikat från Azure Key Vault till Kubernetes-klustret finns i Hantera hemligheter för din Azure IoT Operations-distribution.
Standardnamnet för den SecretProviderClass anpassade resursen som hanterar listan över betrodda certifikat är aio-opc-ua-broker-trust-list.
Listan över certifikat för OPC UA-utfärdare
Om din OPC UA-servers programinstanscertifikat är signerat av en mellanliggande certifikatutfärdare, men du inte vill lita på alla certifikat som utfärdats av certifikatutfärdaren automatiskt, kan du använda en utfärdarcertifikatlista för att hantera förtroenderelationen. Den här utfärdarcertifikatlistan lagrar certifikatutfärdarcertifikaten som anslutningsappen för OPC UA litar på.
Om programcertifikatet för en OPC UA-server signeras av en mellanliggande certifikatutfärdare validerar anslutningsappen för OPC UA hela kedjan av certifikatutfärdare fram till roten. Utfärdarcertifikatlistan bör innehålla certifikat för alla certifikatutfärdare i kedjan för att säkerställa att anslutningsappen för OPC UA kan verifiera OPC UA-servrarna.
Du hanterar utfärdarcertifikatlistan på samma sätt som du hanterar listan över betrodda certifikat. Standardnamnet för den SecretProviderClass anpassade resurs som hanterar listan med utfärdarcertifikat är aio-opc-ua-broker-issuer-list.
Funktioner som stöds
I följande tabell visas funktionsstödsnivån för autentisering i den aktuella versionen av anslutningsappen för OPC UA:
| Funktioner | Innebörd | Symbol |
|---|---|---|
| Konfiguration av självsignerat OPC UA-programinstanscertifikat | Stöds | ✅ |
| Hantering av listan över betrodda OPC UA-certifikat | Stöds | ✅ |
| Hantering av OPC UA-utfärdarcertifikatlistor | Stöds | ✅ |
| Konfiguration av programinstanscertifikat i OPC UA-företagsklass | Stöds | ✅ |
| Hantering av OPC UA-ej betrodda certifikat | Stöd saknas | ❌ |
| Hantering av OPC UA Global Discovery Service | Stöds inte | ❌ |