Certificados e chaves
Você pode definir o certificado público e a chave privada do servidor ou do cliente no servidor OPC UA e nos objetos clientes OPC UA.
Ciclo de vida dos certificados
Os certificados emitidos por um aplicativo são auto-assinados e devem ser instalados com certificados de confiança no servidor e no cliente para permitir a comunicação. A comunicação é interrompida quando o certificado é removido da lista de confiabilidade.
Você pode instalar o certificado da autoridade de certificação (CA) separado dos certificados de confiança. Para excluir um certificado emitido por uma CA, inclua o certificado na CRL da CA.
ATENÇÃO:
Cada certificado da CA deve incluir a CRL correspondente para verificar o certificado de um aplicativo.
Os certificados e as CRLs devem estar em conformidade com o padrão X.509v3 com codificação binária DER (arquivos
DER
).Para cada certificado, há uma chave privada e uma codificação ASCII Base64 (arquivo
PEM
).Todas as políticas de segurança válidas exigem a assinatura de certificados com o algoritmo SHA-256 com criptografia RSA (2048, 3072 ou 4096). As duas políticas descontinuadas (Basic128Rsa15 e Basic256) exigem que o certificado seja assinado com o algoritmo SHA1 com criptografia RSA (1024 ou 2048).
Se esses elementos estiverem ausentes, quando o
FactoryTalk Optix Studio
gera um servidor FTOptixApplication
, também gera um certificado público e a chave privada correspondente do servidor.
IMPORTANTE:
Os certificados públicos do cliente e do servidor devem ser de confiança do cliente e do servidor.
Importação de certificados
Em tempo de design, se você tiver seus próprios certificados ou os certificados de outros clientes ou servidores, pode importá-los para o
FactoryTalk Optix Studio
torná-los confiáveis. Para obter mais informações, consulte Configurar os certificados confiáveis em tempo de design. Quando um cliente OPC UA se conecta a um servidor OPC UA, uma caixa de diálogo exibe as informações sobre o certificado do servidor. Selecione Confiar no certificado do servidor ou Rejeitar o certificado do servidor.
DICA:
É possível gerar certificados para o seu aplicativo no
FactoryTalk Optix Studio
. Para obter mais informações, consulte Criar um certificado.Se os certificados de outros clientes ou servidores não estiverem disponíveis em tempo de design, é possível importá-los para o projeto em tempo de execução. Os certificados tornam-se confiáveis em tempo de execução quando o vínculo entre o servidor e o cliente é estabelecido. Para obter mais informações, consulte Configurar os certificados de confiança em tempo de execução.
DICA:
O nome do certificado copiado é uma string composta pelo Nome Comum (CN) e pela assinatura de impressão digital.
Certificados e chaves no OPC UA
Para identificar os participantes em uma comunicação e verificar a autenticidade e a confidencialidade das mensagens trocadas, todos os aplicativos OPC UA, incluindo cliente e servidor, devem ter um certificado público que seja uma Interface de instância de aplicativo e um par de chaves pública/privada.
A chave pública é distribuída com o certificado. A chave privada não é divulgada.
- Arquivo da chave privada do servidor. Assina mensagens para enviar e descriptografar as mensagens recebidas.
- Arquivo da chave pública. Verifica as assinaturas das mensagens recebidas e criptografa as mensagens enviadas.
Dê sua opinião