Como usar seu próprio Certificado de Segurança com um Servidor OPC UA em um PLCnext Control

Esta é uma atualização de um artigo publicado originalmente em novembro de 2018.

---

Todos os PLCnext Controls incluem um servidor OPC UA integrado. Este servidor, como todos os servidores OPC UA, inclui a opção de estabelecer conexões seguras com clientes utilizando Criptografia de Chave Pública. Este guia descreve como usar seu próprio certificado de segurança (incluindo sua própria chave privada) para configurar uma conexão OPC UA segura com um PLCnext Control.

Para informações gerais sobre como gerenciar certificados do Servidor OPC UA, consulte:

• As Configurações do OPC UA seção do sistema de ajuda integrado do PLCnext Engineer.
• O Centro de Informações PLCnext:
  • Servidor OPC UA incorporado (eUA)
  • Autenticação de certificado.

Introdução

O Servidor OPC UA integrado ao PLCnext Control requer certificados X.509 para garantir a comunicação confiável com clientes OPC UA. Existem quatro tipos principais de certificados que podem ser usados:

Opção 1 – Certificado autoassinado gerado automaticamente.

• Os certificados necessários são criados automaticamente pelo PLC.
• Simples de configurar.
• Útil para testes e para uso permanente em LANs seguras.

Opção 2 – Certificado autoassinado gerado manualmente.

• Não há benefícios de segurança adicionais em relação à Opção 1, mas dá ao administrador mais controle sobre o gerenciamento de certificados.

Opção 3 – Certificado assinado por sua própria Autoridade de Certificação (CA).

• Não há benefícios de segurança adicionais em relação às Opções 1 e 2, mas permite um gerenciamento mais estruturado de certificados.

Opção 4 – Certificado emitido por uma Autoridade de Certificação confiável

• Requer a compra de um certificado de uma autoridade de certificação terceirizada confiável, como Symantec ou GeoTrust. Essa é a opção recomendada para redes públicas ou outras redes não seguras, pois todos os clientes devem aceitar um certificado assinado por uma CA confiável.

Pré-requisitos

Para realizar os seguintes procedimentos com sucesso, você precisará:

• Noções básicas de criptografia de chave pública e certificados X.509.
• Uma compreensão básica do OPC e (especificamente) da tecnologia OPC UA.

Os procedimentos descritos neste guia foram preparados usando o seguinte hardware e software:

• Controlador AXC F 2152, versão de firmware 2020.6.1
• PLCnext Engineer versão 2020.6
• UAExpert versão 1.5.1
• XCA versão 2.3.0 com um banco de dados já criado

Leitura em segundo plano

1. Criptografia de chave pública
2. X.509
3. Criando certificados X.509 (PDF)
4. O que é OPC?
5. Arquitetura unificada OPC
6. O modelo de segurança OPC UA para administradores (PDF)

Procedimentos

Opção 1 – Certificado autoassinado gerado automaticamente

Esta é a opção padrão ao criar um novo projeto no PLCnext Engineer.

• Siga o procedimento para configurar o servidor OPC UA no vídeo do canal do Suporte técnico no YouTube.

Isso cria automaticamente um certificado autoassinado no repositório de identidades chamado OPC UA-autoassinado , que você pode ver na página de gerenciamento baseada na web do PLC, em Autenticação de Certificado janela (na janela Segurança seção).

Agora, ao estabelecer uma conexão com o servidor OPC UA do UA Expert, o nome do certificado autoassinado “eUAServer@axc-f-2152-1” pode ser visto:

Como o certificado não é assinado por uma CA confiável, é necessário que o usuário confie explicitamente nesse certificado.

Após confirmar que o certificado é confiável, o UA Expert pode exibir o erro “BadCertificateHostNameInvalid”. Isso ocorre porque a URL que foi usada para se conectar ao servidor OPC UA não corresponde a nenhuma entrada nos campos IPAddresses ou DNSnames do certificado (que pode ser visto em UA Extensions seção acima). Isso pode ser corrigido adicionando as entradas correspondentes ao certificado, o que pode ser feito na janela OPC UA Settings no PLCnext Engineer.

