Gestione dei certificati per il client OPC UA
Il client OPC UA fornito sul Modicon M262 Logic/Motion Controller supporta una comunicazione protetta mediante TLS (Transport Layer Security)
Nel contesto di TLS, è possibile utilizzare i certificati per verificare l'identità dei partner di comunicazione. I certificati vengono scambiati quando si stabilisce una connessione, questa attività viene detta handshake TLS. Solo se il risultato della verifica del certificato è positiva, è possibile stabilire una connessione con il partner di comunicazione.
Se non è possibile stabilire la connessione con il server OPC UA, il motivo potrebbe dipendere da un risultato errato della verifica del certificato.
Per risolvere tale problema, tenere presente i punti seguenti:
oVerificare se il server OPC UA accetta solo connessioni con certificati attendibili. In tale caso, verificare che il certificato del controller venga aggiunto all'elenco dei certificati attendibili.
oVerificare se l'applicazione è configurata per accettare solo connessioni con certificati attendibili. In questo caso, verificare che il certificato ricevuto venga aggiunto all'elenco di certificati attendibili.
L'autenticità del certificato del partner di comunicazione deve essere sempre verificata. In questo modo si evita di accettare involontariamente una connessione con un dispositivo o servizio non autorizzato. Per questo, il certificato del partner di comunicazione o il certificato del relativo autore deve essere precedentemente classificato come attendibile.
Lo scopo principale di questo documento è la descrizione di due attività:
oCome è possibile dichiarare un certificato di server digitale attendibile per il client OPC UA fornito sul controller M262.
oCome è possibile ottenere un certificato digitale del controller per trasferirlo manualmente al server M262.
La procedura seguente descrive il flusso di lavoro di gestione del certificato del client OPC UA mediante certificati scambiati manualmente tra client e server:
|
Passo |
Azione |
|---|---|
|
1 |
Ottenere il certificato del client per il Modicon M262 Logic/Motion Controller. Consultare la sezione di seguito. |
|
2 |
Trasferire il certificato del Modicon M262 Logic/Motion Controller al server. |
|
3 |
Verificare che il server consideri attendibile il certificato del client M262 OPC UA. |
|
4 |
Ottenere il certificato del server. |
|
5 |
Scaricare il certificato del server sul Modicon M262 Logic/Motion Controller. Consultare la sezione di seguito. |
|
6 |
Dichiarare il certificato del server come un certificato attendibile. Consultare la sezione di seguito. |
|
7 |
Collegare il client M262 OPC UA al server. |
Flusso di lavoro di gestione del certificato del client OPC UA mediante certificati scambiati automaticamente tra client e server:
|
Passo |
Azione |
|---|---|
|
1 |
Cercare di collegare il client M262 OPC UA al server. (È previsto che questa prima connessione senza il certificato attendibile del server non riesca, ma il client M262 OPC UA può così scambiare automaticamente i certificati con il server). |
|
2 |
Verificare che il server consideri attendibile il certificato del client M262 OPC UA. |
|
3 |
Dichiarare il certificato del server come un certificato attendibile. Consultare la sezione di seguito. |
|
4 |
Collegare il client M262 OPC UA al server. |
Dichiarare attendibile un certificato digitale
Per il controller M262, ogni certificato sconosciuto o non attendibile, ricevuto con l'handshake TLS durante l'inizializzazione di una connessione OPC UA, viene archiviato in una cartella dedicata sul controller. A questa cartella, oltre a quella contenente i certificati attendibili, è possibile accedere tramite il server Web del controller. Qui è possibile vedere i certificati rifiutati/non attendibili e quelli attendibili. Inoltre, è possibile determinare se dichiarare attendibile un certificato.
Dalla pagina Web Certificates sul server Web del controller, è possibile spostare i certificati ricevuti (dai server o client OPC UA) dalla cartella Rejected in Trusted. Analogamente, i certificati già considerati attendibili possono essere declassati a rifiutati (non attendibili).
NOTA: Per gestire i certificati, è richiesta una connessione con il server Web del controller (tramite https://).
Per ulteriori informazioni sul server Web, vedere Modicon M262 Logic/Motion Controller Guida di programmazione\...\Maintenance: Certificates Submenu.
