Konfiguration des OPC UA-Servers

Einführung

Im Konfigurationsfenster des OPC UA-Servers können Sie diesen bedarfsgerecht konfigurieren. Der OPC UA-Server verwendet standardmäßig eine verschlüsselte Kommunikation, wobei die maximalen Sicherheitseinstellungen standardmäßig festgelegt sind.

Zugreifen auf die Registerkarte der OPC UA-Serverkonfiguration

Gehen Sie vor wie folgt, um den OPC UA-Server zu konfigurieren:

Schritt	Aktion
1	Doppelklicken Sie in der Gerätebaumstruktur auf MyController.
2	Wählen Sie die Registerkarte OPC UA-Serverkonfiguration aus.

Registerkarte „OPC UA-Serverkonfiguration“

Die folgende Abbildung zeigt das Fenster zur Konfiguration des OPC UA-Servers:

Beschreibung der OPC UA-Serverkonfiguration

In der nachfolgenden Tabellen werden die Konfigurationsparameter des OPC UA-Servers beschrieben:

Allgemeine Einstellungen
Parameter	Wert	Standardwert	Beschreibung
OPC UA-Server aktiviert	Aktiviert/Deaktiviert	Deaktiviert	Mithilfe dieses Kontrollkästchens werden OPC UA-Server und Client in der Steuerung aktiviert oder deaktiviert.

Sicherheitseinstellungen
Parameter	Wert	Standardwert	Beschreibung
Anonyme Anmeldung deaktivieren	Aktiviert/Deaktiviert	Aktiviert	Deaktivieren Sie dieses Kontrollkästchen, um eine anonyme Anmeldung auf dem OPC UA-Server zu ermöglichen.
Sicherheitsrichtlinien	Keine Basic256 (veraltet) ⁽¹⁾ Basic256Sha256	Basic256Sha256	Mithilfe dieses Dropdown-Menüs können Sie den Austausch schützen, indem Sie die Daten verschlüsseln, die Sie senden und empfangen.
Nachrichtensicherheit	Keine Sign SignAndEncrypt	SignAndEncrypt	Die Meldungen beziehen sich auf die ausgewählte Sicherheitsrichtlinien.
(1) Als veraltet markierte Sicherheitsrichtlinien sind Richtlinien, die kein annehmbares Sicherheitsniveau mehr gewährleisten.

Serverkonfiguration
Parameter	Wert	Standardwert	Beschreibung
Serverport	1 bis 65535	4840	Die Portnummer des OPC UA-Servers. Die OPC UA-Clients müssen diese Portnummer an die TCP-URL der Steuerung anhängen, um eine Verbindung zum OPC UA-Server aufzubauen.
Max. Abonnements pro Sitzung	1 bis 100	20	Geben Sie die maximal zulässige Anzahl an Abonnements innerhalb einer Sitzung an.
Min. Veröffentlichungsintervall	200 bis 5000	1000	Das Veröffentlichungsintervall bestimmt, wie oft der OPC UA-Server Benachrichtigungspakete an die Clients sendet. Geben Sie die Mindestzeit (in ms) zwischen den Benachrichtigungen ein.
Max. überwachte Elemente pro Abonnement	1 bis 1000	100	Die maximale Anzahl an überwachten Elementen im Rahmen jedes Abonnements, die der Server in einem Benachrichtigungspaket gruppiert.
Min. KeepAlive-Intervall	500 bis 5000	500	Der OPC UA-Server sendet nur dann Benachrichtigungen, wenn sich die Werte der überwachten Datenelemente ändern. Bei einer KeepAlive-Benachrichtigung handelt es sich um eine leere Benachrichtigung, die vom Server ausgegeben wird, um den Client darüber zu informieren, dass das Abonnement nach wie vor aktiv ist, obwohl keine Daten geändert wurden. Geben Sie das minimale Intervall (in ms) zwischen den KeepAlive-Benachrichtigungen an.
Max. Anzahl Sitzungen	1 bis 4	2	Die maximale Anzahl an Clients, die gleichzeitig eine Verbindung zum OPC UA-Server herstellen können.
Kennungstyp	String	String	Bei bestimmten OPC UA-Clients ist ein spezifisches Format für die eindeutige Symbolkennung (Knoten-ID) erforderlich.

