Använd certifikat hanterings tjänsten för OPC VaultUse the OPC Vault certificate management service

Viktigt

Medan vi uppdaterar den här artikeln kan du läsa mer i Azures industriella IoT .While we update this article, see Azure Industrial IoT for the most up to date content.

Den här artikeln förklarar hur du registrerar program och hur du utfärdar signerade program certifikat för OPC UA-enheter.This article explains how to register applications, and how to issue signed application certificates for your OPC UA devices.

FörutsättningarPrerequisites

Distribuera certifikat hanterings tjänstenDeploy the certificate management service

Distribuera först tjänsten till Azure-molnet.First, deploy the service to the Azure cloud. Mer information finns i distribuera OPC Vault Certificate Management Service.For details, see Deploy the OPC Vault certificate management service.

Skapa certifikat utfärdarens CA-certifikatCreate the Issuer CA certificate

Om du inte redan har gjort det skapar du certifikat UTFÄRDARens certifikat.If you haven't done so yet, create the Issuer CA certificate. Mer information finns i skapa och hantera utfärdarens certifikat för OPC-valvet.For details, see Create and manage the Issuer certificate for OPC Vault.

Säkra OPC UA-programSecure OPC UA applications

Steg 1: registrera ditt OPC UA-programStep 1: Register your OPC UA application

Viktigt

Skrivar rollen krävs för att registrera ett program.The Writer role is required to register an application.

  1. Öppna certifikat tjänsten på https://myResourceGroup-app.azurewebsites.net och logga in.Open your certificate service at https://myResourceGroup-app.azurewebsites.net, and sign in.

  2. Gå till Registrera ny.Go to Register New. För en program registrering måste användaren ha minst en tilldelad skrivar roll.For an application registration, a user needs to have at least the Writer role assigned.

  3. Post formuläret följer namngivnings konventioner i OPC UA.The entry form follows naming conventions in OPC UA. I följande skärm bild visas till exempel inställningarna för OPC UA Reference Server som exempel i OPC UA .net-standard stack:For example, in the following screenshot, the settings for the OPC UA Reference Server sample in the OPC UA .NET Standard stack is shown:

    Skärm bild av UA-referens Server registreringScreenshot of UA Reference Server Registration

  4. Välj Registrera för att registrera programmet i databasen för certifikat tjänst program.Select Register to register the application in the certificate service application database. Arbets flödet guidar användaren direkt till nästa steg för att begära ett signerat certifikat för programmet.The workflow directly guides the user to the next step to request a signed certificate for the application.

Steg 2: skydda ditt program med ett CA-signerat program certifikatStep 2: Secure your application with a CA signed application certificate

Skydda ditt OPC UA-program genom att utfärda ett signerat certifikat baserat på en certifikat signerings förfrågan (CSR).Secure your OPC UA application by issuing a signed certificate based on a Certificate Signing Request (CSR). Alternativt kan du begära ett nytt nyckel par, som innehåller en ny privat nyckel i PFX-eller PEM-format.Alternatively, you can request a new key pair, which includes a new private key in PFX or PEM format. Information om vilka metoder som stöds för ditt program finns i dokumentationen för din OPC UA-enhet.For information about which method is supported for your application, see the documentation of your OPC UA device. I allmänhet rekommenderas CSR-metoden, eftersom den inte kräver att en privat nyckel överförs över en tråd.In general, the CSR method is recommended, because it doesn't require a private key to be transferred over a wire.

Begär ett nytt certifikat med ett nytt nyckel parRequest a new certificate with a new keypair

  1. Gå till program.Go to Applications.

  2. Välj ny begäran för ett program i listan.Select New Request for a listed application.

    Skärm bild av nytt begär ande certifikatScreenshot of Request New Certificate

  3. Välj Begär nytt nyckel par och certifikat för att begära en privat nyckel och ett nytt signerat certifikat med den offentliga nyckeln för ditt program.Select Request new KeyPair and Certificate to request a private key and a new signed certificate with the public key for your application.

    Skärm bild av skapa ett nytt nyckel par och certifikatScreenshot of Generate a New KeyPair and Certificate

  4. Fyll i formuläret med ett ämne och domän namnen.Fill in the form with a subject and the domain names. För den privata nyckeln väljer du PEM eller PFX med lösen ord.For the private key, choose PEM or PFX with password. Välj Skapa nytt nyckel par för att skapa en certifikatbegäran.Select Generate New KeyPair to create the certificate request.

    Skärm bild som visar skärmen Visa information om certifikat förfrågan och knappen generera nytt nyckel par.Screenshot that shows the View Certificate Request Details screen and the Generate New KeyPair button.

  5. Godkännande kräver en användare med rollen god kännare och med signerings behörighet i Azure Key Vault.Approval requires a user with the Approver role, and with signing permissions in Azure Key Vault. I det typiska arbets flödet ska rollen god kännare och beställare tilldelas olika användare.In the typical workflow, the Approver and Requester roles should be assigned to different users. Välj Godkänn eller avvisa för att starta eller avbryta den faktiska skapandet av nyckel paret och signerings åtgärden.Select Approve or Reject to start or cancel the actual creation of the key pair and the signing operation. Det nya nyckel paret skapas och lagras på ett säkert sätt i Azure Key Vault tills det laddas ned av certifikat beställaren.The new key pair is created and stored securely in Azure Key Vault, until downloaded by the certificate requester. Det resulterande certifikatet med offentlig nyckel signeras av CA: n.The resulting certificate with public key is signed by the CA. Det kan ta några sekunder att slutföra dessa åtgärder.These operations can take a few seconds to finish.