Ottenere il certificato del controller
Può essere necessario trasferire il certificato digitale del controller manualmente nel server OPC UA. Il controller M262 possiede il proprio certificato autofirmato creato alla prima accensione del controller. Tale certificato può essere ottenuto mediante Security Screen in EcoStruxure Machine Expert Logic Builder, procedendo come descritto nella tabella seguente.
|
Passo |
Azione |
Descrizione/Commento |
|---|---|---|
|
1 |
Aprire EcoStruxure Machine Expert Logic Builder e creare un progetto con il controller M262 corrispondente. |
- |
|
2 |
In EcoStruxure Machine ExpertLogic Builder, eseguire l'editor Security Screen dal menu View. |
- |
|
3 |
Passare alla scheda Devices di Security Screen. |
- |
|
4 |
Fare clic sul pulsante Refresh the list of available devices and their certificate stores. |
Risultato: la visualizzazione si aggiorna in base alle informazioni ricevute dal controller connesso. |
|
5 |
Selezionare la scheda Own Certificates. |
- |
|
6 |
Selezionare il certificato dall'elenco sul lato destro dell'editor Security Screen e fare clic sul pulsante Upload the selected certificate from the device and save it to your PC. |
Vedere la figura seguente. |
|
7 |
Nella finestra di dialogo Salva con nome spostarsi fino alla cartella del PC in cui si desidera salvare il file del certificato e fare clic sul pulsante Salva. |
- |
Consultare inoltre il capitolo Editor Security Screen in Come gestire i certificati - Guida utente.
Scaricare il certificato del server sul Modicon M262 Logic/Motion Controller.
|
Passo |
Azione |
Descrizione/Commento |
|---|---|---|
|
1 |
Aprire EcoStruxure Machine Expert. |
- |
|
2 |
Creare un progetto corrispondente al Modicon M262 Logic/Motion Controller. |
- |
|
3 |
Configurare le impostazioni di comunicazione del controller. |
- |
|
4 |
Aprire Security Screen. Consultare inoltre il capitolo Editor Security Screen in Come gestire i certificati - Guida utente. |
NOTA: Security Screen è rappresentato dall'icona di uno scudo nell'angolo inferiore destro della finestra EcoStruxure Machine Expert. |
|
5 |
Aprire la scheda Devices di Security Screen. |
- |
|
6 |
Fare clic sul pulsante Aggiorna. |
- |
|
7 |
Selezionare il controller M262. |
- |
|
8 |
Selezionare la scheda Untrusted Certificates. |
- |
|
9 |
Fare clic sul pulsante Download certificato (a sinistra). |
- |
|
10 |
Selezionare la cartella sul computer in cui si trova il certificato del server e selezionare il file del certificato da scaricare. |
- |
|
11 |
Fare clic sul pulsante Apri. |
NOTA: per aggiornare gli elenchi dei certificati presenti in Security Screen, è richiesto il riavvio del controller. |
Dichiarare il certificato ricevuto come un certificato attendibile.
|
Passo |
Azione |
Descrizione/Commento |
|---|---|---|
|
1 |
Accedere al server Web del controller avviando un browser Internet e specificando l'indirizzo: https://<indirizzo_ip_controller>/ |
- |
|
2 |
Immettere le credenziali utente. |
- |
|
3 |
Selezionare la scheda Manutenzione. |
- |
|
4 |
Selezionare il sottomenu Certificati a sinistra. |
- |
|
5 |
Selezionare il certificato OPC UA nell'elenco Rejected (non attendibili). |
NOTA: verificare di aver caricato il certificato desiderato (tramite EcoStruxure Machine Expert Security Screen) o di aver già tentato di collegarsi in precedenza a questo server OPC UA. |
|
6 |
Fare clic sul pulsante >> per spostare il certificato nell'elenco Trusted. |
- |
Dichiarare un certificato ricevuto come un certificato non attendibile.
|
Passo |
Azione |
Descrizione/Commento |
|---|---|---|
|
1 |
Accedere al server Web del controller avviando un browser Internet e specificando l'indirizzo: https://<indirizzo_ip_controller>/ |
- |
|
2 |
Immettere le credenziali utente. |
- |
|
3 |
Selezionare la scheda Manutenzione. |
- |
|
4 |
Selezionare il sottomenu Certificati a sinistra. |
- |
|
5 |
Selezionare il certificato OPC UA nell'elenco Trusted. |
NOTA: verificare di aver caricato il certificato desiderato (tramite EcoStruxure Machine Expert Security Screen) o di aver già tentato di collegarsi in precedenza a questo server OPC UA. |
|
6 |
Fare clic sul pulsante << per spostare il certificato nell'elenco Rejected (non attendibili). |
- |
NOTA: spostare i certificati non più attivi/necessari nell'elenco Rejected. Si impediscono così connessioni indesiderate al server OPC UA.
