home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Hoe u uw eigen beveiligingscertificaat gebruikt met een OPC UA-server op een PLCnext Control

Dit is een update van een artikel dat oorspronkelijk in november 2018 is gepubliceerd.

Alle PLCnext Controls bevatten een ingebouwde OPC UA-server. Deze server bevat, net als alle OPC UA-servers, de mogelijkheid om beveiligde verbindingen met clients tot stand te brengen met behulp van Public Key Cryptography. In deze handleiding wordt beschreven hoe u met uw eigen beveiligingscertificaat (inclusief uw eigen privésleutel) een veilige OPC UA-verbinding met een PLCnext Control opzet.

Raadpleeg voor algemene informatie over het beheren van OPC UA Server-certificaten:

  • De OPC UA-instellingen gedeelte van het geïntegreerde helpsysteem van PLCnext Engineer.
  • Het PLCnext Infocentrum:
    • Geïntegreerde OPC UA-server (eUA)
    • Certificaatverificatie.

Inleiding

De geïntegreerde OPC UA-server van PLCnext Control vereist X.509-certificaten om betrouwbare communicatie met OPC UA-clients te garanderen. Er zijn vier hoofdtypen certificaten die kunnen worden gebruikt:

Optie 1 – Automatisch gegenereerd zelfondertekend certificaat.

  • De vereiste certificaten worden automatisch aangemaakt door de PLC.
  • Eenvoudig in te stellen.
  • Nuttig voor testen en voor permanent gebruik op beveiligde LAN's.

Optie 2 – Handmatig gegenereerd zelfondertekend certificaat.

  • Geen extra beveiligingsvoordelen ten opzichte van Optie 1, maar geeft de beheerder meer controle over het beheer van certificaten.

Optie 3 – Certificaat ondertekend door uw eigen certificeringsinstantie (CA).

  • Geen extra beveiligingsvoordelen ten opzichte van opties 1 en 2, maar maakt een meer gestructureerd beheer van certificaten mogelijk.

Optie 4 – Certificaat uitgegeven door een vertrouwde certificeringsinstantie

  • Vereist de aankoop van een certificaat van een vertrouwde externe certificeringsinstantie zoals Symantec of GeoTrust. Dit is de aanbevolen optie voor openbare of andere onveilige netwerken, omdat alle clients een certificaat moeten accepteren dat is ondertekend door een vertrouwde CA.

Vereisten

Om de volgende procedures met succes uit te voeren, heeft u het volgende nodig:

  • Een basiskennis van cryptografie met openbare sleutels en X.509-certificaten.
  • Een basiskennis van OPC, en (specifiek) OPC UA-technologie.

De procedures die in deze handleiding worden beschreven, zijn voorbereid met de volgende hardware en software:

  • AXC F 2152-controller, firmwareversie 2020.6.1
  • PLCnext Engineer versie 2020.6
  • UAExpert versie 1.5.1
  • XCA versie 2.3.0 met een reeds aangemaakte database

Achtergrond lezen

  1. cryptografie met openbare sleutel
  2. X.509
  3. X.509-certificaten maken (PDF)
  4. Wat is OPC?
  5. OPC Unified Architecture
  6. Het OPC UA-beveiligingsmodel voor beheerders (pdf)

Procedures

Optie 1 – Automatisch gegenereerd zelfondertekend certificaat

Dit is de standaardoptie bij het aanmaken van een nieuw project in PLCnext Engineer.

  • Volg de procedure voor het configureren van de OPC UA-server in de video op het YouTube-kanaal voor technische ondersteuning.

Hiermee wordt automatisch een zelfondertekend certificaat in de identiteitsopslag gemaakt met de naam OPC UA-zelfondertekend , die u kunt zien op de webgebaseerde beheerpagina van de PLC, in de Certificaatverificatie venster (in de Beveiliging sectie).

Wanneer u nu een verbinding tot stand brengt met de OPC UA-server vanuit UA Expert, ziet u de naam van het zelfondertekende certificaat "eUAServer@axc-f-2152-1":

Omdat het certificaat niet is ondertekend door een vertrouwde CA, is het noodzakelijk dat de gebruiker dit certificaat expliciet vertrouwt.

Nadat u heeft bevestigd dat het certificaat kan worden vertrouwd, kan UA Expert de foutmelding "BadCertificateHostNameInvalid" weergeven. Dit komt omdat de URL die is gebruikt om verbinding te maken met de OPC UA-server niet overeenkomt met de vermeldingen in de velden IPA-adressen of DNS-namen van het certificaat (die te zien zijn in de UA-extensies gedeelte hierboven). Dit kan worden gecorrigeerd door de bijbehorende vermeldingen aan het certificaat toe te voegen, wat kan worden gedaan in het venster OPC UA-instellingen in PLCnext Engineer.

Merk op dat, hoewel UA Expert de mogelijkheid biedt om BadCertificateHostNameInvalid-fouten te negeren en toch verbinding te maken met de server, veel andere OPC UA-clients eenvoudigweg weigeren om verbinding te maken wanneer ze deze fout tegenkomen.

