OPC UA GDS Pull

OPC UA GDS Pull ermöglicht die zentrale Registrierung und Zertifikatsverwaltung für OPC UA-Anwendungen durch die Nutzung eines Global Discovery Server (GDS). Der GDS automatisiert die Bereitstellung von Zertifikaten, Vertrauensstellungen und Sicherheitsaktualisierungen und vereinfacht so die Konfiguration und laufende Verwaltung sowohl für Clients als auch für Server. Die Integration erfordert eine initiale Zertifikatseinrichtung und Applikationsfreischaltung im GDS, danach werden die Anwendungen automatisch verwaltet.

Jede OPC UA-Anwendung, egal ob Client oder Server, kann sich beim GDS registrieren und nach Freigabe eine Signaturanfrage an den GDS stellen, der eine Certificate Authority (CA) repräsentiert. Alle UA-Anwendungen, die zur gleichen Sicherheitsgruppe gehören, müssen dann nur der CA vertrauen, um allen von dieser CA signierten UA-Anwendungen zu vertrauen.

Nach der initialen Inbetriebnahme mit dem GDS wird die UA-Anwendung automatisch vom GDS verwaltet und es ist keine weitere manuelle Interaktion erforderlich. UA-Anwendungen werden automatisch mit Sicherheitszertifikaten, Vertrauenslisten und Sperrungen aktualisiert.

Konfiguration

Ein WinCC OA OPC UA Client muss im Projekt laufen. Anschließend kann die Konfiguration in der Systemverwaltung unter Driver OPC > UA GDS Pull vorgenommen werden.

Abbildung 1. Systemverwaltung OPC

Für die Nutzung des GDS ist es zwingend erforderlich, ein Zertifikat für den Treiber zu erstellen, das für die initiale Kommunikation mit dem GDS sowie für die Bereitstellung von Informationen in allen an den GDS gesendeten Certificate Sign Requests verwendet wird.

WARNUNG:
Wenn das Zertifikat nicht gefunden wird, erscheint eine Warnung:
Abbildung 2. Warnung: Kein Zertifikat gefunden

Das Zertifikatserstellungsfenster ist bereits mit dem Standard- Name, Application URI und DNS Name ausgefüllt, die vom Treiber bei der Kommunikation mit dem GDS verwendet werden. Alle anderen Felder müssen manuell ausgefüllt werden.

Abbildung 3. GDS-Zertifikat erstellen

Geben Sie die GDS-URL und das Aktualisierungsintervall in Minuten ein. Das Zertifikat des GDS muss als vertrauenswürdig eingestuft werden:

Abbildung 4. GDS-Zertifikat nicht vertrauenswürdig
Abbildung 5. GDS-Zertifikat vertrauenswürdig

Mit der Schaltfläche Trigger Update kann die Interaktion mit dem GDS ausgelöst werden. Der WinCC OA OPC UA Client muss dann im GDS akzeptiert werden, indem die Client-Anwendung ausgewählt und das grüne OK-Symbol gedrückt wird.

Abbildung 6. Anwendung akzeptieren

Nach der Annahme erhält der Client sein Zertifikat vom GDS und wird konfiguriert.

Abbildung 7. Konfiguration abgeschlossen

Wenn Discovery für eine Verbindung verwendet wird, die für einen GDS-verbundenen Treiber konfiguriert ist, können alle dem GDS bekannten Server mit der Schaltfläche Discover GDS gefunden werden.

Abbildung 8. GDS entdecken
Tipp:
Wenn ein Treiber mit GDS konfiguriert ist, wird das Standardzertifikat für Verbindungen das vom GDS signierte Zertifikat sein.
Wichtig:
Bei Verwendung eines redundanten oder entfernten WinCC OA-Projekts muss die Konfiguration auf allen Hosts durchgeführt werden, auf denen ein WinCC OA OPC UA Client läuft.

Diagnose

Mit dem Debug-Flag -dbg GDS für den WinCC OA OPC UA Client wird ein detailliertes Protokoll über die Interaktion mit dem GDS geschrieben.