Certificats et clés
Vous pouvez configurer le certificat public et la clé privée du serveur ou du client dans les objets de serveur OPC UA et de client OPC UA.
Cycle de vie des certificats
Les certificats émis par une application sont auto-signés et doivent être installés avec les certificats approuvés sur le serveur et sur le client afin d'autoriser la communication. La communication est interrompue lorsque le certificat est retiré de la liste des certificats approuvés.
Vous pouvez installer le certificat d'AC séparément des certificats approuvés. Pour exclure un certificat émis par une AC, incluez le certificat dans la CRL de l'AC.
ATTENTION:
Chaque certificat d'AC doit inclure la CRL correspondante pour vérifier le certificat d'une application.
Les certificats et les CRL doivent être conformes à la norme X.509v3 avec codage binaire DER (fichiers
DER
).Pour chaque certificat, il existe une clé privée et un codage ASCII Base64 (un fichier
PEM
).Toutes les politiques de sécurité valides nécessitent la signature de certificats avec l'algorithme SHA-256 avec chiffrement RSA (2048, 3072 ou 4096). Les deux politiques déconseillées (Basic128Rsa15 et Basic256) nécessitent la signature du certificat avec l'algorithme SHA1 avec chiffrement RSA (1024 ou 2048).
Traitement des certificats
Si ces éléments sont absents, lorsque
FactoryTalk Optix Studio
génère un serveur FTOptixApplication
, il génère également un certificat public et la clé privée correspondante du serveur.
IMPORTANT:
Pour communiquer de manière sécurisée, les certificats publics client et serveur doivent être approuvés par le client et le serveur.
Lors de la conception, si vous disposez de vos propres certificats ou de certificats d’autres clients/serveurs dans le champ, vous pouvez les importer dans
FactoryTalk Optix Studio
pour les faire approuver. Pour plus d’informations, consultez Configurer les certificats approuvés lors de la conception.
CONSEIL:
Vous pouvez générer des certificats pour votre propre application dans
FactoryTalk Optix Studio
. Pour plus d’informations, consultez Créer un certificat.Si les certificats des autres clients/serveurs ne sont pas disponibles lors de la conception, vous pouvez les importer dans le projet. Ils sont approuvés lors de l'exécution une fois que le lien entre le serveur et le client est établi. Pour plus d’informations, consultez Configurer les certificats approuvés lors de l'exécution.
CONSEIL:
Le nom du certificat copié est une chaîne composée de son nom commun (Common Name, CN) et de son empreinte (signature).
Lors de la conception,
FactoryTalk Optix Studio
rejette le certificat du serveur si :- Vous utilisez un client OPC UA pour importer des nœuds à partir du serveur OPC UA.
- Le projet ne dispose pas du certificat public du serveur.
Vous pouvez importer le certificat dans le projet pour qu’il soit approuvé Configurer les certificats approuvés lors de la conception.
Fournir une réponse