Zertifikate und Schlüssel

Sie können das öffentliche Zertifikat und den privaten Schlüssel des Servers oder Clients in den OPC UA-Server- und -Client-Objekten einstellen.

Lebenszyklus von Zertifikaten

Die von einer Anwendung freigegebenen Zertifikate sind selbstsigniert und müssen mit den vertrauenswürdigen Zertifikaten auf dem Server und dem Client installiert werden, um die Kommunikation zu ermöglichen. Die Kommunikation wird unterbrochen, wenn das Zertifikat aus der Liste der vertrauenswürdigen Zertifikate entfernt wird.
Sie können das ZS-Zertifikat getrennt von den vertrauenswürdigen Zertifikaten installieren. Um ein von einer ZS ausgestelltes Zertifikat auszuschließen, nehmen Sie das Zertifikat in die ZS-ZSL auf.
AUFMERKSAMKEIT: Jedes ZS-Zertifikat muss die entsprechende ZSL enthalten, um das Zertifikat einer Anwendung zu überprüfen.
Zertifikate und ZSLs müssen dem Standard X.509v3 mit DER-Binärkodierung (
DER
-Dateien) entsprechen.
Für jedes Zertifikat gibt es einen privaten Schlüssel und eine Base64-ASCII-Codierung(eine
PEM
-Datei).
Alle gültigen Sicherheitsrichtlinien erfordern die Signatur von Zertifikaten mit dem SHA-256-Algorithmus mit RSA-Verschlüsselung (2048, 3072 oder 4096). Die beiden veralteten Richtlinien (Basic128Rsa15 und Basic256) verlangen, dass das Zertifikat mit dem SHA1-Algorithmus mit RSA-Verschlüsselung (1024 oder 2048) signiert wird.
Wenn
FactoryTalk Optix Studio
 einen
FTOptixApplication
-Server generiert und diese Elemente nicht vorhanden sind, werden ein öffentliches Zertifikat und der entsprechende private Schlüssel des Servers ebenfalls generiert.
WICHTIG: Die öffentlichen Zertifikate von Client und Server müssen von Client und Server als vertrauenswürdig eingestuft werden.

Import von Zertifikaten

Wenn Sie zur Entwurfszeit in diesem Feld eigene Zertifikate, Zertifikate anderer Clients oder Zertifikate anderer Server haben, können Sie diese in
FactoryTalk Optix Studio
 importieren, um sie vertrauenswürdig zu machen. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikate zur Entwurfszeit konfigurieren. Wenn ein OPC UA-Client eine Verbindung zu einem OPC UA-Server herstellt, zeigt ein Feld Informationen über das Serverzertifikat an. Wählen Sie das Serverzertifikat als vertrauenswürdig aus oder lehnen Sie das Serverzertifikat ab.
TIPP: Zertifikate für Ihre eigene Anwendung können Sie in
FactoryTalk Optix Studio
 generieren lassen. Weitere Informationen finden Sie unter Zertifikat erstellen.
Wenn die Zertifikate anderer Clients oder Server zur Entwurfszeit nicht verfügbar sind, können Sie sie zur Laufzeit in das Projekt importieren. Die Zertifikate werden zur Laufzeit vertrauenswürdig, wenn die Verbindung zwischen dem Server und dem Client hergestellt wird. Weitere Informationen finden Sie unter Vertrauenswürdige Zertifikate zur Laufzeit konfigurieren.
TIPP: Der Name des kopierten Zertifikats ist ein String, der sich aus dem allgemeinen Namen (CN) und der Fingerabdruck-Signatur zusammensetzt.

Zertifikate und Schlüssel in OPC UA

Um die Teilnehmer einer Kommunikation zu identifizieren und die Authentizität und Vertraulichkeit der ausgetauschten Meldungen zu überprüfen, muss jede OPC UA-Anwendung, einschließlich Client und Server, über ein öffentliches Zertifikat verfügen, das ein Anwendungsinstanz-Interface und ein Paar aus öffentlichem Schlüssel und privatem Schlüssel darstellt.
Der öffentliche Schlüssel wird mit dem Zertifikat verteilt. Der private Schlüssel wird nicht offengelegt.
  • Private Schlüsseldatei. Signiert zu sendende Meldungen und entschlüsselt empfangene Meldungen.
  • Öffentliche Schlüsseldatei. Überprüft die Signaturen der empfangenen Meldungen und verschlüsselt die gesendeten Meldungen.
Rückmeldung geben
Haben Sie Fragen oder Feedback zu dieser Dokumentation? Bitte geben Sie hier Ihr Feedback ab.