Certificati e chiavi

L'utente può impostare il certificato pubblico e la chiave privata del server o del client negli oggetti server OPC UA e client OPC UA.

Ciclo di vita dei certificati

I certificati rilasciati da un'applicazione sono autofirmati e devono essere installati con i certificati attendibili sul server e sul client per consentire la comunicazione. La comunicazione viene interrotta quando il certificato viene rimosso dall'elenco di attendibilità.
È possibile installare il certificato della CA separatamente dai certificati attendibili. Per escludere un certificato emesso da una CA, includere il certificato nel CRL CA.
ATTENZIONE: Ciascun certificato della CA deve includere il CRL corrispondente per verificare il certificato di un'applicazione.
I certificati e i CRL devono essere conformi allo standard X.509v3 con la codifica binaria DER (file
DER
).
Per ogni certificato, è disponibile una chiave privata e una codifica ASCII Base64 (un file
PEM
).
Tutti i criteri di sicurezza validi richiedono la firma dei certificati con l'algoritmo SHA-256 con la crittografia RSA (2048, 3072 o 4096). I due criteri deprecati (Basic128Rsa15 e Basic256) richiedono che il certificato sia firmato con l'algoritmo SHA1 con la crittografia RSA (1024 o 2048).
Se tali elementi sono assenti, quando
FactoryTalk Optix Studio
 genera un server
FTOptixApplication
, questo genera anche un certificato pubblico e la chiave privata del server corrispondente.
IMPORTANTE: I certificati pubblici di client e server devono essere affidabili per entrambe le parti.

Importazione dei certificati

In fase di progettazione, se nel campo sono presenti propri certificati o certificati di altri client/server, è possibile importarli in
FactoryTalk Optix Studio
 modo da renderli attendibili. Per ulteriori informazioni, vedere Configurare i certificati attendibili in fase di progettazione. Quando un client OPC UA si connette a un server OPC UA, una finestra di dialogo visualizza le informazioni sul certificato del server. Selezionare di accettare l'attendibilità del certificato del server o rifiutare il certificato del server.
MANCIA: È possibile generare certificati per la propria applicazione in
FactoryTalk Optix Studio
. Per ulteriori informazioni, vedere Creare un certificato.
Se i certificati di altri client o server non sono disponibili in fase di progettazione, è possibile importarli nel progetto a runtime. I certificati verranno considerati attendibili a runtime una volta stabilito il collegamento tra il server e il client. Per ulteriori informazioni, vedere Configurare i certificati attendibili a runtime.
MANCIA: Il nome del certificato copiato è una stringa composta dal Nome comune (CN, Common Name) e dalla firma thumbprint.

Certificati e chiavi in OPC UA

Per identificare i partecipanti a una comunicazione e per verificare l'autenticità e la segretezza dei messaggi scambiati, ogni applicazione OPC UA, inclusi client e server, deve disporre di un certificato pubblico che sia un'Application Instance Interface e di una coppia chiave pubblica/chiave privata.
La chiave pubblica viene distribuita con il certificato. La chiave privata non viene divulgata.
  • File di chiave privata. Firma i messaggi da inviare e decrittografa i messaggi ricevuti.
  • File di chiave pubblica. Verifica le firme dei messaggi ricevuti e crittografa i messaggi inviati.
Fornire un feedback
Hai domande o feedback su questa documentazione? invia il tuo feedback qui.