Porovnávané verzie

Stará verzia 60

changes.mady.by.user D2000 Dev Team

Uložené

porovnané s

Nová verzia Aktuálny

changes.mady.by.user D2000 Dev Team

Uložené

Kľúč

  • Tento riadok sa pridal
  • Riadok je odstránený.
  • Formátovanie sa zmenilo.

...

Info
titleGenerovanie klientských certifikátov

Generovanie klientských certifikátov pre OPC UA s pomocou OpenSSL. Na Windows sme použili https://slproweb.com/products/Win32OpenSSL.html.

Pred generovaním treba vytvoriť súbor domain.ext s nasledovným obsahom:


subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=critical, CA:TRUE, pathlen:0
keyUsage = critical,  digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyCertSign
extendedKeyUsage = critical, serverAuth, clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = servername
URI.1 = urn:Scada:Ipesoft:D2000 Kom


Upravte prípadne položku URI.1, syntax je urn:<počítač>:<výrobca>:<aplikácia>
a položku DNS.1 (názov servera).

Následne vygenerujte kľúč (napr. ProSoft PLX32-EIP-MBTCP-UA Multi-Protocol Gateway potreboval 2048-bitový, iné zariadenia akceptovali 4096-bitový):

openssl genrsa -out private.pem 2048

a vygenerujte certificate signing request (CSR):

openssl req -new -key private.pem -out private.csr

Následne je nutné zadať viaceré parametre. Podľa vzoru UaExpert-a vypĺňame iba Organization Name, Common Name a Email Address, namiesto ostatných parametrov zadáme bodku (aby boli prázdne).

Country Name (2 letter code) [AU]:.
        State or Province Name (full name) [Some-State]:.
        Locality Name (eg, city) []:.
        Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany
        Organizational Unit Name (eg, section) []:.
        Common Name (e.g. server FQDN or YOUR name) []:kom@servername
        Email Address []:ipesoft@ipesoft.com
        
        Please enter the following 'extra' attributes
        to be sent with your certificate request
        A challenge password []:
        An optional company name []:

Následne vygenerujte certifikát platný days dní (10000 zodpovedá cca 27 rokov).

openssl x509 -req -days 10000 -in private.csr -signkey private.pem -out cert.crt  -extfile domain.ext

Certifikát cert.crt skonvertujte na der formát:

openssl x509 -inform pem -in cert.crt -outform der -out cert.der

Výsledný certifikát (cert.der) nakopírujte do adresára own a privátny kľúč (private.pem) do adresára private v adresári kom-opcua, viď poznámku.

Pozn: takto vygenerovaný privátny kľúč/certifikát je použiteľný aj pre nástroj Unified Automation UaExpert.

...