Skip to main content

Gestion des certificats OPC UA

Chiffrement avec certificats

Pour gérer le certificat sur le contrôleur du système de programmation, une configuration est requise dans Écran de sécurité voir. Pour ce faire, installez CODESYS Security Agent module complémentaire, si nécessaire.

Important

L'utilisation de chaînes de certificats est recommandée. Dans cette configuration, les certificats CA intermédiaires pas doivent être stockés et mis à jour dans le magasin de certificats du système d'exécution. Par conséquent, cela signifie généralement qu'aucune modification de configuration n'est requise sur l'automate lors du renouvellement ou de l'échange d'un certificat client.

Génération d'un certificat pour le serveur OPC UA

Afin d'échanger des données de manière sécurisée et cryptée avec le client, le serveur OPC UA nécessite un certificat. Lorsque la connexion est établie pour la première fois, le client doit classer ce certificat comme étant fiable.

  1. Dans le système de programmation, ouvrez un projet OPC UA Server. Démarrez le système d'exécution applicable sur le contrôleur. Dans l'éditeur de périphériques, parcourez le réseau et connectez-vous au système cible souhaité. Le chemin actif vers le contrôleur est défini.

    La connexion est active et verte.

  2. Cliquez sur AfficherÉcran de sécurité commande.

  3. Passez au Appareils onglet.

  4. Dans la vue de gauche (sous Informations), sélectionnez votre appareil.

    Dans la vue de droite, tous les services du contrôleur qui nécessitent un certificat sont affichés.

  5. Sélectionnez le Serveur OPC UA service.

  6. Créez un nouveau certificat pour l'appareil. Pour ce faire, cliquez sur le _cds_img_create_certificate.png icône.

    Le Paramètres de certificat la boîte de dialogue s'ouvre.

  7. Définissez les paramètres du certificat et cliquez sur D'ACCORD pour fermer la boîte de dialogue.

    Le certificat est créé sur le contrôleur.

    _cds_img_own_certificates.png

  8. Redémarrez le système d'exécution.

Installation de certificats CA fiables pour le serveur OPC UA

Lorsqu'un client OPC UA possède un certificat d'une autorité de certification (CA) fiable, cette autorité de certification doit également être enregistrée comme fiable sur le serveur OPC UA. Ensuite, l'autorité de certification est installée sous « Certificats fiables ».

Pour installer des listes de révocation de certificats (CRL des CA, les étapes suivantes sont requises :

  1. Transfert du CRLs par transfert de fichiers dans cert/import annuaire

  2. Exécutez ce qui suit coque PLC commande :

    cert-importcrl

Utilisation de chaînes de certificats

Dans la version 3.5 SP22 et les versions ultérieures, le serveur OPC UA et le client prennent en charge la validation des chaînes de certificats transmises via le protocole OPC UA par défaut.

  • Si un client transmet les chaînes de certificats lors de l'établissement de la connexion, aucune configuration manuelle supplémentaire des autorités de certification intermédiaires n'est requise.

  • Si les clients OPC UA utilisés ne transmettent pas les chaînes de certificats via le protocole OPC UA, la configuration manuelle des autorités de certification intermédiaires est requise.

    Pour que cela fonctionne, les certificats des autorités de certification intermédiaires doivent être installés séparément. Ils sont copiés dans OPCUAServer/Intermediate répertoire sur l'automate via transfert de fichiers. Après le transfert, ces certificats sont automatiquement utilisés par le serveur OPC UA

Envoi de chaînes de certificats

Dans la version 3.5 SP22 et les versions ultérieures, le serveur OPC UA et le client OPC UA transmettent des chaînes de certificats complètes par défaut, si possible, lors de l'établissement d'une connexion.

Pour plus d'informations, consultez les rubriques suivantes : Certificats sur le PLC

Les chaînes de certificats sont utilisées lorsqu'un certificat signé par une autorité de certification a été créé pour le serveur ou le client OPC UA et que les autorités de certification intermédiaires correspondantes sont configurées sur l'automate. Cela se fait actuellement en installant un conteneur PKCS #12 (.p12i fichier), qui peut contenir la chaîne de certificats complète. Un conteneur PKCS #12 est un conteneur protégé pour la clé privée et les certificats

Dans le cas où certaines applications OPC UA ne peuvent pas traiter correctement les chaînes de certificats, il est possible que la transmission des chaînes de certificats par le serveur (et le client) OPC UA soit handicapé. Pour que cela fonctionne, le paramètre de sécurité de l'appareil SendCertificateChains du serveur (ou du client) OPC UA doit être réglé sur NO.

Pour plus d'informations, consultez les rubriques suivantes : Paramètres de sécurité de l'appareil (serveur OPC UA)

Dans cette section​: