Gestión de certificados para el cliente OPC UA
El cliente OPC UA incluido en el Modicon M262 Logic/Motion Controller admite la comunicación segura mediante TLS (Transport Layer Security).
En el contexto de TLS, los certificados pueden utilizarse para comprobar la identidad de los participantes en la comunicación. Los certificados se envían mientras se establece la conexión, lo que se conoce como protocolo de enlace de TLS. La conexión con el participante en la comunicación solo podrá establecerse si el resultado de la comprobación del certificado es positivo.
Si no puede establecerse la conexión con el servidor OPC UA, es posible que el resultado de la comprobación del certificado haya sido negativo.
Para resolver este problema, tenga en cuenta los siguientes puntos:
oCompruebe si el servidor OPC UA acepta únicamente conexiones con certificados de confianza. Si es así, compruebe si el certificado del controlador se añade a la lista de certificados de confianza.
oCompruebe si su aplicación está configurada para aceptar únicamente conexiones con certificados de confianza. Si es así, compruebe si el certificado recibido se añade a la lista de certificados de confianza.
Siempre deberá comprobarse la autenticidad del certificado del participante en la comunicación. De este modo, se evita que se acepte una conexión de manera no intencionada con un dispositivo o servicio no autorizados. Para ello, el certificado del participante en la comunicación o el certificado de su emisor deberán haberse clasificado como de confianza previamente.
El principal objetivo de este documento es describir dos aspectos:
oCómo declarar un certificado de servidor digital como de confianza para el cliente OPC UA incluido en el controlador M262.
oCómo obtener el certificado digital del controlador para transferirlo manualmente al servidor del M262.
Con los pasos siguientes, se describe el flujo de trabajo de gestión de certificados de clientes OPC UA mediante certificados intercambiados manualmente entre cliente y servidor:
|
Paso |
Acción |
|---|---|
|
1 |
Obtenga el certificado de cliente para el Modicon M262 Logic/Motion Controller. Consulte la sección siguiente. |
|
2 |
Transfiera el certificado del Modicon M262 Logic/Motion Controller al servidor. |
|
3 |
Compruebe que el certificado del cliente OPC UA del M262 sea de confianza para el servidor. |
|
4 |
Obtenga el certificado del servidor. |
|
5 |
Descargue el certificado del servidor en el Modicon M262 Logic/Motion Controller. Consulte la sección siguiente. |
|
6 |
Declare el certificado de servidor recibido como certificado de confianza. Consulte la sección siguiente. |
|
7 |
Conecte el cliente OPC UA del M262 con el servidor. |
Flujo de trabajo de gestión de certificados de clientes OPC UA mediante certificados intercambiados automáticamente entre cliente y servidor:
|
Paso |
Acción |
|---|---|
|
1 |
Intente conectar el cliente M262 del OPC UA con el servidor. (Sin el certificado del servidor de confianza, esta primera conexión será previsiblemente incorrecta, si bien permitirá al cliente OPC UA del M262 intercambiar automáticamente los certificados con el servidor). |
|
2 |
Compruebe que el certificado del cliente M262 del OPC UA sea de confianza para el servidor. |
|
3 |
Declare el certificado de servidor recibido como certificado de confianza. Consulte la sección siguiente. |
|
4 |
Conecte el cliente OPC UA del M262 con el servidor. |
Declarar que un certificado digital es de confianza
En el caso del controlador M262, cada certificado desconocido o que no sea de confianza que se reciba con el protocolo de enlace TLS durante la inicialización de una conexión OPC UA se almacenará en una carpeta exclusiva del controlador. Es posible acceder a esta carpeta, así como a la carpeta que contiene los certificados de confianza, a través del servidor web del controlador. En ella, verá los certificados rechazados o que no son de confianza, además de los que sí son de confianza. Asimismo, puede determinar si un certificado debe o no declararse como de confianza.
Desde la página web Certificates del servidor web del controlador, podrá mover los certificados recibidos (de los servidores o clientes OPC UA) de la carpeta Rejected a la carpeta Trusted. De la misma manera, los certificados que ya sean de confianza pueden degradarse al estado rechazado (no de confianza).
NOTA: Para la gestión de certificados, es necesario que el controlador cuente con un servidor web de conexión segura (a través de https://).
Para obtener más información acerca del servidor web, consulte la Modicon M262 Logic/Motion Controller Guía de programación\...\Maintenance: Certificates Submenu.
