Certificats et clés

Vous pouvez configurer le certificat public et la clé privée du serveur ou du client dans les objets de serveur OPC UA et de client OPC UA.

Cycle de vie des certificats

Les certificats émis par une application sont auto-signés et doivent être installés avec les certificats approuvés sur le serveur et sur le client afin d'autoriser la communication. La communication est interrompue lorsque le certificat est retiré de la liste des certificats approuvés.
Vous pouvez installer le certificat d'AC séparément des certificats approuvés. Pour exclure un certificat émis par une AC, incluez le certificat dans la CRL de l'AC.
ATTENTION: Chaque certificat d'AC doit inclure la CRL correspondante pour vérifier le certificat d'une application.
Les certificats et les CRL doivent être conformes à la norme X.509v3 avec codage binaire DER (fichiers
DER
).
Pour chaque certificat, il existe une clé privée et un codage ASCII Base64 (un fichier
PEM
).
Toutes les politiques de sécurité valides nécessitent la signature de certificats avec l'algorithme SHA-256 avec chiffrement RSA (2048, 3072 ou 4096). Les deux politiques déconseillées (Basic128Rsa15 et Basic256) nécessitent la signature du certificat avec l'algorithme SHA1 avec chiffrement RSA (1024 ou 2048).
Si ces éléments sont absents, lorsque
FactoryTalk Optix Studio
 génère un serveur
FTOptixApplication
, il génère également un certificat public et la clé privée correspondante du serveur.
IMPORTANT: Les certificats publics client et serveur doivent être approuvés par le client et le serveur.

Importation de certificats

Lors de la conception, si vous disposez de vos propres certificats ou de certificats d'autres clients ou serveurs dans le champ, vous pouvez les importer dans
FactoryTalk Optix Studio
 pour les faire approuver. Pour plus d’informations, consultez Configurer les certificats approuvés lors de la conception. Lorsqu’un client OPC UA se connecte à un serveur OPC UA, une boîte de dialogue affiche des informations sur le certificat du serveur. Choisissez d'approuver ou de rejeter le certificat du serveur.
CONSEIL: Vous pouvez générer des certificats pour votre propre application dans
FactoryTalk Optix Studio
. Pour plus d’informations, consultez Créer un certificat.
Si les certificats des autres clients ou serveurs ne sont pas disponibles lors de la conception, vous pouvez les importer dans le projet lors de l'exécution. Ils sont approuvés lors de l'exécution une fois que le lien entre le serveur et le client est établi. Pour plus d’informations, consultez Configurer les certificats approuvés lors de l'exécution.
CONSEIL: Le nom du certificat copié est une chaîne composée de son nom commun (Common Name, CN) et de son empreinte (signature).

Certificats et clés dans OPC UA

Pour identifier les participants dans une communication et vérifier l’authenticité et la confidentialité des messages échangés, chaque application OPC UA, notamment le client et le serveur, doit disposer d’un certificat public qui est une interface d’instance d’application et une paire de clés publique/privée.
La clé publique est distribuée avec le certificat. La clé privée n'est pas divulguée.
  • Fichier de clé privée. Signe les messages à envoyer et déchiffre les messages reçus.
  • Fichier de clé publique. Vérifie les signatures des messages reçus et chiffre les messages envoyés.
Fournir une réponse
Vous avez des questions ou des commentaires sur cette documentation ? Veuillez envoyer vos commentaires ici.