Skip to main content

Gestione dei certificati OPC UA

Crittografia con certificati

Per gestire il certificato sul controller nel sistema di programmazione, è necessaria una configurazione nel Schermata di sicurezza visualizzazione. Per fare ciò, installa CODESYS Security Agent componente aggiuntivo, se necessario.

Importante

Si consiglia l'uso di catene di certificati. In questa configurazione, i certificati CA intermedi non devono essere archiviati e aggiornati nell'archivio certificati del sistema runtime. Di conseguenza, ciò significa in genere che non sono necessarie modifiche alla configurazione sul PLC quando un certificato client viene rinnovato o sostituito

Generazione di un certificato per il server OPC UA

Per scambiare dati in modo sicuro e crittografato con il client, l'OPC UA Server richiede un certificato. Quando la connessione viene stabilita per la prima volta, il client deve classificare questo certificato

  1. Nel sistema di programmazione, aprite un progetto OPC UA Server. Avviate il sistema di runtime applicabile sul controller. Nell'editor del dispositivo, esplorate la rete e connettetevi al sistema di destinazione desiderato. Il percorso attivo verso il controller è impostato.

    La connessione è attiva e verde.

  2. Fai clic su VisualizzaSchermata di sicurezza comando.

  3. Passa al Dispositivi scheda.

  4. Nella vista a sinistra (sotto Informazioni), seleziona il tuo dispositivo.

    Nella vista di destra vengono visualizzati tutti i servizi del controller che richiedono un certificato.

  5. Seleziona il Server OPC UA servizio.

  6. Crea un nuovo certificato per il dispositivo. Per fare ciò, fare clic sul _cds_img_create_certificate.png icona.

    IL Impostazioni certificato si apre la finestra di dialogo.

  7. Definire i parametri del certificato e fare clic OK per chiudere la finestra di dialogo.

    Il certificato viene creato sul controller.

    _cds_img_own_certificates.png

  8. Riavviare il sistema runtime.

Installazione di certificati CA affidabili per il server OPC UA

Quando un client OPC UA dispone di un certificato rilasciato da un'autorità di certificazione (CA) affidabile, anche questa CA deve essere registrata come affidabile nel server OPC UA. Quindi la CA viene installata nella sezione «Certificati affidabili»

Per installare gli elenchi di revoca dei certificati (CRL delle CA, sono necessari i seguenti passaggi:

  1. Trasferimento del CRLs per trasferimento di file nel cert/import elenco

  2. Esegui quanto segue Shell PLC comando:

    cert-importcrl

Utilizzo di catene di certificati

Nella versione 3.5 SP22 e successive, sia il server OPC UA che il client supportano la convalida delle catene di certificati trasmesse tramite il protocollo OPC UA per impostazione predefinita.

  • Se un client trasmette le catene di certificati quando viene stabilita la connessione, non è richiesta alcuna configurazione manuale aggiuntiva delle CA intermedie.

  • Nel caso in cui i client OPC UA utilizzati non trasmettano le catene di certificati tramite il protocollo OPC UA, è necessaria la configurazione manuale delle CA intermedie.

    Affinché ciò funzioni, i certificati delle CA intermedie devono essere installati separatamente. Vengono copiati OPCUAServer/Intermediate directory sul PLC tramite trasferimento di file. Dopo il trasferimento, questi certificati vengono utilizzati automaticamente dal server OPC UA

Invio di catene di certificati

Nella versione 3.5 SP22 e successive, sia il server OPC UA che il client OPC UA trasmettono catene di certificati complete per impostazione predefinita, se possibile, quando si stabilisce una connessione.

Per ulteriori informazioni, vedere quanto segue: Certificati sul PLC

Le catene di certificati vengono utilizzate quando è stato creato un certificato firmato dall'autorità di certificazione per il server o client OPC UA e le CA intermedie corrispondenti sono impostate sul PLC. Questa operazione viene attualmente eseguita installando un contenitore PKCS #12.p12i file), che può contenere l'intera catena di certificati. Un contenitore PKCS #12 è un contenitore protetto per la chiave privata e i certificati

Nel caso in cui alcune applicazioni OPC UA non siano in grado di elaborare correttamente le catene di certificati, è possibile che la trasmissione delle catene di certificati da parte del server (e client) OPC UA sia disabilitato. Affinché ciò funzioni, l'impostazione di sicurezza del dispositivo SendCertificateChains del server (o client) OPC UA deve essere impostato su NO.

Per ulteriori informazioni, vedere quanto segue: Impostazioni di sicurezza del dispositivo (server OPC UA)

In questa sezione: