Sicherheit
Im OPC UA Parametrierpanel können für jeden Server Zugriffsdaten (Benutzername und Passwort) und die Sicherheitsstrategie ausgewählt werden. Bleibt das Feld für den Benutzernamen leer, so verbindet sich der Client anonym zum Server.
Für die Sicherheitsstrategie gibt es folgende Einstellungen:
- None
- Basic128Rsa15
- Basic256
- Basic256Sha256
- Aes128Sha256RsaOaep
- Aes256Sha256RsaPss
Bei Verwendung von "none" erfolgt die Kommunikation unverschlüsselt und nicht signiert. Bei den Einstellungen Basic128RAS1, Basic256 und Basic256SHA256 kann entweder der Modus Sign oder Sign&Encrypt verwendet werden. Damit wird die Echtheit der Nachrichten, die der Client mit dem Server austauscht, sichergestellt und durch die Verschlüsselung ist ein Mitlesen der Nachrichten durch Dritte nicht möglich.
Der Client besitzt unabhängig von der Sicherheitsstrategie ein Zertifikat (ApplicationInstanceCertificate), das entweder vom Client selbst oder von einer Certificate Authority (CA) erstellt wird. Im Rahmen der SecureChannel-Services werden Zertifikate auch dann ausgetauscht, wenn die Sicherheitseinstellung auf None konfiguriert ist. Eine Validierung der Zertifikate findet dann jedoch nicht statt. Dieser Vorgang wird automatisch durch den Kommunikationsstack bzw. durch das SDK durchgeführt. Siehe auch Zertifikate. Das Zertifikat, welches der Client für die Verbindung zum Server verwenden soll, kann im OPC UA Parametrierpanel im Feld "Clientzertifikat" eingetragen werden. Wie man Client-Zertifikate erstellt und auf Client-Seite unbekannte Serverzertifikate akzeptieren kann, ist im Kapitel Zertifikate beschrieben.
Die Einstellungen, mit denen sich der Client am Server anmeldet, sind aus der Beschreibung des internen Datenpunktes vom Typ _OPCUAServer definiert.