Certificados y claves
Puede establecer el certificado público y la clave privada del servidor o cliente en el servidor OPC UA y en objetos de cliente OPC UA.
Ciclo de vida de los certificados
Los certificados liberados por una aplicación son autofirmados y deben instalarse con los certificados de confianza en el servidor y en el cliente para permitir la comunicación. La comunicación se interrumpe cuando se retira el certificado de la lista de confianza.
Puede instalar el certificado de CA por separado de los certificados de confianza. Para excluir un certificado emitido por una CA, incluya el certificado en la lista CRL de la CA.
ATENCIÓN:
Cada certificado de CA debe incluir la lista CRL correspondiente para verificar el certificado de una aplicación.
Los certificados y las CRL deben cumplir con el estándar X.509v3 con codificación binaria DER (archivos
DER
).Para cada certificado, existe una clave privada y una codificación ASCII Base64 (un archivo
PEM
).Todas las políticas de seguridad válidas requieren la firma de los certificados con el algoritmo SHA-256 con cifrado RSA (2048, 3072 o 4096). Las dos políticas en desuso (Basic128Rsa15 y Basic256) requieren que el certificado se firme con el algoritmo SHA1 con cifrado RSA (1024 o 2048).
Si no hay elementos, cuando
FactoryTalk Optix Studio
genera un servidor FTOptixApplication
, también genera un certificado público y la clave privada correspondiente del servidor.
IMPORTANTE:
Para comunicarse de forma segura, los certificados públicos de cliente y servidor deben ser considerados de confianza por el cliente y el servidor.
Importación de certificados
En tiempo de diseño, si tiene sus propios certificados o certificados de otros clientes/servidores en el campo, puede importarlos en
FactoryTalk Optix Studio
para que pasen a ser de confianza. Para obtener más información, consulte Configurar los certificados de confianza en tiempo de diseño. Cuando un cliente OPC UA se conecta a un servidor OPC UA, un cuadro de diálogo muestra información sobre el certificado del servidor. Seleccione el certificado del servidor de confianza o rechace el certificado del servidor.
CONSEJO:
Puede generar certificados para su propia aplicación en
FactoryTalk Optix Studio
. Para obtener más información, consulte Crear un certificado.Si los certificados de otros clientes o servidores no están disponibles en tiempo de diseño, puede importarlos en el proyecto en tiempo de ejecución. Los certificados serán de confianza en tiempo de ejecución cuando se establezca el vínculo entre el servidor y el cliente. Para obtener más información, consulte Configurar los certificados de confianza en tiempo de ejecución.
CONSEJO:
El nombre del certificado copiado es una cadena compuesta por su nombre común (CN) y la huella digital (firma).
Certificados y claves en OPC UA
Para identificar a los participantes en una comunicación y verificar la autenticidad y confidencialidad de los mensajes intercambiados, cada aplicación OPC UA, incluidos el cliente y el servidor, debe tener un certificado público que sea una interfaz de instancia de aplicación y un par de clave pública/clave privada.
La clave pública se distribuye con el certificado. La clave privada no se da a conocer.
- Archivo de clave privada. Firma los mensajes que se van a enviar y descifra los mensajes recibidos.
- Archivo de clave pública. Verifica las firmas de los mensajes recibidos y cifra los mensajes enviados.
Entregue su opinión