Hantera OPC Vault-certifikattjänsten

  • Artikel

Viktigt

När vi uppdaterar den här artikeln kan du läsa mer om det senaste innehållet i Azure Industrial IoT .

Den här artikeln beskriver administrativa uppgifter för OPC Vault-certifikathanteringstjänsten i Azure. Den innehåller information om hur du förnyar certifikat från utfärdarcertifikatutfärdare, hur du förnyar listan över återkallade certifikat (CRL) och hur du beviljar och återkallar användaråtkomst.

Skapa eller förnya rotcertifikatutfärdarcertifikatet

När du har distribuerat OPC Vault måste du skapa rotcertifikatutfärdarcertifikatet. Utan ett giltigt certifikat från utfärdarcertifikatutfärdaren kan du inte signera eller utfärda programcertifikat. Se Certifikat för att hantera dina certifikat med rimlig och säker livslängd. Förnya ett ca-certifikat för utfärdare efter halva dess livslängd. När du förnyar bör du även tänka på att den konfigurerade livslängden för ett nyligen signerat programcertifikat inte får överskrida livslängden för utfärdarcertifikatutfärdarens certifikat.

Viktigt

Administratörsrollen krävs för att skapa eller förnya utfärdarcertifikatutfärdarens certifikat.

  1. Öppna certifikattjänsten på https://myResourceGroup-app.azurewebsites.netoch logga in.
  2. Gå till Certifikatgrupper.
  3. Det finns en standardcertifikatgrupp i listan. Välj Redigera.
  4. I Redigera information om certifikatgrupp kan du ändra ämnesnamnet och livslängden för certifikatutfärdare och programcertifikat. Ämnet och livslängden bör bara anges en gång innan det första CA-certifikatet utfärdas. Livstidsändringar under åtgärder kan resultera i inkonsekventa livslängder för utfärdade certifikat och CRL:er.
  5. Ange ett giltigt ämne (till exempel CN=My CA Root, O=MyCompany, OU=MyDepartment).

    Viktigt

    Om du byter ämne måste du förnya utfärdarcertifikatet, annars misslyckas tjänsten med att signera programcertifikat. Ämnet för konfigurationen kontrolleras mot ämnet för det aktiva utfärdarcertifikatet. Om ämnena inte matchar nekas certifikatsignering.

  6. Välj Spara.
  7. Om du stöter på ett "förbjudet" fel i det här läget har dina autentiseringsuppgifter inte administratörsbehörighet för att ändra eller skapa ett nytt rotcertifikat. Som standard har användaren som distribuerade tjänsten administratörs- och signeringsroller med tjänsten. Andra användare måste läggas till i rollerna Godkännare, Författare eller Administratör, efter behov i programregistreringen för Azure Active Directory (Azure AD).
  8. Välj Information. Detta bör visa den uppdaterade informationen.
  9. Välj Förnya CA-certifikat för att utfärda det första Certifikatutfärdarcertifikatet eller förnya utfärdarcertifikatet. Välj sedan OK.
  10. Efter några sekunder visas certifikatinformation. Om du vill ladda ned det senaste CA-certifikatet och listan över återkallade certifikat för distribution till dina OPC UA-program väljer du Utfärdare eller Crl.

Nu är OPC UA-certifikathanteringstjänsten redo att utfärda certifikat för OPC UA-program.

Förnya listan över återkallade certifikat

Förnyelse av listan över återkallade certifikat är en uppdatering som ska distribueras till programmen med jämna mellanrum. OPC UA-enheter, som har stöd för TILLÄGGET CRL-distributionsplats X509, kan uppdatera listan över återkallade certifikat direkt från mikrotjänstslutpunkten. Andra OPC UA-enheter kan kräva manuella uppdateringar eller kan uppdateras med hjälp av GDS-server-pushtillägg (*) för att uppdatera förtroendelistorna med certifikaten och CRL:erna.

I följande arbetsflöde återkallas alla certifikatbegäranden i de borttagna tillstånden i CRL:erna, vilket motsvarar certifikatutfärdarens CA-certifikat som de utfärdades för. Versionsnumret för listan över återkallade certifikat ökas med 1.

Anteckning

Alla utfärdade CRL:er är giltiga tills utfärdarcertifikatutfärdarens certifikat upphör att gälla. Det beror på att OPC UA-specifikationen inte kräver någon obligatorisk, deterministisk distributionsmodell för CRL.

Viktigt

Administratörsrollen krävs för att förnya utfärdarens CRL.

