OPC Unified Architecture (OPC UA) je protokol pre priemyselnú automatizáciu. Tento protokol, ktorý spravuje organizácia OPC Foundation, je nástupcom úspešného a často používaného protokolu OPC (OPC DA alebo OPC Classic). Na rozdiel od svojho predchodcu nie je postavený na Windows technológiách (OLE, COM) a je tak dostupný aj na iných platformách (napr. PLC Simatic, alebo Bernecker & Rainer).

D2000 OPC UA Server umožňuje OPC UA klientom tretích strán pristupovať k objektom systému D2000 - čítať a zapisovať ich hodnoty.

D2000 OPC UA Server sa nachádza v programovom adresári D2000 inštalácie pod menom "opcuaserver.exe" (resp. "opcuaserver" na Linuxe a na Raspbiane).

Vlastnosti D2000 OPC UA Servera

podpora protokolu opc.tcp://

podpora identít:

  • ANONYMOUS
  • meno:heslo

podpora bezpečnostných politík:

  • None
  • Basic128Rsa15
  • Basic256
  • Basic256Sha256

módy zabezpečenia správ (Message Security Modes):

  • None
  • Sign
  • Sign&Encrypt

Konfigurácia užívateľa pre D2000 OPC UA Server

Aby D2000 OPC UA Server mohol pristupovať k jednotlivým objektom systému D2000, je potrebné vytvoriť v systéme D2000 užívateľa, pod ktorým sa OPC UA Server prihlási k serveru D2000. OPC UA Server dostane prístupové práva tohto užívateľa. Meno užívateľa musí byť vo formáte „OPCUA_User_<meno_procesu_opcua>“. Napríklad, ak je OPC UA Server nazvaný „SELF.OUS“ (default, meno procesu je možné zmeniť prepínačom /W), tak meno príslušného užívateľa bude „OPCUA_User_SELF“. Tomutu užívateľovi je potrebné nastaviť k objektom systému D2000 prístupové práva, ktoré budú kontrolované pri operáciách čítania/zápisu hodnôt OPC klientom.

Konfigurácia D2000 OPC UA Servera

Konfiguráciu OPC UA Server číta zo súboru. Cestu ku konfiguračnému súboru je nutné špecifikovať štartovacím parametrom --cfg=<cesta_ku_konfiguracnemu_suboru>, napríklad "opcuaserver.exe --cfg=c:\D2000\D2000_APP\application1\opcuaserver\opcuaserver.conf". Vzorový konfiguračný súbor sa nachádza v programovom adresári v podadresári Templates\opcuaserver\opcuaserver.conf.in (resp. .sys\templates\opcuaserver\opcuaserver.conf.in na Linuxe). V tomto súbore sú niektoré parametre už predvyplnené, je nutné nastaviť aspoň parameter pki_dir a vytvoriť adresárovú štruktúru pre PKI.

V súbore je možné špecifikovať nasledujúce parametre:

ParameterHodnota
application_namemeno aplikácie
application_uriURI aplikácie
pki_dirplná cesta k adresáru PKI štruktúry (napríklad 'c:\D2000\D2000_APP\application1\opcuaserver\pki')
tcp_config.hostadresa sieťového adaptéra na ktorom OPC UA server príjma spojenia (0.0.0.0 pre všetky sieťové adaptéry)
tcp_config.portport na ktorom OPC UA server príjma spojenia
user_tokenszoznam nakonfigurovaných používateľov, pod ktorými sa možu prihlasovať OPC UA klienti
endpointszoznam prístupových bodov OPC UA servera

Konfiguračný súbor je čítaný len pri štarte OPC UA servera, takže úpravy parametrov v súbore sa prejavia až po jeho reštarte. Ak adresárová štruktúra PKI neexistuje, OPC UA server ju vytvorí (prázdnu, bez kľúčov a certifikátov) podľa nastavenia parametra pki_dir.

Konfigurácia PKI (public key infrastructure)

Pre prevádzkovanie zabezpečenej komunikácie medzi OPC UA serverom a OPC UA klientami je potrebné pre OPC UA server vytvoriť PKI adresárovú štruktúru, privátny kľúč a certifikát.

Adresárová štruktúra pozostáva z adresárov:

názov adresárapopis
pki/adresár PKI
pki/private/adresár s privátnym kľúčom OPC UA servera
pki/own/adresár s verejným certifikátom OPC UA servera
pki/rejected/adresár s certifikátmi zamietnutých klientov
pki/trusted/adresár s certifikátmi povolených klientov
Privátny kľúč je nutné zabezpečiť proti neoprávnenému prístupu.


Generovanie privátneho kľúča a certificate signing request pomocou utility openssl:

openssl req -out csr.csr -new -newkey rsa:2048 -nodes -keyout pki/private/private.pem

Vytvorenie self-signed certifikátu:

openssl x509 -req -days 365 -in csr.csr -signkey pki/private/private.pem -outform der -out pki/own/cert.der


Manažment certifikátov OPC UA klientov

Pri vytváraní zabezpečeného pripojenia OPC UA klient pošle OPC UA serveru svoj certifikát. Po pripojení neznámeho OPC UA klienta OPC UA server klienta odmietne a jeho certifikát uloží do adresára "pki/rejected/". Správca D2000 aplikácie následne musí manuálne presunúť daný certifikát do adresára "pki/trusted/". To zabezpečí, že daného klienta bude server považovať za dôveryhodného a spojenie prijme.


Manažment mien a hesiel OPC UA klientov

Konfigurácie mien a hesiel OPC UA klientov sú v konfiguračnom súbore  opcuaserver.conf. Preddefinovaný je jediná užívateľský token sample_user s menom sample s heslom sample1:

user_tokens:
  sample_user:
    user: sample
    pass: sample1


V definíciach jednotlivých endpointov sú vymenované povolené užívateľské tokeny, prípadne je povolený aj anonymný prístup (ANONYMOUS):

basic256sha256_sign_encrypt:
    path: /
    security_policy: Basic256Sha256
    security_mode: SignAndEncrypt
    security_level: 4
    user_token_ids:
      - ANONYMOUS
      - sample_user




Napíšte komentár