    Skärm bild av Visa information om certifikatbegäran med godkännande meddelande längst nedScreenshot of View Certificate Request Details, with approval message at bottom

  6. Den resulterande privata nyckeln (PFX eller PEM) och Certificate (DER) kan hämtas härifrån i det format som valts som binär fil hämtning.The resulting private key (PFX or PEM) and certificate (DER) can be downloaded from here in the format selected as binary file download. En Base64-kodad version är också tillgänglig, till exempel för att kopiera och klistra in certifikatet till en kommando rad eller text inmatning.A base64 encoded version is also available, for example, to copy and paste the certificate to a command line or text entry.

  7. När den privata nyckeln har hämtats och lagrats på ett säkert sätt kan du välja ta bort privat nyckel.After the private key is downloaded and stored securely, you can select Delete Private Key. Certifikatet med den offentliga nyckeln är fortfarande tillgängligt för framtida bruk.The certificate with the public key remains available for future use.

  8. På grund av användningen av ett signerat certifikat för certifikat utfärdare bör certifikat utfärdaren och listan över återkallade certifikat (CRL) också hämtas här.Due to the use of a CA signed certificate, the CA cert and Certificate Revocation List (CRL) should be downloaded here as well.

Det beror nu på den OPC UA-enhet som används för att tillämpa det nya nyckel paret.Now it depends on the OPC UA device how to apply the new key pair. Vanligt vis kopieras certifikat utfärdarens certifikat och CRL till en trusted mapp, medan offentliga och privata nycklar för program certifikatet används i en own mapp i certifikat arkivet.Typically, the CA cert and CRL are copied to a trusted folder, while the public and private keys of the application certificate are applied to an own folder in the certificate store. Vissa enheter kanske redan har stöd för Server-push för certifikat uppdateringar.Some devices might already support server push for certificate updates. Se dokumentationen för din OPC UA-enhet.Refer to the documentation of your OPC UA device.

Begär ett nytt certifikat med en CSRRequest a new certificate with a CSR

  1. Gå till program.Go to Applications.

  2. Välj ny begäran för ett program i listan.Select New Request for a listed application.

    Skärm bild av nytt begär ande certifikatScreenshot of Request New Certificate

  3. Välj Begär nytt certifikat med signerings förfrågan för att begära ett nytt signerat certifikat för ditt program.Select Request new Certificate with Signing Request to request a new signed certificate for your application.

    Skärm bild av skapa ett nytt certifikatScreenshot of Generate a new Certificate

  4. Ladda upp CSR genom att välja en lokal fil eller genom att klistra in en Base64-kodad CSR i formuläret.Upload CSR by selecting a local file or by pasting a base64 encoded CSR in the form. Välj Skapa nytt certifikat.Select Generate New Certificate.

    Skärm bild av Visa information om certifikatbegäranScreenshot of View Certificate Request Details

  5. Godkännande kräver en användare med rollen god kännare och med signerings behörighet i Azure Key Vault.Approval requires a user with the Approver role, and with signing permissions in Azure Key Vault. Välj Godkänn eller avvisa för att starta eller avbryta den faktiska signerings åtgärden.Select Approve or Reject to start or cancel the actual signing operation. Det resulterande certifikatet med offentlig nyckel signeras av CA: n.The resulting certificate with public key is signed by the CA. Den här åtgärden kan ta några sekunder att slutföra.This operation can take a few seconds to finish.

    Skärm bild som visar information om Visa certifikat förfrågningar och innehåller ett godkännande meddelande längst ned.Screenshot that shows the View Certificate Request Details and includes an approval message at bottom.

  6. Det resulterande certifikatet (DER) kan laddas ned härifrån som en binär fil.The resulting certificate (DER) can be downloaded from here as binary file. En Base64-kodad version är också tillgänglig, till exempel för att kopiera och klistra in certifikatet till en kommando rad eller text inmatning.A base64 encoded version is also available, for example, to copy and paste the certificate to a command line or text entry.

  7. När certifikatet har hämtats och lagrats på ett säkert sätt kan du välja ta bort certifikat.After the certificate is downloaded and stored securely, you can select Delete Certificate.

  8. På grund av användningen av ett signerat certifikat från en certifikat utfärdare, ska CA-certifikatet och CRL: en även hämtas här.Due to the use of a CA signed certificate, the CA cert and CRL should be downloaded here as well.

Det beror nu på den OPC UA-enhet som används för att tillämpa det nya certifikatet.Now it depends on the OPC UA device how to apply the new certificate. Vanligt vis kopieras certifikat utfärdarens certifikat och CRL till en trusted mapp, medan program certifikatet används i en own mapp i certifikat arkivet.Typically, the CA cert and CRL are copied to a trusted folder, while the application certificate is applied to an own folder in the certificate store. Vissa enheter kanske redan har stöd för Server-push för certifikat uppdateringar.Some devices might already support server push for certificate updates. Se dokumentationen för din OPC UA-enhet.Refer to the documentation of your OPC UA device.

Steg 3: säker enhetStep 3: Device secured

OPC UA-enheten är nu redo att kommunicera med andra OPC UA-enheter som skyddas av CA-signerade certifikat, utan ytterligare konfiguration.The OPC UA device is now ready to communicate with other OPC UA devices secured by CA signed certificates, without further configuration.

Nästa stegNext steps

Nu när du har lärt dig hur du skyddar OPC UA-enheter kan du:Now that you have learned how to secure OPC UA devices, you can: