Skip to main content

Gestión de certificados OPC UA

Cifrado con certificados

Para administrar el certificado en el controlador del sistema de programación, se requiere una configuración en el Pantalla de seguridad vista. Para ello, instale el CODESYS Security Agent complemento, si es necesario.

Importante

Se recomienda el uso de cadenas de certificados. En esta configuración, sí lo hacen los certificados de CA intermedios no deben almacenarse y actualizarse en el almacén de certificados del sistema de ejecución. Como resultado, esto normalmente significa que no se requieren cambios de configuración en el PLC cuando se renueva o intercambia un certificado de cliente.

Generación de un certificado para el servidor OPC UA

Para intercambiar datos de forma segura y cifrada con el cliente, el servidor OPC UA requiere un certificado. Cuando se establece la conexión por primera vez, el cliente debe clasificar este certificado como confiable

  1. En el sistema de programación, abra un proyecto de servidor OPC UA. Inicie el sistema de ejecución correspondiente en el controlador. En el editor del dispositivo, navegue por la red y conéctese al sistema de destino deseado. La ruta activa al controlador está establecida.

    La conexión está activa y en verde.

  2. Haga clic en el VerPantalla de seguridad comando.

  3. Cambie a Dispositivos pestaña.

  4. En la vista de la izquierda (debajo Información), selecciona tu dispositivo.

    En la vista derecha, se muestran todos los servicios del controlador que requieren un certificado.

  5. Selecciona el Servidor OPCUA servicio.

  6. Cree un nuevo certificado para el dispositivo. Para hacer esto, haga clic en el botón _cds_img_create_certificate.png icono.

    El Configuración del certificado se abre el cuadro de diálogo.

  7. Defina los parámetros del certificado y haga clic en DE ACUERDO para cerrar el diálogo.

    El certificado se crea en el controlador.

    _cds_img_own_certificates.png

  8. Reinicie el sistema de tiempo de ejecución.

Instale certificados de CA confiables para el servidor OPC UA

Cuando un cliente OPC UA tiene un certificado de una autoridad de certificación (CA) de confianza, esta CA también debe registrarse como confiable en el servidor OPC UA. A continuación, la CA se instala en la sección «Certificados de confianza»

Para instalar listas de revocación de certificados (CRL de las CA, se requieren los siguientes pasos:

  1. Transferencia del CRLs por transferencia de archivos al cert/import directorio

  2. Ejecute lo siguiente Concha de PLC comando:

    cert-importcrl

Uso de cadenas de certificados

En la versión 3.5 SP22 y posteriores, tanto el servidor OPC UA como el cliente admiten la validación de las cadenas de certificados transmitidas a través del protocolo OPC UA de forma predeterminada.

  • Si un cliente transmite las cadenas de certificados cuando se establece la conexión, no se requiere ninguna configuración manual adicional de las CA intermedias.

  • En caso de que los clientes OPC UA utilizados no transmitan las cadenas de certificados a través del protocolo OPC UA, se requiere la configuración manual de las CA intermedias.

    Para que esto funcione, los certificados de las CA intermedias deben instalarse por separado. Se copian en el OPCUAServer/Intermediate directorio en el PLC mediante transferencia de archivos. Tras la transferencia, el servidor OPC UA utiliza automáticamente estos certificados

Envío de cadenas de certificados

En la versión 3.5 SP22 y posteriores, tanto el servidor OPC UA como el cliente OPC UA transmiten cadenas de certificados completas de forma predeterminada, si es posible, al establecer una conexión.

Para obtener más información, consulte lo siguiente: Certificados del PLC

Las cadenas de certificados se utilizan cuando se ha creado un certificado firmado por una CA para el servidor o cliente OPC UA y las CA intermedias correspondientes se configuran en el PLC. En la actualidad, esto se hace instalando un contenedor PKCS #12 (.p12i archivo), que puede contener la cadena de certificados completa. Un contenedor PKCS #12 es un contenedor protegido para la clave privada y los certificados

En el caso de que determinadas aplicaciones de OPC UA no puedan procesar correctamente las cadenas de certificados, es posible que la transmisión de las cadenas de certificados por parte del servidor (y cliente) de OPC UA sea deshabilitado. Para que esto funcione, la configuración de seguridad del dispositivo SendCertificateChains del servidor (o cliente) OPC UA debe configurarse en NO.

Para obtener más información, consulte lo siguiente: Configuración de seguridad del dispositivo (servidor OPC UA)

En esta sección: