Cómo utilizar su propio Certificado de Seguridad con un Servidor OPC UA en un Control PLCnext

Esta es una actualización de un artículo que se publicó originalmente en noviembre de 2018.

---

Todos los PLCnext Controls incluyen un servidor OPC UA integrado. Este servidor, como todos los servidores OPC UA, incluye la opción de establecer conexiones seguras con clientes mediante Criptografía de Clave Pública. Esta guía describe cómo utilizar su propio certificado de seguridad (incluida su propia clave privada) para configurar una conexión OPC UA segura con un PLCnext Control.

Para obtener información general sobre cómo administrar los certificados del servidor OPC UA, consulte:

• La Configuración de OPC UA del sistema de ayuda integrado de PLCnext Engineer.
• El centro de información de PLCnext:
  • Servidor OPC UA integrado (eUA)
  • Autenticación de certificado.

Introducción

El servidor OPC UA integrado de PLCnext Control requiere certificados X.509 para garantizar una comunicación confiable con los clientes OPC UA. Hay cuatro tipos principales de certificados que se pueden utilizar:

Opción 1 – Certificado autofirmado generado automáticamente.

• El PLC crea automáticamente los certificados necesarios.
• Fácil de configurar.
• Útil para pruebas y uso permanente en LAN seguras.

Opción 2 – Certificado autofirmado generado manualmente.

• No hay beneficios de seguridad adicionales sobre la Opción 1, pero le da al administrador más control sobre la gestión de certificados.

Opción 3 – Certificado firmado por su propia Autoridad de Certificación (CA).

• Sin ventajas de seguridad adicionales sobre las Opciones 1 y 2, pero permite una gestión más estructurada de los certificados.

Opción 4 – Certificado emitido por una Autoridad de Certificación de confianza

• Requiere la compra de un certificado de una entidad emisora ​​de certificados de confianza como Symantec o GeoTrust. Esta es la opción recomendada para redes públicas u otras redes no seguras, porque todos los clientes deben aceptar un certificado firmado por una CA de confianza.

Requisitos

Para realizar los siguientes procedimientos con éxito, necesitará:

• Una comprensión básica de la criptografía de clave pública y los certificados X.509.
• Una comprensión básica de OPC y (específicamente) de la tecnología OPC UA.

Los procedimientos descritos en esta guía se prepararon utilizando el siguiente hardware y software:

• Controlador AXC F 2152, versión de firmware 2020.6.1
• PLCnext Ingeniero versión 2020.6
• UAExpert versión 1.5.1
• XCA versión 2.3.0 con una base de datos ya creada

Lectura de fondo

1. Criptografía de clave pública
2. X.509
3. Creación de certificados X.509 (PDF)
4. ¿Qué es OPC?
5. Arquitectura unificada OPC
6. El modelo de seguridad de OPC UA para administradores (PDF)

Procedimientos

Opción 1:certificado autofirmado generado automáticamente

Esta es la opción predeterminada al crear un nuevo proyecto en PLCnext Engineer.

• Siga el procedimiento para configurar el servidor OPC UA en el video en el canal de soporte técnico de YouTube.

Esto crea automáticamente un certificado autofirmado en Identity Store denominado OPC UA-self-signed. , que puede ver en la página de administración basada en la web del PLC, en la Autenticación de certificados ventana (en la Seguridad sección).

Ahora, al establecer una conexión con el servidor OPC UA desde UA Expert, se puede ver el nombre del certificado autofirmado “eUAServer@axc-f-2152-1”:

Debido a que el certificado no está firmado por una CA de confianza, es necesario que el usuario confíe explícitamente en este certificado.

Después de confirmar que se puede confiar en el certificado, UA Expert puede mostrar el error "BadCertificateHostNameInvalid". Esto se debe a que la URL que se usó para conectarse al servidor OPC UA no coincide con ninguna entrada en los campos IPAddresses o DNSnames del certificado (que se puede ver en las Extensiones UA apartado anterior). Esto se puede corregir agregando las entradas correspondientes al certificado, lo que se puede hacer en la ventana Configuración de OPC UA en PLCnext Engineer.

