证书和密钥
可以在 OPC UA 服务器和 OPC UA 客户端对象中设置服务器或客户端的公共证书和私钥。
证书生命周期
由应用程序发布的证书是自签名证书,必须随服务器和客户端上的受信任证书一起安装才能进行通信。从信任列表中移除证书时,通信会中断。
您可以将 CA 证书与受信任证书分开安装。要排除由 CA 颁发的证书,可将该证书包含在 CA CRL 中。
注意:
每个 CA 证书都必须包含相应的 CRL,才能验证应用程序的证书。
证书和 CRL 必须遵循具有 DER 二进制编码(
DER
文件)的 X.509v3 标准。对于每个证书,都有一个私钥和 Base64 ASCII 编码(
PEM
文件)。每个有效的安全策略都需要使用带有 RSA 加密(2048、3072 或 4096)的 SHA-256 算法对证书进行签名。两个弃用的策略(Basic128Rsa15 和 Basic256)要求使用带有 RSA 加密(1024 或 2048)的 SHA1 算法对证书进行签名。
如果不存在这些元素,则
FTOptixApplication
生成 FactoryTalk Optix Studio
服务器时,还将生成服务器的公共证书和相应的私钥。
重要提示:
客户端和服务器必须信任客户端和服务器的公共证书。
证书导入
在设计时,如果您在现场拥有自己的证书或其他客户端/服务器的证书,则可以将它们导入
FactoryTalk Optix Studio
中,使它们受信任。有关更多信息,请参见在设计时配置受信任的证书。当 OPC UA 客户端连接到 OPC UA 服务器时,将有一个对话框显示服务器证书的相关信息。选择信任服务器证书或拒绝服务器证书。
小贴士:
您可以在
FactoryTalk Optix Studio
中为自己的应用程序生成证书。有关更多信息,请参见创建证书。如果其他客户端或服务器的证书在设计时不可用,您可在运行时将这些证书导入项目中。一旦在服务器和客户端之间建立了连接,这些证书将在运行时受信任。有关更多信息,请参见在运行时配置受信任的证书。
小贴士:
所复制证书的名称是由其通用名称 (Common Name, CN) 和指纹签名组成的字符串。
OPC UA 中的证书和密钥
为了标识通信的参与者并验证所交换消息的真实性和机密性,每个 OPC UA 应用程序(包括客户端和服务器)都必须具有公共证书(该证书是应用程序实例接口和公钥/私钥对)。
公钥随证书一起分发。私钥不会公开。
- 私钥文件。对要发送的消息进行签名,并对收到的消息进行解密。
- 公钥文件。验证所接收消息的签名并对已发送的消息进行加密。
提供反馈