Certificados y claves

Puede establecer el certificado público y la clave privada del servidor o cliente en el servidor OPC UA y en objetos de cliente OPC UA.

Ciclo de vida de los certificados

Los certificados liberados por una aplicación son autofirmados y deben instalarse con los certificados de confianza en el servidor y en el cliente para permitir la comunicación. La comunicación se interrumpe cuando se retira el certificado de la lista de confianza.

Puede instalar el certificado de CA por separado de los certificados de confianza. Para excluir un certificado emitido por una CA, incluya el certificado en la lista CRL de la CA.

ATENCIÓN: Cada certificado de CA debe incluir la lista CRL correspondiente para verificar el certificado de una aplicación.

Los certificados y las CRL deben cumplir con el estándar X.509v3 con codificación binaria DER (archivos

DER

Para cada certificado, existe una clave privada y una codificación ASCII Base64 (un archivo

PEM

Todas las políticas de seguridad válidas requieren la firma de los certificados con el algoritmo SHA-256 con cifrado RSA (2048, 3072 o 4096). Las dos políticas en desuso (Basic128Rsa15 y Basic256) requieren que el certificado se firme con el algoritmo SHA1 con cifrado RSA (1024 o 2048).

Procesamiento de certificados

Si estos elementos no están presentes, cuando

FactoryTalk Optix Studio

genera un servidor

FTOptixApplication

, también genera un certificado público y la clave privada correspondiente del servidor.

IMPORTANTE: Para comunicarse de forma segura, los certificados públicos de cliente y servidor deben ser considerados de confianza por el cliente y el servidor.

En tiempo de diseño, si tiene sus propios certificados o certificados de otros clientes/servidores en el campo, puede importarlos en

FactoryTalk Optix Studio

para que pasen a ser de confianza. Para obtener más información, consulte Configurar los certificados de confianza en tiempo de diseño.

CONSEJO: Puede generar certificados para su propia aplicación en

FactoryTalk Optix Studio

. Para obtener más información, consulte Crear un certificado.

Si los certificados de otros clientes o servidores no están disponibles en tiempo de diseño, puede importarlos en el proyecto. Los certificados serán de confianza en tiempo de ejecución cuando se establezca el vínculo entre el servidor y el cliente. Para obtener más información, consulte Configurar los certificados de confianza en tiempo de ejecución.

CONSEJO: El nombre del certificado copiado es una cadena compuesta por su nombre común (CN) y la huella digital (firma).

En tiempo de diseño,

FactoryTalk Optix Studio

rechaza el certificado del servidor si:

Está utilizando un cliente OPC UA para importar nodos desde el servidor OPC UA.

El proyecto no tiene el certificado público para el servidor.

Puede importar el certificado en el proyecto para hacer que sea de confianza Configurar los certificados de confianza en tiempo de diseño.

Seguridad de las comunicaciones OPC UA

Certificados y claves en OPC UA

Ubicación de certificados y claves

Entregue su opinión

¿Tiene dudas o comentarios acerca de esta documentación? Por favor deje su opinión aquí.