管理 OPC 保存庫憑證服務

  • 發行項

重要

當我們更新本文時,請參閱 Azure 產業 IoT 以取得最新的內容。

本文說明 Azure 中 OPC 保存庫憑證管理服務的系統管理工作。 其中包含如何更新簽發者 CA 憑證、如何更新憑證撤銷清單 (CRL) ,以及如何授與和撤銷使用者存取權的相關資訊。

建立或更新根憑證 CA 憑證

部署 OPC 保存庫之後,您必須建立根憑證 CA 憑證。 如果沒有有效的簽發者 CA 憑證,您就無法簽署或發行應用程式憑證。 請參閱 憑證 ,以合理的安全存留期來管理您的憑證。 在一半的存留期之後更新簽發者 CA 憑證。 更新時,也請考慮新簽署應用程式憑證的已設定存留期不應超過簽發者 CA 憑證的存留期。

重要

需要系統管理員角色,才能建立或更新簽發者 CA 憑證。

  1. https://myResourceGroup-app.azurewebsites.net 開啟您的憑證服務,然後登入。
  2. 移至 [憑證群組]。
  3. 列出一個預設憑證群組。 選取 [編輯]。
  4. [編輯憑證群組詳細資料]中,您可以修改 CA 和應用程式憑證的主體名稱和存留期。 主體和存留期應該只在發行第一個 CA 憑證之前設定一次。 作業期間的存留期變更可能會導致發行憑證和 CRL 的存留期不一致。
  5. 例如, CN=My CA Root, O=MyCompany, OU=MyDepartment 輸入有效的主旨 (,) 。

    重要

    如果您變更主體,您必須更新簽發者憑證,否則服務將無法簽署應用程式憑證。 系統會根據使用中簽發者憑證的主體檢查組態的主體。 如果主體不相符,則會拒絕憑證簽署。

  6. 選取 [儲存]。
  7. 如果您此時遇到「禁止」錯誤,您的使用者認證沒有系統管理員許可權可修改或建立新的根憑證。 根據預設,部署服務的使用者具有系統管理員和服務簽署角色。 其他使用者必須在Azure Active Directory (Azure AD) 應用程式註冊中適當地新增至核准者、寫入者或系統管理員角色。
  8. 選取 [詳細資料]。 這應該會顯示更新的資訊。
  9. 選取 [更新 CA 憑證 ] 以發出第一個簽發者 CA 憑證,或更新簽發者憑證。 然後選取 [確定] 。
  10. 幾秒鐘後,您會看到 憑證詳細資料。 若要下載最新的 CA 憑證和 CRL 以發佈至 OPC UA 應用程式,請選取 [簽發者 ] 或 [Crl]。

現在 OPC UA 憑證管理服務已準備好發行 OPC UA 應用程式的憑證。

更新 CRL

CRL 的更新是更新,應定期散發至應用程式。 支援 CRL 發佈點 X509 擴充功能的 OPC UA 裝置可以直接從微服務端點更新 CRL。 其他 OPC UA 裝置可能需要手動更新,或使用 GDS 伺服器推播延伸模組 (*) 更新信任清單與憑證和 CRL。

在下列工作流程中,已刪除狀態中的所有憑證要求都會在 CRL 中撤銷,其對應至簽發者的 CA 憑證。 CRL 的版本號碼會遞增 1。

注意

所有發行的 CRL 都是有效的,直到簽發者 CA 憑證到期為止。 這是因為 OPC UA 規格不需要 CRL 的必要決定性分佈模型。

重要

需要系統管理員角色才能更新簽發者 CRL。

  1. https://myResourceGroup.azurewebsites.net 開啟您的憑證服務,然後登入。
  2. 移至 [ 憑證群組] 頁面。
  3. 選取 [詳細資料]。 這應該會顯示目前的憑證和 CRL 資訊。
  4. 選取 [更新 CRL 撤銷清單] (CRL) ,針對 OPC 保存庫中所有作用中的簽發者憑證發出更新的 CRL。
  5. 幾秒鐘後,您會看到 憑證詳細資料。 若要下載最新的 CA 憑證和 CRL 以發佈至 OPC UA 應用程式,請選取 [簽發者 ] 或 [Crl]。