Diagnose
Parameter	Wert	Standardwert	Beschreibung
Tracing aktivieren	Aktiviert/Deaktiviert	Aktiviert	Aktivieren Sie dieses Kontrollkästchen, wenn OPC UA-Diagnosemeldungen in die Protokolldatei der Steuerung aufgenommen werden sollen. Traces sind auf der Registerkarte Protokoll oder über die Systemprotokolldatei des Webservers verfügbar. Sie können die Kategorie der Ereignisse auswählen, die in die Protokolldatei geschrieben werden sollen: Keine Fehler Warnung System Info Debug Inhalt Alle (Standard)
Abtastraten (ms)	200 bis 5000	500 1000 2000	Die Abtastrate verweist auf ein Zeitintervall in Millisekunden (ms). Nach Ablauf dieses Intervalls sendet der Server das Benachrichtigungspaket an den Client. Die Abtastrate kann kürzer sein als das Veröffentlichungsintervall. In diesem Fall werden die Fallbenachrichtigungen bis zum Ablauf des Veröffentlichungsintervalls in eine Warteschlange eingereiht. Die Abtastraten müssen im Bereich zwischen 200 und 5000 (ms) liegen. Sie können bis zu 3 verschiedene Abtastraten konfigurieren. Doppelklicken Sie auf eine Abtastrate, um deren Wert zu bearbeiten. Um eine Abtastrate in der Liste hinzuzufügen, klicken Sie mit der rechten Maustaste und wählen Sie dann Neue Rate hinzufügen aus. Um eine Abtastrate aus der Liste zu entfernen, wählen Sie den entsprechenden Wert aus und klicken Sie auf .

Klicken Sie auf Auf Standardwerte zurücksetzen, um die Konfigurationsparameter in diesem Fenster auf ihre Standardwerte zurückzusetzen.

Registerkarte „Client-Zertifikatverwaltung“

Auf dieser Registerkarte können Sie bestimmen, welche OPC UA-Clientzertifikate vom OPC UA-Server des M262 Logic/Motion Controller als vertrauenswürdig eingestuft werden.

Symbolleiste der Registerkarte „Client-Zertifikatverwaltung“

Element	Beschreibung
	Beide Zertifikatlisten werden geladen oder aktualisiert.
	Die ausgewählten Zertifikate werden gelöscht.
	Es wird ein Windows-Dialogfeld (Öffnen) geöffnet, um ein Zertifikat, das in die ausgewählte Zertifikatliste hochgeladen wurde, zu importieren (Liste mit vertrauenswürdigen Zertifikaten oder Liste mit widerrufenen Zertifikaten).
	Es wird ein Windows-Dialogfeld (Speichern unter) geöffnet, um die ausgewählten Zertifikate in einen auswählbaren Pfad zu exportieren.
	Es wird ein Dialogfeld geöffnet, das zusätzliche Informationen zum ausgewählten Zertifikat beinhaltet.

Liste mit vertrauenswürdigen und Liste mit widerrufenen Zertifikaten

Ein Zertifikat enthält allgemeine Informationen zum Unternehmen, dem das Zertifikat gehört, zur Gültigkeitsdauer des Zertifikats usw. Die Zertifikatverwaltung stellt zwei Listenansichten bereit:

Vertrauenswürdige Zertifikate
Widerrufene Zertifikate

Element	Beschreibung
Vertrauenswürdige Zertifikate	Diese Liste enthält die Client-Zertifikate, die der Server als vertrauenswürdig einstuft.
Abgelehnte Zertifikate	Diese Liste enthält die Client-Zertifikate, die der Server als nicht vertrauenswürdig einstuft.
	Mithilfe der Schaltflächen << und >> können Sie ein abgelehntes (widerrufenes/gesperrtes) Zertifikat in die Liste der vertrauenswürdigen Zertifikate verschieben oder umgekehrt. Während des Verschiebens werden eine Statusanzeige und die verbleibenden Dateien angezeigt.

Element

Beschreibung

Vertrauenswürdige Zertifikate

Diese Liste enthält die Client-Zertifikate, die der Server als vertrauenswürdig einstuft.

Abgelehnte Zertifikate

Diese Liste enthält die Client-Zertifikate, die der Server als nicht vertrauenswürdig einstuft.

Mithilfe der Schaltflächen << und >> können Sie ein abgelehntes (widerrufenes/gesperrtes) Zertifikat in die Liste der vertrauenswürdigen Zertifikate verschieben oder umgekehrt.

