Certificats et clés

Vous pouvez configurer le certificat public et la clé privée du serveur ou du client dans les objets de serveur OPC UA et de client OPC UA.

Cycle de vie des certificats

Les certificats émis par une application sont auto-signés et doivent être installés avec les certificats approuvés sur le serveur et sur le client afin d'autoriser la communication. La communication est interrompue lorsque le certificat est retiré de la liste des certificats approuvés.

Vous pouvez installer le certificat d'AC séparément des certificats approuvés. Pour exclure un certificat émis par une AC, incluez le certificat dans la CRL de l'AC.

ATTENTION: Chaque certificat d'AC doit inclure la CRL correspondante pour vérifier le certificat d'une application.

Les certificats et les CRL doivent être conformes à la norme X.509v3 avec codage binaire DER (fichiers

DER

Pour chaque certificat, il existe une clé privée et un codage ASCII Base64 (un fichier

PEM

Toutes les politiques de sécurité valides nécessitent la signature de certificats avec l'algorithme SHA-256 avec chiffrement RSA (2048, 3072 ou 4096). Les deux politiques déconseillées (Basic128Rsa15 et Basic256) nécessitent la signature du certificat avec l'algorithme SHA1 avec chiffrement RSA (1024 ou 2048).

Traitement des certificats

Si ces éléments sont absents, lorsque

FactoryTalk Optix Studio

génère un serveur

FTOptixApplication

, il génère également un certificat public et la clé privée correspondante du serveur.

IMPORTANT: Pour communiquer de manière sécurisée, les certificats publics client et serveur doivent être approuvés par le client et le serveur.

Lors de la conception, si vous disposez de vos propres certificats ou de certificats d’autres clients/serveurs dans le champ, vous pouvez les importer dans

FactoryTalk Optix Studio

pour les faire approuver. Pour plus d’informations, consultez Configurer les certificats approuvés lors de la conception.

CONSEIL: Vous pouvez générer des certificats pour votre propre application dans

FactoryTalk Optix Studio

. Pour plus d’informations, consultez Créer un certificat.

Si les certificats des autres clients/serveurs ne sont pas disponibles lors de la conception, vous pouvez les importer dans le projet. Ils sont approuvés lors de l'exécution une fois que le lien entre le serveur et le client est établi. Pour plus d’informations, consultez Configurer les certificats approuvés lors de l'exécution.

CONSEIL: Le nom du certificat copié est une chaîne composée de son nom commun (Common Name, CN) et de son empreinte (signature).

Lors de la conception,

FactoryTalk Optix Studio

rejette le certificat du serveur si :

Vous utilisez un client OPC UA pour importer des nœuds à partir du serveur OPC UA.

Le projet ne dispose pas du certificat public du serveur.

Vous pouvez importer le certificat dans le projet pour qu’il soit approuvé Configurer les certificats approuvés lors de la conception.

Sécurité des communications OPC UA

Certificats et clés dans OPC UA

Emplacement des certificats et des clés

Fournir une réponse

Vous avez des questions ou des commentaires sur cette documentation ? Veuillez envoyer vos commentaires ici.