VIPA System SLIO
Sicherheitsmechanismen
in OPC UA
X.509-Zertifikate
HB300 | CPU | 019-CEFPM00 | de | 20-10
n
Prüfung der Identität von OPC UA-Server und -Clients.
n
Prüfung der Identität der Anwender.
n
Signierter und verschlüsselter Datenaustausch zwischen OPC UA-Server und -
Clients.
n
In den Verbindungs-Einstellungen im OPC UA Configurator können Sie vorgeben, wie
sich ein Benutzer eines OPC UA-Clients für den Zugriff auf den OPC UA-Server legi-
timieren muss.
Sicherheits-Regeln:
n
Aktivieren Sie nur in Ausnahmefällen "Anonymous-Login" bzw. den "Ungesicherter
Datenverkehr" .
n
Erlauben Sie nur dann den Zugriff auf Variablen und Datenbausteine über OPC UA,
wenn es tatsächlich erforderlich ist.
Aktivieren Sie nur Sicherheitsrichtlinien, die mit dem Schutzkonzept für
Ihre Maschine oder Anlage vereinbar sind. Deaktivieren Sie alle anderen
Sicherheitsrichtlinien.
OPC UA hat Sicherheitsmechanismen in mehreren Schichten integriert. Wichtiger
Bestandteil sind hierbei X.509 Zertifikate, welche auch in der PC-Welt Anwendung finden.
Bei Einsatz von Zertifikaten liefert der OPC UA-Server nur dann Daten an den -Client,
wenn auf beiden Seiten das Sicherheits-Zertifikat als gültig anerkannt wurden. Ein X.509-
Zertifikat enthält unter anderem die folgenden Informationen:
n
Versions- und Seriennummer des Zertifikats.
n
Name der Zertifizierungsstelle.
n
Informationen über den Algorithmus, welcher von der Zertifizierungsstelle zum Sig-
nieren des Zertifikats verwendet wurde.
n
Beginn und Ende der Gültigkeit des Zertifikats.
n
Name des Programms, der Person oder Organisation, für die das Zertifikat von der
Zertifizierungsstelle signiert wurde.
n
Der öffentliche Schlüssel des Programms, der Person oder Organisation.
OPC UA verwendet beim Aufbau einer Verbindung von Client zu Server drei Arten von
X.509-Zertifikaten:
n
OPC UA-Applikations-Zertifikate
n
OPC UA-Software-Zertifikate
n
OPC UA-Anwender-Zertifikate
n
Prüfung beim Verbindungsaufbau
–
Beim Verbindungsaufbau zwischen Client und Server prüfen die Teilnehmer alle
Informationen aus dem Zertifikat, welche zur Feststellung der Integrität erforder-
lich sind.
–
Unter anderem wird herbei auch der Gültigkeitszeitraum geprüft, welcher im Zerti-
fikat hinterlegt ist. Bitte beachten Sie, dass Datum und Uhrzeit bei den Teilneh-
mern korrekt eingestellt ist, da ansonsten keine Kommunikation stattfinden kann.
Signieren und Verschlüsseln
n
–
Zur Vermeidung von Manipulationen werden Zertifikate signiert.
–
Innerhalb des OPC UA Configurator haben Sie die Möglichkeit über die
"Servereinstellungen" Zertifikate zu importieren bzw. selbst erstellen und zu sig-
nieren.
Grundlagen OPC UA > Integriertes Sicherheitskonzept
Einsatz OPC UA
127