  1. Öppna certifikattjänsten på https://myResourceGroup.azurewebsites.netoch logga in.
  2. Gå till sidan Certifikatgrupper .
  3. Välj Information. Detta bör visa aktuell certifikat- och CRL-information.
  4. Välj Uppdatera CRL Revocation List (CRL) för att utfärda en uppdaterad lista över återkallade certifikat för alla aktiva utfärdarcertifikat i OPC Vault-lagringen.
  5. Efter några sekunder visas certifikatinformation. Om du vill ladda ned det senaste CA-certifikatet och listan över återkallade certifikat för distribution till dina OPC UA-program väljer du Utfärdare eller Crl.

Hantera användarroller

Du hanterar användarroller för OPC Vault-mikrotjänsten i Azure AD Enterprise-programmet. En detaljerad beskrivning av rolldefinitionerna finns i Roller.

Som standard kan en autentiserad användare i klientorganisationen logga in tjänsten som läsare. Högre privilegierade roller kräver manuell hantering i Azure Portal eller med hjälp av PowerShell.

Lägg till användare

  1. Öppna Azure-portalen.
  2. Gå till Azure Active Directory>Företagsprogram.
  3. Välj registrering av OPC Vault-mikrotjänsten (som standard din resourceGroupName-service).
  4. Gå till Användare och grupper.
  5. Välj Lägg till användare.
  6. Välj eller bjud in användaren för tilldelning till en viss roll.
  7. Välj rollen för användarna.
  8. Välj Tilldela.
  9. För användare med rollen Administratör eller Godkännare fortsätter du att lägga till Åtkomstprinciper för Azure Key Vault.

Ta bort användare

  1. Öppna Azure-portalen.
  2. Gå till Azure Active Directory>Företagsprogram.
  3. Välj registrering av OPC Vault-mikrotjänsten (som standard din resourceGroupName-service).
  4. Gå till Användare och grupper.
  5. Välj en användare med en roll att ta bort och välj sedan Ta bort.
  6. För borttagna användare i rollen Administratör eller Godkännare tar du även bort dem från Azure Key Vault-principer.

Lägga till användaråtkomstprincip i Azure Key Vault

Ytterligare åtkomstprinciper krävs för godkännare och administratörer.

Som standard har tjänstidentiteten endast begränsad behörighet att komma åt Key Vault, för att förhindra att förhöjda åtgärder eller ändringar utförs utan personifiering av användare. De grundläggande tjänstbehörigheterna är Hämta och Lista för både hemligheter och certifikat. För hemligheter finns det bara ett undantag: tjänsten kan ta bort en privat nyckel från det hemliga arkivet när den har godkänts av en användare. Alla andra åtgärder kräver användarpersonifierade behörigheter.

För en godkännarroll måste följande behörigheter läggas till i Key Vault

  1. Öppna Azure-portalen.
  2. Gå till ditt OPC-valv resourceGroupNamesom används under distributionen.
  3. Gå till Key Vault resourceGroupName-xxxxx.
  4. Gå till Åtkomstprinciper.
  5. Välj Lägg till ny.
  6. Hoppa över mallen. Det finns ingen mall som matchar kraven.
  7. Välj Välj huvudkonto och välj den användare som ska läggas till eller bjud in en ny användare till klientorganisationen.
  8. Välj följande nyckelbehörigheter: Hämta, Lista och Signera.
  9. Välj följande hemliga behörigheter: Hämta, Lista, Ange och Ta bort.
  10. Välj följande certifikatbehörigheter: Hämta och lista.
  11. Välj OK och sedan Spara.

För en administratörsroll måste följande behörigheter läggas till i Key Vault

  1. Öppna Azure-portalen.
  2. Gå till ditt OPC-valv resourceGroupNamesom används under distributionen.
  3. Gå till Key Vault resourceGroupName-xxxxx.
  4. Gå till Åtkomstprinciper.
  5. Välj Lägg till ny.
  6. Hoppa över mallen. Det finns ingen mall som matchar kraven.
  7. Välj Välj huvudkonto och välj den användare som ska läggas till eller bjud in en ny användare till klientorganisationen.
  8. Välj följande nyckelbehörigheter: Hämta, Lista och Signera.
  9. Välj följande hemliga behörigheter: Hämta, Lista, Ange och Ta bort.
  10. Välj följande certifikatbehörigheter: Hämta, Lista, Uppdatera, Skapa och Importera.
  11. Välj OK och sedan Spara.

Ta bort användaråtkomstprincip från Azure Key Vault

  1. Öppna Azure-portalen.
  2. Gå till ditt OPC-valv resourceGroupNamesom används under distributionen.
  3. Gå till Key Vault resourceGroupName-xxxxx.
  4. Gå till Åtkomstprinciper.
  5. Leta reda på användaren som ska tas bort och välj Ta bort.

Nästa steg

Nu när du har lärt dig hur du hanterar OPC Vault-certifikat och användare kan du:

Säker kommunikation mellan OPC-enheter