Zertifikate und Schlüssel
Sie können das öffentliche Zertifikat und den privaten Schlüssel des Servers oder Clients in den OPC UA-Server- und -Client-Objekten einstellen.
Lebenszyklus von Zertifikaten
Die von einer Anwendung freigegebenen Zertifikate sind selbstsigniert und müssen mit den vertrauenswürdigen Zertifikaten auf dem Server und dem Client installiert werden, um die Kommunikation zu ermöglichen. Die Kommunikation wird unterbrochen, wenn das Zertifikat aus der Liste der vertrauenswürdigen Zertifikate entfernt wird.
Sie können das ZS-Zertifikat getrennt von den vertrauenswürdigen Zertifikaten installieren. Um ein von einer ZS ausgestelltes Zertifikat auszuschließen, nehmen Sie das Zertifikat in die ZS-ZSL auf.
AUFMERKSAMKEIT:
Jedes ZS-Zertifikat muss die entsprechende ZSL enthalten, um das Zertifikat einer Anwendung zu überprüfen.
Zertifikate und ZSLs müssen dem Standard X.509v3 mit DER-Binärkodierung (
DER
-Dateien) entsprechen.Für jedes Zertifikat gibt es einen privaten Schlüssel und eine Base64-ASCII-Codierung(eine
PEM
-Datei).Alle gültigen Sicherheitsrichtlinien erfordern die Signatur von Zertifikaten mit dem SHA-256-Algorithmus mit RSA-Verschlüsselung (2048, 3072 oder 4096). Die beiden veralteten Richtlinien (Basic128Rsa15 und Basic256) verlangen, dass das Zertifikat mit dem SHA1-Algorithmus mit RSA-Verschlüsselung (1024 oder 2048) signiert wird.
Wenn diese Elemente nicht vorhanden sind, generiert
FactoryTalk Optix Studio
bei der Erzeugung eines FTOptixApplication
-Servers auch ein öffentliches Zertifikat und den entsprechenden privaten Schlüssel des Servers.
WICHTIG:
Die öffentlichen Zertifikate von Client und Server müssen von Client und Server als vertrauenswürdig eingestuft werden.
Import von Zertifikaten
Wenn Sie zur Entwurfszeit eigene Zertifikate oder Zertifikate anderer Clients oder Server im Feld haben, können Sie diese in
FactoryTalk Optix Studio
importieren, um sie vertrauenswürdig zu machen. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikate zur Entwurfszeit konfigurieren. Wenn ein OPC UA-Client eine Verbindung zu einem OPC UA-Server herstellt, zeigt ein Feld Informationen über das Serverzertifikat an. Wählen Sie das Serverzertifikat als vertrauenswürdig aus oder lehnen Sie das Serverzertifikat ab.
TIPP:
Sie können in
FactoryTalk Optix Studio
Zertifikate für Ihre eigene Anwendung erzeugen. Weitere Informationen finden Sie unter Zertifikat erstellen.Wenn die Zertifikate anderer Clients oder Server zur Entwurfszeit nicht verfügbar sind, können Sie sie zur Laufzeit in das Projekt importieren. Die Zertifikate werden zur Laufzeit vertrauenswürdig, wenn die Verbindung zwischen dem Server und dem Client hergestellt wird. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikate zur Laufzeit konfigurieren.
TIPP:
Der Name des kopierten Zertifikats ist ein String, der sich aus dem allgemeinen Namen (CN) und der Fingerabdruck-Signatur zusammensetzt.
Zertifikate und Schlüssel in OPC UA
Um die Teilnehmer einer Kommunikation zu identifizieren und die Authentizität und Vertraulichkeit der ausgetauschten Meldungen zu überprüfen, muss jede OPC UA-Anwendung, einschließlich Client und Server, über ein öffentliches Zertifikat verfügen, das ein Anwendungsinstanz-Interface und ein Paar aus öffentlichem Schlüssel und privatem Schlüssel darstellt.
Der öffentliche Schlüssel wird mit dem Zertifikat verteilt. Der private Schlüssel wird nicht offengelegt.
- Private Schlüsseldatei. Signiert zu sendende Meldungen und entschlüsselt empfangene Meldungen.
- Öffentliche Schlüsseldatei. Überprüft die Signaturen der empfangenen Meldungen und verschlüsselt die gesendeten Meldungen.
Rückmeldung geben