História stránky

...

Názov parametra

Popis

Jednotka

Náhradná hodnota

Kotva

	ct
	ct

Client Type

Typ použitého klienta (ovládača na OPC UA komunikáciu):

Default - pôvodná implementácia OPC UA klienta. Podporuje autentifikáciu (parameter Authentication Type) typu Anonymous/Username. Nepodporuje kryptovanie ani podpisovanie správ
Secure - nová implementácia OPC UA klienta s podporou bezpečnosti. Podporuje rozšírené možnosti autentifikácie, kryptovanie aj podpisovanie správ.

Default

Secure

Default

Kotva

	sn
	sn

Session Name

Textový identifikátor session. Identifikátor session by mal byť unikátny v rámci inštancie klienta, vďaka čomu je možné rýchlejšie vyhľadávanie problémov v logoch klienta alebo servera.

String

Kom process

Kotva

	cl
	cl

Requested Channel Lifetime

Navrhovaný čas, pred uplynutím ktorého je potrebné vykonať znovuotvorenie kanála. V prípade, že k nemu nedôjde v danom čase, kanál sa uzavrie a nebude možné v rámci neho vymieňať dáta.

hh:mm:ss

01:00:00

Kotva

	st
	st

Requested Session Timeout

Navrhovaný čas, pred uplynutím ktorého je potrebné medzi klientom a serverom poslať ľubovoľnú správu. V prípade, že sa nepošle do daného času, uvoľnia sa zdroje držané na serveri v rámci danej session. Primárnou úlohou tohto parametra je odstránenie session, ktoré sa z nejakého neočakávaného dôvodu stali neaktívne.

mm:ss

01:00

Kotva

	at
	at

Authentication Type

Typ autentifikácie použitej voči OPC UA serveru. Podporené typy sú:

Anonymous: pripojenie sa anonymne
Username : pripojenie sa za použitia užívateľského mena a hesla
Certificate: pripojenie sa za použitia x509 certifikátu (iba pre Client Type = Secure)

Anonymous / Username

Anonymous

Kotva

	tun
	tun

Token User Name

Ak Authentication type = Username, tak užívateľské meno použité v autentifikácii.
Ak Authentication type = Certificate, tak cesta k užívateľskému certifikátu (napr. D:\user_cert.der).

Kotva

	pwd
	pwd

Token Password

Ak Authentication type = Username, tak heslo použité v autentifikácii.
Ak Authentication type = Certificate, tak cesta k užívateľskému súkromnému kľúču (napr. D:\user_private_key.pem).

Kotva

	sp
	sp

Security Policy

Bezpečnostná politika (iba pre Client Type = Secure; pre Client Type = Default sa používa bezpečnostná politika None):

None - bezpečnostná politika None
Basic128Rsa15 - bezpečnostná politika Basic128Rsa15 (považovaná za zastaralú kvôli použitiu slabého hashovacieho algoritmu SHA-1)
Basic256 - bezpečnostná politika Basic256 (považovaná za zastaralú kvôli použitiu slabého hashovacieho algoritmu SHA-1)
Basic256Sha256 - bezpečnostná politika Basic256Sha256
Aes128Sha256RsaOaep - bezpečnostná politika Aes128Sha256RsaOaep
Aes256Sha256RsaPss - bezpečnostná politika Aes256Sha256RsaPss

None
Basic128Rsa15
Basic256
Basic256Sha256
Aes128Sha256RsaOaep
Aes256Sha256RsaPss

None

Kotva

	sm
	sm

SecurityMode

Spôsob zabezpečenia správ v OPC UA komunikácii (iba pre Client Type = Secure; pre Client Type = Default sa používa spôsob zabezpečenia None):

None - správy nie sú zabezpečené
Sign - správy sú podpísané (zabezpečenie proti modifikácii, ale nie proti odposluchu)
Sign & Encrypt - správy sú zakryptované a podpísané (zabezpečenie proti modifikácii aj proti odposluchu)

None
Sign
Sign & Encrypt

None

Kotva

	ppi
	ppi

Preferred Policy Id

Identifikátor preferovanej Security Policy (iba pre Client Type = Default na kryptovanie hesla). Pokiaľ OPC UA ponúka viacero bezpečnostných politík, je možné vybrať konkrétnu podľa identifikátora zaslaného OPC serverom (identifikátor je možné zistiť z logov). Príklady identifikátora (textový tvar je v zátvorkách):
PolicyId: 30 (0)
PolicyId: 31 (1)
PolicyId: 75 73 65 72 6E 61 6D 65 5F 62 61 73 69 63 31 32 38 52 73 61 31 35 (username_basic128Rsa15)
PolicyId: 75 73 65 72 6E 61 6D 65 5F 62 61 73 69 63 32 35 36 53 68 61 32 35 36 (username_basic256Sha256)

