TOP Server OPC Server教程：探索OPC UA之OPC UA证书基础

TOP Server OPC Server采用业界领先的Kepware技术，是Software Toolbox's OPC和原生HMI设备的连接软件，也是一款多线程应用程序，能够利用最新的双核处理器和多处理器技术最大化您的性能。其灵活而强大的功能可最大程度降低项目的生命周期成本；模块化架构和通用用户界面可以降低您的培训成本，因为在不同的驱动程序中使用了100种常用方法，帮助您学习TOP Server，并快速应用与其他驱动程序相同的知识。

点击下载TOP Server OPC Server最新试用版

证书在加密应用程序和在线通信协议中的使用并不是什么新鲜事物，实际上可以追溯到1970年代，那时的公钥加密“框架”应运而生（有关更多内容，请参见以后的博客）。随着欧洲（现在还不是最近）工业4.0运动的兴起，以及IIoT现象带来的设计和运营变化，我们看到越来越多的系统–传统上一直处于空白状态并保持离线状态–上网以利用我们发现自己的数字革命的优势。

在我们正在进行的这第一篇文章探索OPC UA系列博客，我们将看看OPC UA证书也是他们提供和随后的帖子将进一步探索如何，他们都在OPC UA，使用它们如何适应的安全“栈” OPC UA，然后将介绍如何在几个软件工具箱应用程序中使用和管理OPC UA证书。但是，什么是OPC UA证书？它们的用途是什么？

如果您曾经在OPC UA客户端和OPC UA服务器之间配置过OPC UA连接–您可能熟悉OPC UA证书。OPC UA使用X.509证书标准，该标准定义了标准的公钥格式（有关公钥/私钥以及如何使用它们的更多信息，请参阅本系列的第2部分），并在OPC UA中用于三个主要功能：

1、OPC UA消息签名可验证通信完整性

应用程序使用其私钥生成消息签名/哈希，然后可以使用相应的公钥证书对其进行验证。如果私钥签名签出，则确保该消息来自相应的应用程序。修改传输中的消息（例如在中间人攻击中可能就是这种情况）将导致消息签名/哈希不再正确-显示消息是在飞行中修改的。

2、OPC UA消息加密使通讯安全不受窥视

与可以使用应用程序的私钥对消息进行签名以确保消息是由批准的应用程序生成的方式相同，可以使用公共密钥对消息进行加密。一旦使用公钥加密消息，只有具有相应私钥的应用程序才能解密该消息（最酷的部分是，攻击者甚至可以拥有该公钥的副本，并且他们将无法解密该消息，已被加密；公共密钥仅用于加密-不能用于解密自己的消息）

3、OPC UA应用程序标识提供了可信度的度量

如果没有办法确定我们正在使用的证书，那么自然能够对消息进行签名和加密/解密对我们来说就没有太大的好处。因此，每个OPC UA证书还提供有关以下信息的标识信息：哪个应用程序生成了证书，何时生成，由谁生成，该证书可以用于什么，该证书应使用多长时间，在何处生成以及许多其他事情。

这三个功能的核心是信任的概念。当两个具有OPC UA功能的应用程序首次连接时，它们交换它们的公共密钥（这些作为应用程序/ OPC UA证书的一部分包含在内），同时保持其相应的私有密钥。

现在，由用户进入每个应用程序（客户端和服务器）并信任另一方的公共证书（如果您正在阅读此书并说“请稍等一下使用本地发现服务器（LDS）和您当然是正确的“全局发现服务器（GDS）”，但这是另一个话题。但是要小心–在您的应用程序中信任证书似乎是一个微不足道的步骤，但是您是在告诉您的应用程序另一个应用程序是可信任的并且可以连接/通信。确保验证您信任的证书已经过审核–毕竟，当您将坏人的钥匙交给钥匙时，锁着的门是不好的。

了解OPC UA更多相关信息，欢迎持续关注后续文章

想要购买该产品正版授权，或了解更多产品信息请点击