管理使用者角色

您可以在 Azure AD Enterprise 應用程式中管理 OPC 保存庫微服務的使用者角色。 如需角色定義的詳細描述,請參閱 角色

根據預設,租使用者中的已驗證使用者可以將服務登入為讀取者。 較高的特殊許可權角色需要在Azure 入口網站或使用 PowerShell 進行手動管理。

新增使用者

  1. 開啟 Azure 入口網站。
  2. 移至Azure Active Directory>Enterprise應用程式
  3. 根據預設,選擇 OPC 保存庫微服務的註冊 (,您的 resourceGroupName-service) 。
  4. 移至 [使用者和群組]。
  5. 選取 [新增使用者] 。
  6. 選取或邀請使用者指派給特定角色。
  7. 選取使用者的角色。
  8. 選取 [指派]。
  9. 針對系統管理員或核准者角色中的使用者,請繼續新增 Azure 金鑰保存庫存取原則。

移除使用者

  1. 開啟 Azure 入口網站。
  2. 移至Azure Active Directory>Enterprise應用程式
  3. 根據預設,選擇 OPC 保存庫微服務的註冊 (,您的 resourceGroupName-service) 。
  4. 移至 [使用者和群組]。
  5. 選取具有要移除角色的使用者,然後選取 [ 移除]。
  6. 若為系統管理員或核准者角色中的已移除使用者,請將其從 Azure 金鑰保存庫原則中移除。

將使用者存取原則新增至 Azure 金鑰保存庫

核准者和系統管理員需要額外的存取原則。

根據預設,服務身分識別只有有限的許可權可存取金鑰保存庫,以避免在沒有使用者模擬的情況下進行提高許可權的作業或變更。 基本服務許可權為 [取得] 和 [列出],適用于秘密和憑證。 對於秘密,只有一個例外狀況:服務可以在使用者接受私密金鑰之後,從秘密存放區中刪除私密金鑰。 所有其他作業都需要使用者模擬許可權。

對於核准者角色,必須將下列許可權新增至 金鑰保存庫

  1. 開啟 Azure 入口網站。
  2. 移至您在部署期間使用的 OPC 保存庫 resourceGroupName
  3. 移至 金鑰保存庫 resourceGroupName-xxxxx
  4. 移至 存取原則
  5. 選取 [新增]
  6. 略過範本。 沒有符合需求的範本。
  7. 選擇 [選取主體],然後選取要新增的使用者,或邀請新使用者加入租使用者。
  8. 選取下列 金鑰許可權取得列出簽署
  9. 選取下列 秘密許可權取得列出設定刪除
  10. 選取下列 憑證許可權取得列出
  11. 選取 [確定],然後選取 [ 儲存]。

針對系統管理員角色,必須將下列許可權新增至金鑰保存庫

  1. 開啟 Azure 入口網站。
  2. 移至您在部署期間使用的 OPC 保存庫 resourceGroupName
  3. 移至 金鑰保存庫 resourceGroupName-xxxxx
  4. 移至 存取原則
  5. 選取 [新增]
  6. 略過範本。 沒有符合需求的範本。
  7. 選擇 [選取主體],然後選取要新增的使用者,或邀請新使用者加入租使用者。
  8. 選取下列 金鑰許可權[取得]、 [清單] 和 [ 簽署]。
  9. 選取下列 秘密許可權[取得]、 [清單]、 [設定] 和 [ 刪除]。
  10. 選取下列 憑證許可權取得列出更新建立匯入
  11. 選取 [確定],然後選取 [ 儲存]。

從 Azure 金鑰保存庫移除使用者存取原則

  1. 開啟 Azure 入口網站。
  2. 移至您在部署期間使用的 OPC 保存庫 resourceGroupName
  3. 移至 金鑰保存庫 resourceGroupName-xxxxx
  4. 移至 存取原則
  5. 尋找要移除的使用者,然後選取 [ 刪除]。

後續步驟

既然您已瞭解如何管理 OPC 保存庫憑證和使用者,您可以:

保護 OPC 裝置的通訊