【技術分享】 OPC UA安全策略證書簡述

那什么是OPC UA證書？用途是什么？

簡單來說它是身份驗證和權限識別。
OPC UA使用X.509證書標準，該標準定義了標準的公鑰格式。建立UA會話的時候，客戶端和服務器應用程序會協商一個安全通信通道。數字證書（X.509）被用于識別客戶端和服務器。服務器還會對用戶進行進一步的身份驗證，并授權后續請求以訪問服務器中的對象。

證書在通信過程中的主要功能：
1. OPC UA消息簽名，驗證通信完整性
應用程序通過使用其私鑰來生成消息簽名/哈希，然后可以使用相應的公鑰證書對其進行驗證。如果私鑰簽名簽出，則確保該消息來自相應的應用程序。

2. OPC UA消息加密，通信安全不受窺視
與可以使用應用程序的私鑰對消息進行簽名，以確保消息是由批準的應用程序生成的，可以使用公共密鑰對消息進行加密。一旦使用公鑰加密消息，只有具有相應私鑰的應用程序才能解密該消息（第三方攻擊者甚至可以擁有該公鑰的副本，但是他們無法解密該消息；公共密鑰僅用于加密-不能用于解密自己的消息）。

3. OPC UA應用程序標識，提高了可信度
如果沒有辦法確定我們正在使用的證書，那么對消息進行簽名和加密/解密對我們來說就沒有太大的用處。因此，每個OPC UA證書還提供有關以下信息的標識信息：哪個應用程序生成了證書，何時生成，由誰生成，該證書可以用于什么，該證書應使用多長時間，在何處生成等等。

這三個功能的核心概念是信任。當兩個具有OPC UA功能的應用程序首次連接時，它們交換它們的公共密鑰（這些作為應用程序/OPC UA證書的一部分包含在內），同時保持其相應的私有密鑰。

審核編輯 黃宇