Certificati e chiavi

L'utente può impostare il certificato pubblico e la chiave privata del server o del client negli oggetti server OPC UA e client OPC UA.

Ciclo di vita dei certificati

I certificati rilasciati da un'applicazione sono autofirmati e devono essere installati con i certificati attendibili sul server e sul client per consentire la comunicazione. La comunicazione viene interrotta quando il certificato viene rimosso dall'elenco di attendibilità.
È possibile installare il certificato della CA separatamente dai certificati attendibili. Per escludere un certificato emesso da una CA, includere il certificato nel CRL CA.
ATTENZIONE: Ciascun certificato della CA deve includere il CRL corrispondente per verificare il certificato di un'applicazione.
I certificati e i CRL devono essere conformi allo standard X.509v3 con la codifica binaria DER (file
DER
).
Per ogni certificato, è disponibile una chiave privata e una codifica ASCII Base64 (un file
PEM
).
Tutti i criteri di sicurezza validi richiedono la firma dei certificati con l'algoritmo SHA-256 con la crittografia RSA (2.048, 3.072 o 4.096). I due criteri deprecati (Basic128Rsa15 e Basic256) richiedono che il certificato sia firmato con l'algoritmo SHA1 con la crittografia RSA (1.024 o 2.048).

Elaborazione dei certificati in
FactoryTalk Optix Studio

Se tali elementi sono assenti, quando
FactoryTalk Optix Studio
genera un server
FTOptixApplication
, questo genera anche un certificato pubblico e la chiave privata del server corrispondente.
IMPORTANTE: Per comunicare in sicurezza, i certificati pubblici di client e server devono essere considerati affidabili da entrambe le parti.
In fase di progettazione, se nel campo sono presenti propri certificati o certificati di altri client/server, è possibile importarli in
FactoryTalk Optix Studio
modo da renderli attendibili. Per ulteriori informazioni, vedere Configurazione dei certificati attendibili in fase di progettazione.
MANCIA: È possibile generare certificati per la propria applicazione in
FactoryTalk Optix Studio
. Per ulteriori informazioni, vedere Creazione di un certificato.
Se i certificati di altri client/server nel campo non sono disponibili in fase di progettazione, è possibile importarli nel progetto. Una volta stabilito il collegamento tra il server e il client, questi verranno considerati attendibili durante il runtime. Per ulteriori informazioni, vedere Configurazione dei certificati attendibili al runtime.
MANCIA: Il nome del certificato copiato è una stringa composta dal Nome comune (CN, Common Name) e dalla thumbprint (firma).
In fase di progettazione,
FactoryTalk Optix Studio
visualizza un errore che indica che il certificato del server è stato rifiutato se:
  • Si sta utilizzando un client OPC UA per importare nodi dal server OPC UA.
  • Il progetto non dispone di un certificato pubblico per il server.
È possibile importare il certificato nel progetto per considerarlo attendibile Configurazione dei certificati attendibili in fase di progettazione.
Fornire un feedback
Hai domande o feedback su questa documentazione? invia il tuo feedback qui.