OPC Unified Architecture (OPC UA) je protkol protokol pre priemyselnú automatizáciu. Protokol Tento protokol, ktorý spravuje organizácia OPC Foundation, je nástupcom úspešného a často používaného protokolu OPC (OPC DA alebo OPC Classic). Na rozdiel od svojho predchodcu nie je postavený na Windows technológiách (OLE, COM) a je tak dostupný aj na iných platformách (napr. PLC Simatic, alebo Bernecker & Rainer).
D2000 OPC UA Server umožňuje OPC UA klientom tretích strán pristupovať k objektom systému D2000 - čítať a zapisovať ich hodnoty.
D2000 OPC UA Server sa nacházda nachádza v programovom adresári D2000 inštalácie pod menom "opcuaserver.exe" (resp. "opcuaserver" na Linuxe a na Raspbiane).
Vlastnosti D2000 OPC UA Servera
...
módy zabezpečenia správ (Message Security Modes):
- None
- Sign
- Sign&Encrypt
Konfigurácia
...
užívateľa pre D2000 OPC UA Server
Aby D2000 OPC UA Server mohol pristupovať k jednotlivým objektom systému D2000, je potrebné vytvoriť v systéme D2000 užívateľa, pod ktorým sa OPC UA Server prihlási k serveru D2000. OPC UA Server dostane prístupové práva tohto užívateľa. Meno užívateľa musí byť vo formáte „OPCUA_User_<meno_procesu_opcua>“. Napríklad, ak je OPC UA Server nazvaný „SELF“ „SELF.OUS“ (default, meno procesu je možné zmeniť prepínačom /W), tak meno príslušného užívateľa bude „OPCUA_User_SELF“. Tomutu užívateľovi je potrebné nastaviť prístupové práva k objektom systému D2000 prístupové práva, ktoré budú kontrolované pri operáciách čítania/zápisu hodnôt z OPC klientaklientom.
Konfigurácia D2000 OPC UA Servera
...
| Parameter | Hodnota |
|---|---|
| application_name | meno aplikácie |
| application_uri | URI aplikácie |
| pki_dir | adresár plná cesta k adresáru PKI štruktúry (napríklad 'c:\D2000\D2000_APP\application1\opcuaserver\pki') |
| tcp_config.host | adresa sieťového adaptéra na ktorom OPC UA server príjma spojenia (0.0.0.0 pre všetky sieťové adaptéry) |
| tcp_config.port | port na ktorom OPC UA server príjma spojenia |
| user_tokens | zoznam nakonfigurovaných používateľov, pod ktorými sa možu prihlasovať OPC UA klienti |
| endpoints | zoznam prístupových bodov OPC UA servera |
...
| Blok kódu | ||
|---|---|---|
| ||
openssl req -out csr.csr -new -newkey rsa:2048 -nodes -keyout pki/private/private.pem |
Vytvorenie self-signed certifikátu:
| Blok kódu | ||
|---|---|---|
| ||
openssl x509 -req -days 365 -in csr.csr -signkey pki/private/private.pem -outform der -out pki/own/cert.der |
...
Manažment certifikátov OPC UA klientov
Pri zabezpečenom pripojení vytváraní zabezpečeného pripojenia OPC UA klient pošle OPC UA serveru svoj certifikát. Po pripojení neznámeho OPC UA klienta OPC UA server klienta odmietne a jeho certifikát uloží do adresára "pki/rejected/". Správca D2000 aplikácie následne musí manuálne presunúť daný certifikát do adresára "pki/trusted/". To zabezpečí, že daného klienta bude server považovať za dôveryhodného a spojenie prijme.
Manažment mien a hesiel OPC UA klientov
Konfigurácie mien a hesiel OPC UA klientov sú v konfiguračnom súbore opcuaserver.conf. Preddefinovaný je jediná užívateľský token sample_user s menom sample s heslom sample1:
user_tokens:
sample_user:
user: sample
pass: sample1
V definíciach jednotlivých endpointov sú vymenované povolené užívateľské tokeny, prípadne je povolený aj anonymný prístup (ANONYMOUS):
basic256sha256_sign_encrypt:
path: /
security_policy: Basic256Sha256
security_mode: SignAndEncrypt
security_level: 4
user_token_ids:
- ANONYMOUS
- sample_user