Observe que, enquanto o UA Expert oferece a opção de ignorar erros BadCertificateHostNameInvalid e ainda se conectar ao servidor, muitos outros clientes OPC UA simplesmente se recusarão a se conectar quando encontrarem esse erro.

Opção 2 – Certificado autoassinado gerado manualmente

1. No XCA, crie um novo certificado autoassinado.
   • Abra (ou crie) um banco de dados no item de menu "Arquivo".
   • Na guia "Certificados", clique no botão "Novo certificado":
   • 
   • Na próxima caixa de diálogo, a guia Origem estará ativa. A opção de assinatura “criar um certificado autoassinado” já deve estar marcada por padrão:
   • Mude para a guia "Assunto" e preencha os campos. Um exemplo é mostrado abaixo.
   • 
   • Clique no botão "Gerar uma nova chave". Isso gera uma chave privada exclusiva para este certificado.
   • Na guia "Extensões", defina a Validade do certificado para o período necessário e insira uma entrada no campo "Nome alternativo do assunto X509v3". Este campo não deve estar vazio – este é um requisito da especificação OPC UA. Os campos IPAddresses e DNSnames mencionados na Opção 1 correspondem a esses campos
   • .
   • Clique em OK para criar o certificado.
     
2. Após a criação do certificado, selecione o certificado na janela principal do XCA e clique em “Exportar”. Exporte o certificado e a chave privada não criptografada, no formato “PEM + chave (*.pem)”:
3. No PLCnext Engineer, altere o campo “Certificado” do servidor OPC UA de “Autoassinado pelo controlador” para “Arquivo no controlador”.
4. Faça o download do projeto PLCnext Engineer para o PLC.
5. Na página de gerenciamento baseada na Web do PLC, navegue até Autenticação de certificado janela em Segurança seção. Um novo armazenamento de identidade chamado configurável pelo OPC UA foi criado.
6. Carregue o certificado e a chave do arquivo criado na Etapa 2 para o novo Identity Store:
   • Carregue o certificado clicando no botão "Definir" e selecionando o certificado/arquivo de chave. Um erro será exibido, indicando que o par de chaves existente e o novo certificado não correspondem.
   • Carregue a chave privada clicando no botão "Definir" e selecionando o arquivo de certificado/chave. O erro desaparecerá.
     
7. Reiniciar o PLCnext Runtime, para que o servidor OPC UA pegue o novo certificado.

Agora é possível conectar um cliente ao servidor OPC UA usando este certificado autoassinado criado manualmente. Ao conectar usando o UA Expert, os detalhes do certificado personalizado podem ser vistos.

Opção 3 – Certificado assinado por sua própria Autoridade de Certificação.

No XCA, é possível criar sua própria Autoridade de Certificação (CA) e, em seguida, assinar seus certificados usando esta CA. As etapas adicionais necessárias estão descritas no documento “Criando certificados X.509”, referenciado no início deste artigo. Observe que, ao exportar o .pem arquivo, o formato de exportação deve ser “cadeia PEM (*.pem)”.

Como na Opção 2 acima, este certificado deve ser carregado no OPC UA-configurável armazenamento de identidade.

Opção 4 – Certificado emitido por uma Autoridade de Certificação confiável

Nesse caso, o certificado é adquirido e assinado por uma Autoridade de Certificação confiável. Novamente, este certificado deve ser carregado para o OPC UA-configurável armazenamento de identidade. Se a CA for conhecida pelo cliente OPC UA, não deverá haver avisos ou erros ao conectar-se ao servidor OPC UA.

Gerenciando certificados em um servidor central

Em vez de carregar manualmente os certificados de segurança no PLC, os certificados podem ser enviados para o PLC a partir de um OPC UA Global Discovery Server. Isso ajuda no gerenciamento de certificados de segurança em uma rede que contém vários servidores OPC UA.

Este tema será abordado em outro post.