-

Kotva

	rcd
	rcd

Reconnect Delay

Čakanie po rozpade spojenia, pred opakovaným nadviazaním spojenia.

mm:ss.mss

00:10.000

Kotva

	ecd
	ecd

Error Connect Delay

Čakanie po neúspešnom pokuse o nadviazanie spojenia.

mm:ss.mss

00:02.000

Kotva

	ord
	ord

Object Reinit Delay

Čakanie po neúspešnom pokuse o vytvorenie monitored items. Ak je nulové, pokus sa neopakuje. Ak je nenulové, pokus sa opakuje po definovanom čakaní.
Pozn: v prípade konkrétneho OPC UA servera (Simatic S-7) mohlo dôjsť k tomu, že sa po reštarte PLC nepodarilo vytvorenie monitored items, ale o nejaký čas (po skončení kompletnej inicializácie PLC?) sa vytvorenie už podarilo.

sec

0

Kotva

	dsf
	dsf

Disconnect On ServiceFault

Ukončenie spojenia po príjme správy ServiceFault.

YES/NO

NO

Kotva

	dm
	dm

Debug Mode

Pomocou daného parametru je možné zmeniť počet informácií o chode komunikácie. Režimy Extended/Full odporúčame zapínať iba pri detekcii problémov a ladení komunikácie. Režim "Full + Trace (Secure only)" je platný iba pre Client Type = Secure.

Normal/Extended/Full/
Full + Trace (Secure only)

Normal

Kotva

	dt
	dt

Debug Threads

Parameter určuje vlákno, resp. vlákna, ktoré budú posielať informačné výpisy o chode komunikácie.

Receiving/Sending/Others treads/All threads

All threads

Kotva

	kom-opcua
	kom-opcua

Poznámka: všetky X509 certifikáty použité v OPC UA komunikácii sa nachádzajú v nasledovných podadresároch adresára kom-opcua v aplikačnom adresári:

...

Ver. 1.0 – 10. máj 2012
Ver. 1.1 – 17. december 2018: doplnené recyklovanie prehliadacieho okna a browsovanie štruktúrovaných tagov
Ver. 1.2 – 4. apríla 2024: Pridaná podpora pre prehliadanie všetkých typov tagov

Info

title	Generovanie klientských certifikátov

Generovanie klientských certifikátov pre OPC UA s pomocou OpenSSL. Na Windows sme použili https://slproweb.com/products/Win32OpenSSL.html.

Pred generovaním treba vytvoriť súbor domain.ext s nasledovným obsahom:

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
#basicConstraints=CA:FALSE
basicConstraints=critical, CA:TRUE, pathlen:0
#keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign
keyUsage = critical,  digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyCertSign
extendedKeyUsage = critical, serverAuth, clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = servername
URI.1 = urn:Scada:Ipesoft:D2000 Kom

Upravte prípadne položku URI.1, syntax je urn:<počítač>:<výrobca>:<aplikácia>
a položku DNS.1 (názov servera).

Následne vygenerujte kľúč (napr. ProSoft PLX32-EIP-MBTCP-UA Multi-Protocol Gateway potreboval 2048-bitový, iné zariadenia akceptovali 4096-bitový):

openssl genrsa -out private.pem 2048

a vygenerujte certificate signing request (CSR):

openssl req -new -key private.pem -out private.csr

Následne je nutné zadať viaceré parametre. Podľa vzoru UaExpert-a vypĺňame iba Organization Name, Common Name a Email Address, namiesto ostatných parametrov zadáme bodku (aby boli prázdne).

Country Name (2 letter code) [AU]:.
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany
Organizational Unit Name (eg, section) []:.
Common Name (e.g. server FQDN or YOUR name) []:kom@servername
Email Address []:ipesoft@ipesoft.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Následne vygenerujte certifikát platný days dní (10000 zodpovedá cca 27 rokov).

openssl x509 -req -days 10000 -in private.csr -signkey private.pem -out cert.crt  -extfile domain.ext

Certifikát cert.crt skonvertujte na der formát:

openssl x509 -inform pem -in cert.crt -outform der -out cert.der

Výsledný certifikát (cert.der) nakopírujte do adresára own a privátny kľúč (private.pem) do adresára private v adresári kom-opcua, viď poznámku.

Pozn: takto vygenerovaný privátny kľúč/certifikát je použiteľný aj pre nástroj Unified Automation UaExpert.

Info

title	Súvisiace stránky:

Komunikačné protokoly

...

Strom stránky

Porovnávané verzie

Stará verzia 58

Nová verzia 59

Kľúč