Während des Verschiebens werden eine Statusanzeige und die verbleibenden Dateien angezeigt.

HINWEIS: OPC UA-Client und -Server verwenden dieselbe standardmäßige PKI-Ordnerstruktur, einschließlich der Ordner für vertrauenswürdige und nicht vertrauenswürdige (abgelehnte) Zertifikate. Dies bedeutet, dass es dieselbe Wirkung für Client und Server hat, wenn ein Zertifikat vertrauenswürdig oder nicht vertrauenswürdig ist (abgelehnt wird).

HINWEIS: Das selbstsigniete OPC UA-Zertifikat weist eine Einschränkung auf, wenn die Netzwerkschnittstelle, über die OPC UA kommuniziert, dynamische IP-Adressen (DHCP) verwendet. Wenn Sie DHCP in einer solchen Schnittstelle konfiguriert haben, müssen Sie sicherstellen, dass Ihr OPC UA-Peer das selbstsignierte OPC UA-Zertifizikat des M262 Logic/Motion Controller ohne Prüfung akzeptiert.

Aktionen der OPC UA-Zertifikatverwaltung

In der nachstehenden Tabelle werden die einzelnen Aktionen im Zusammenhang mit der Verwaltung von OPC UA-Zertifikaten sowie deren Umsetzung beschrieben.

Aktion / Aufgabe	EcoStruxure Machine Expert Sicherheitsfenster ⁽¹⁾	EcoStruxure Machine Expert M262-Dateifenster ⁽²⁾	EcoStruxure Machine Expert M262 OPC UA-Serverfenster ⁽³⁾	M262-Webseite Wartung - Zertifikate	FTP Protokoll ⁽²⁾
Zugreifen auf M262 OPC UA-PKI-Ordner	JA	JA	JA	NEIN	JA
Importieren eines Zertifikats	JA	JA	JA	NEIN	JA
Exportieren eines Zertifikats	JA	JA	JA	NEIN	JA
Entfernen eines Zertifikats	JA	JA	JA	NEIN	JA
Einstufen als vertrauenswürdig / Ablehnen eines Zertifikats	NEIN	JA ⁽⁴⁾	JA	JA ⁽⁵⁾	JA ⁽⁴⁾
Prüfen der Zertifikatinformationen	JA	NEIN	JA	NEIN	NEIN
PKI: Public Key Infrastructure (1) Nur für den M262-Ordner der eigenen Zertifikate. (2) Außer für den M262-Ordner der eigenen Zertifikate. (3) Nur Ordner für vertrauenswürdige und nicht vertrauenswürdige (abgelehnte) Zertifikate. (4) Das Zertifikat muss manuell aus dem Ordner für vertrauenswürdige Zertifikate in den Ordner für nicht vertrauenswürdige (abgelehnte) Zertifikate verschoben werden (und umgekehrt). (5) Erfordert Administratorzugriff.

OPC UA-PKI-Ordnerliste und Verwendung

In der Tabelle wird die Public Key Infrastructure (PKI) beschrieben, die vom OPC UA-Server und OPC UA-Client des M262 Logic/Motion Controller gemeinsam genutzt wird. Sie enthält die Liste der Ordner und deren Verwendung.

M262-Dateisystemordner	Beschreibung
/usr/pki	Stammordner der Standard-PKI.
/usr/pki/issuer/certs	Enthält CA-Zertifikate (Certificate Authority), die für die Prüfung von Zertifizierungspfaden erforderlich sind.
/usr/pki/issuer/crl	Enthält Zertifikatsperrlisten (CRL: Certificate Revocation Lists) für CA-Zertifikate.
/usr/pki/trusted/certs	Enthält vertrauenswürdige Zertifikate.
/usr/pki/trusted/crl	Enthält Zertifikatsperrlisten (CRL) für die vertrauenswürdigen Zertifikate.
/usr/pki/untrusted	Enthält nicht vertrauenswürdige Zertifikate.
/usr/pki/quarantine	Nicht verwendet für M262 OPC UA (Vorgängerversionen für andere Dienste).
HINWEIS: Einige der PKI-Ordner sind erst nach dem Download der OPC UA aktivierenden Anwendung (Server/Client) verfügbar, da einige Ordner erst bei der Laufzeitinitialisierung von OPC UA erstellt werden.