Tenga en cuenta que, si bien UA Expert ofrece la opción de ignorar los errores BadCertificateHostNameInvalid y seguir conectándose al servidor, muchos otros clientes OPC UA simplemente se negarán a conectarse cuando encuentren este error.

Opción 2:certificado autofirmado generado manualmente

1. En XCA, cree un nuevo certificado autofirmado.
   • Abra (o cree) una base de datos en el menú "Archivo".
   • En la pestaña "Certificados", haga clic en el botón "Nuevo certificado":
   • 
   • En el siguiente cuadro de diálogo, la pestaña Origen estará activa. La opción de firma "crear un certificado autofirmado" ya debería estar marcada de forma predeterminada:
   • Cambie a la pestaña "Asunto" y complete los campos. A continuación se muestra un ejemplo.
   • 
   • Haga clic en el botón "Generar una nueva clave". Esto genera una clave privada única para este certificado.
   • En la pestaña "Extensiones", establezca la Validez del certificado en el período requerido y escriba una entrada en el campo "X509v3 Nombre alternativo del sujeto". Este campo no debe estar vacío; este es un requisito de la especificación OPC UA. Los campos IPAddresses y DNSnames mencionados en la Opción 1 corresponden a estos campos
   • .
   • Haga clic en Aceptar para crear el certificado.
     
2. Después de crear el certificado, seleccione el certificado en la ventana principal de XCA y haga clic en "Exportar". Exporte el certificado y la clave privada sin cifrar, en el formato “PEM + clave (*.pem)”:
3. En PLCnext Engineer, cambie el campo "Certificado" del servidor OPC UA de "Autofirmado por el controlador" a "Archivo en el controlador".
4. Descargue el proyecto PLCnext Engineer al PLC.
5. En la página de administración basada en web del PLC, vaya a Autenticación de certificado ventana en Seguridad sección. Un nuevo Identity Store llamado OPC UA-configurable ha sido creado.
6. Cargue el certificado y la clave desde el archivo creado en el Paso 2, al nuevo Almacén de Identidad:
   • Cargue el certificado haciendo clic en el botón "Establecer" y seleccionando el archivo de certificado/clave. Aparecerá un error que indica que el par de claves existente y el nuevo certificado no coinciden.
   • Cargue la clave privada haciendo clic en el botón "Establecer" y seleccionando el certificado/archivo de clave. El error desaparecerá.
     
7. Reinicie PLCnext Runtime para que el servidor OPC UA recoja el nuevo certificado.

Ahora es posible conectar un cliente al servidor OPC UA utilizando este certificado autofirmado creado manualmente. Al conectarse mediante UA Expert, se pueden ver los detalles del certificado personalizado.

Opción 3:certificado firmado por su propia autoridad de certificación.

En XCA, es posible crear su propia Autoridad de certificación (CA) y luego firmar sus certificados utilizando esta CA. Los pasos adicionales necesarios se describen en el documento "Creación de certificados X.509", al que se hace referencia al comienzo de este artículo. Tenga en cuenta que, al exportar el .pem archivo, el formato de exportación debe ser "Cadena PEM (*.pem)".

Como en la Opción 2 anterior, este certificado debe cargarse en el OPC UA-configurable almacén de identidades.

Opción 4:certificado emitido por una autoridad de certificación de confianza

En este caso, el certificado se adquiere y está firmado por una autoridad de certificación de confianza. Nuevamente, este certificado debe cargarse en el OPC UA-configurable almacén de identidad Si el cliente OPC UA conoce la CA, no debería haber advertencias ni errores al conectarse al servidor OPC UA.

Administración de certificados en un servidor central

En lugar de cargar manualmente los certificados de seguridad en el PLC, los certificados se pueden enviar al PLC desde un servidor OPC UA Global Discovery. Esto ayuda cuando se administran certificados de seguridad en una red que contiene varios servidores OPC UA.

Este tema será abordado en otra publicación.