Obtener el certificado del controlador
Es posible que necesite transferir manualmente el certificado digital del controlador al servidor OPC UA. El controlador M262 dispone de su propio certificado autofirmado que se crea la primera vez que se enciende el controlador. Para obtener este certificado mediante la Security Screen de EcoStruxure Machine Expert Logic Builder, proceda tal como se describe en la tabla siguiente.
|
Paso |
Acción |
Descripción/Comentario |
|---|---|---|
|
1 |
Abra EcoStruxure Machine Expert Logic Builder y cree un proyecto con el controlador M262 correspondiente. |
- |
|
2 |
En EcoStruxure Machine Expert Logic Builder, ejecute el editor Security Screen del menú View. |
- |
|
3 |
Cambie a la ficha Devices de la Security Screen. |
- |
|
4 |
Haga clic en el botón Refresh the list of available devices and their certificate stores. |
Resultado: la pantalla se actualiza de acuerdo con la información recibida del controlador conectado. |
|
5 |
Seleccione la ficha Own Certificates. |
- |
|
6 |
Seleccione el certificado en la lista del lado derecho del editor Security Screen y haga clic en el botón Upload the selected certificate from the device and save it to your PC. |
Consulte la siguiente figura. |
|
7 |
En el cuadro de diálogo Guardar como, vaya a la carpeta del PC en la que desee guardar el archivo de certificado y haga clic en el botón Guardar. |
- |
Consulte asimismo el capítulo Editor Security Screen de la guía Cómo gestionar certificados - Guía del usuario.
Descargar el certificado del servidor en el Modicon M262 Logic/Motion Controller
|
Paso |
Acción |
Descripción/Comentario |
|---|---|---|
|
1 |
Abra EcoStruxure Machine Expert. |
- |
|
2 |
Cree un proyecto que se corresponda con el Modicon M262 Logic/Motion Controller. |
- |
|
3 |
Configure los parámetros de comunicación del controlador. |
- |
|
4 |
Abra la Security Screen (pantalla de seguridad). Consulte asimismo el capítulo Editor Security Screen de la guía Cómo gestionar certificados - Guía del usuario. |
NOTA: La Security Screen se representa mediante el icono de un escudo en la esquina inferior derecha de la ventana de EcoStruxure Machine Expert. |
|
5 |
Abra la ficha Devices de la Security Screen. |
- |
|
6 |
Haga clic en el botón Refresh. |
- |
|
7 |
Seleccione su controlador M262. |
- |
|
8 |
Seleccione la ficha Untrusted Certificates. |
- |
|
9 |
Haga clic en el botón Descargar certificado del lado izquierdo. |
- |
|
10 |
Seleccione la carpeta del ordenador en la que se encuentra el certificado del servidor y seleccione el archivo de certificado que desea descargar. |
- |
|
11 |
Haga clic en el botón Abrir. |
NOTA: Para actualizar las listas de certificados de la Security Screen, es necesario reiniciar el controlador. |
Declarar un certificado recibido como certificado de confianza
|
Paso |
Acción |
Descripción/Comentario |
|---|---|---|
|
1 |
Inicie sesión en el servidor web del controlador. Para ello, inicie un navegador de Internet e introduzca la siguiente dirección: https://<dirección_ip_del_controlador>/ |
- |
|
2 |
Introduzca las credenciales de usuario. |
- |
|
3 |
Seleccione la ficha Mantenimiento. |
- |
|
4 |
Seleccione el submenú Certificados del lado izquierdo. |
- |
|
5 |
Seleccione el certificado OPC UA de la lista Rejected (no de confianza). |
NOTA: Compruebe que haya cargado el certificado deseado (a través de la Security Screen de EcoStruxure Machine Expert) o si ya ha intentado conectar con este servidor OPC UA anteriormente. |
|
6 |
Haga clic en el botón >> para mover el certificado a la lista Trusted. |
- |
Declarar un certificado recibido como certificado que no es de confianza
|
Paso |
Acción |
Descripción/Comentario |
|---|---|---|
|
1 |
Inicie sesión en el servidor web del controlador. Para ello, inicie un navegador de Internet e introduzca la siguiente dirección: https://<dirección_ip_del_controlador>/ |
- |
|
2 |
Introduzca las credenciales de usuario. |
- |
|
3 |
Seleccione la ficha Mantenimiento. |
- |
|
4 |
Seleccione el submenú Certificados del lado izquierdo. |
- |
|
5 |
Seleccione el certificado OPC UA de la lista Trusted (De confianza). |
NOTA: Compruebe que haya cargado el certificado deseado (a través de la Security Screen de EcoStruxure Machine Expert) o si ya ha intentado conectar con este servidor OPC UA anteriormente. |
|
6 |
Haga clic en el botón << para mover el certificado a la lista Rejected (no de confianza). |
- |
NOTA: Mueva los certificados que ya no estén activos o que ya no necesite a la lista Rejected. De esta manera, evitará conexiones no intencionadas con el servidor OPC UA.