Optie 2 – Handmatig gegenereerd zelfondertekend certificaat

  1. Maak in XCA een nieuw zelfondertekend certificaat.
    • Open (of maak) een database onder het menu-item "Bestand".
    • Klik op het tabblad "Certificaten" op de knop "Nieuw certificaat":
    • In het volgende dialoogvenster is het tabblad Bron actief. De ondertekeningsoptie "maak een zelfondertekend certificaat" zou standaard al moeten zijn aangevinkt:
    • Schakel over naar het tabblad 'Onderwerp' en vul de velden in. Hieronder ziet u een voorbeeld.
    • Klik op de knop "Een nieuwe sleutel genereren". Dit genereert een unieke privésleutel voor dit certificaat.
    • Stel op het tabblad "Extensies" de Geldigheid van het certificaat in op de vereiste periode en plaats een invoer in het veld "X509v3 Subject Alternative Name". Dit veld mag niet leeg zijn - dit is een vereiste van de OPC UA-specificatie. De velden IPA-adressen en DNS-namen die in optie 1 worden genoemd, komen overeen met deze velden
    • .
    • Klik op OK om het certificaat te maken.
  2. Nadat het certificaat is gemaakt, selecteert u het certificaat in het hoofdvenster van XCA en klikt u op "Exporteren". Exporteer het certificaat en de niet-versleutelde privésleutel, in het formaat "PEM + sleutel (*.pem)":
  3. In PLCnext Engineer wijzigt u het veld "Certificaat" van de OPC UA-server van "Zelf ondertekend door controller" in "Bestand op controller".
  4. Download het PLCnext Engineer-project naar de PLC.
  5. Navigeer op de webgebaseerde beheerpagina van de PLC naar de Certificaatverificatie venster in de Beveiliging sectie. Een nieuwe Identity Store met de naam OPC UA-configurable is gemaakt.
  6. Laad het certificaat en de sleutel uit het bestand dat in stap 2 is gemaakt, in de nieuwe Identity Store:
    • Laad het certificaat door op de knop "Instellen" te klikken en het certificaat/sleutelbestand te selecteren. Er verschijnt een fout die aangeeft dat het bestaande sleutelpaar en het nieuwe certificaat niet overeenkomen.
    • Laad de privésleutel door op de knop "Instellen" te klikken en het certificaat/sleutelbestand te selecteren. De fout zal verdwijnen.
  7. Start de PLCnext Runtime opnieuw, zodat de OPC UA-server het nieuwe certificaat ophaalt.

Het is nu mogelijk om een ​​client te verbinden met de OPC UA-server met behulp van dit handmatig aangemaakte zelfondertekende certificaat. Wanneer u verbinding maakt met UA Expert, kunnen de details van het aangepaste certificaat worden bekeken.

Optie 3 – Certificaat ondertekend door uw eigen certificeringsinstantie.

In XCA is het mogelijk om uw eigen Certificate Authority (CA) aan te maken en vervolgens uw certificaten te ondertekenen met deze CA. De vereiste aanvullende stappen worden beschreven in het document "X.509-certificaten maken", waarnaar aan het begin van dit artikel wordt verwezen. Merk op dat bij het exporteren van de .pem bestand, moet het exportformaat “PEM chain (*.pem)” zijn.

Net als in optie 2 hierboven, moet dit certificaat worden geladen in de OPC UA-configurable identiteitsopslag.

Optie 4 – Certificaat uitgegeven door een vertrouwde certificeringsinstantie

In dit geval wordt het certificaat gekocht bij en ondertekend door een vertrouwde certificeringsinstantie. Nogmaals, dit certificaat moet worden geladen in de OPC UA-configurable identiteit winkel. Als de CA bekend is bij de OPC UA-client, mogen er geen waarschuwingen of fouten zijn bij het verbinden met de OPC UA-server.

Certificaten beheren op een centrale server

In plaats van handmatig beveiligingscertificaten op de PLC te laden, kunnen certificaten in plaats daarvan naar de PLC worden gepusht vanaf een OPC UA Global Discovery Server. Dit helpt bij het beheren van beveiligingscertificaten op een netwerk met meerdere OPC UA-servers.

Dit onderwerp zal in een ander bericht worden behandeld.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. ISO 9004 gebruiken om uw productieactiviteiten te verbeteren
    2. Een complete tabel genereren voor uw verbindingen met E3.series
    3. Hoe u uw elektrische projecten kunt optimaliseren met E3.schematic
    4. Het identificeren van zwakke punten in uw eigen elektrische ontwerpproces
    5. Hoe u de kosten van uw werknemers kunt berekenen met overheadkosten
    6. Met uw partners praten over supply-chain-beveiliging
    7. Modbus gebruiken met Arduino
    8. Hoe u edge AI kunt gebruiken om uw bedrijf naar een beter normaal te leiden
    9. Hoe uw concurrenten verslaan met digitale werkinstructies?
    10. Hoe Alibaba Cloud Connector te gebruiken?
    11. Gebruik PLCnext to WakeOnLan (WoL) Uw pc