ElektroPrůmysl.cz SOFTWARE 64 | únor 2023 klient snaží připojit, místní vyhledávací server (LDS). Klient přechází na proces zjišťování pomocí FindServers pomocí portu 4840, což je port registrovaný IANA pro OPC UA. V případě jediného serveru připojeného k uzlu není třeba nasazovat LDS. Každá nainstalovaná aplikace nebo zařízení OPC UA potřebuje k identifikaci s komunikačními partnery okamžitý certifikát aplikace a přidružený pár veřejného a soukromého klíče. Tuto dvojici může buď vygenerovat aplikace, nebo ji může poskytnout správce. Veřejný klíč, jak název napovídá, je distribuován spolu s certifikátem, zatímco soukromý klíč zůstává tajný a používá se k podepisování a/nebo šifrování zpráv. Certifikáty jsou uloženy v úložištích certifikátů. Ta udržují oddělená místa pro důvěryhodné a vlastní certifikáty. V úložišti certifikátů je také udržováno místo pro odmítnutí, které obsahuje certifikáty aplikací, které se pokusily připojit, ale ještě nejsou na seznamu důvěryhodných. Aplikace při instalaci vydává několik certifikátů, které se nazývají certifikáty podepsané vlastním podpisem. Vlastní podepsané certifikáty klienta se instalují do seznamu důvěryhodných certifikátů serveru a naopak. Komunikace s určitou aplikací selže v případě, že je její certifikát odstraněn ze seznamu důvěryhodných. Aplikace opět udržuje adresář odmítnutých certifikátů, v němž jsou uloženy certifikáty jiných aplikací, které se pokusily připojit, ale byly odmítnuty z důvodu nedostatku důvěryhodnosti. Správci mohou přesunout certifikáty z odmítnutého adresáře do důvěryhodného v případě, že to aplikace později povolí. Certifikační autorita (CA) podepisuje certifikáty pro skupinu aplikací nebo zařízení OPC UA a je spravována centrální správou důvěryhodnosti. V takových případech stačí, aby byla v seznamu důvěryhodných nainstalována pouze certifikační autorita. Seznam odvolaných certifikátů (Certificate Revocation List, CRL), který spravuje certifikační autorita, obsahuje certifikáty aplikací, kterým byla zakázána komunikace. V aplikaci OPC UA se udržuje adresář odmítnutých aplikací, které se pokusily připojit, ale byly odmítnuty z důvodu nedostatečné důvěryhodnosti. Správce může přesunout certifikáty z kategorie "odmítnuto" do kategorie "důvěryhodné", pokud je aplikaci povoleno se připojit. Počáteční konfigurace klienta OPC UA po instalaci je znázorněna na obrázku 2. Obsahuje certifikát instance aplikace (který identifikuje klientskou aplikaci), úložiště certifikátů (které obsahuje seznam důvěryhodných certifikátů) a seznam koncových bodů serveru. Klient poté požádá server discovery o získání informací o serverech, které jsou k němu připojeny, a získá informace potřebné k připojení k serveru. Poté klient odešle serveru požadavek GetEndpoints. Server odpoví zasláním dostupných koncových bodů klientovi spolu s konfigurací zabezpečení a certifikátem obsahujícím veřejný klíč serveru. Klient musí důvěřovat certifikátu serveru, aby mohl navázat bezpečné spojení Obr. 3 Konečná konfigurace klienta Obr. 2 Počáteční konfigurace klienta Klient OPC UA Klient OPC UA Server seznamu připojení Server seznamu připojení Důvěryhodný seznam Důvěryhodný seznam Klient Server Koncový bod 1 Koncový bod 2
RkJQdWJsaXNoZXIy Mjk3NzY=