証明書とキー

アプリケーションがリリースする証明書は自己署名であり、通信を許可するには、信頼できる証明書とともにサーバーとクライアントにインストールする必要があります。証明書が信頼リストから削除されると、通信が中断されます。

CA 証明書は、信頼できる証明書とは別にインストールできます。CA が発行した証明書を除外するには、CA CRL に証明書を含めます。

証明書と CRL は、DER バイナリー コーディング (

DER

ファイル) を使用して X.509v3 基準に準拠している必要があります。

証明書ごとに、プライベートキーと Base64 ASCII エンコード (

PEM

ファイル) があります。

すべての有効なセキュリティポリシーでは、RSA 暗号化を使用した SHA-256 アルゴリズム (2048、3072、または 4096) を使用した証明書の署名が必要です。2 つの非推奨ポリシー (Basic128Rsa15 と Basic256) では、RSA 暗号化 (1024 または 2048) を使用した SHA1 アルゴリズムで証明書に署名する必要があります。

これらのエレメントがない場合、

FactoryTalk Optix Studio

が

FTOptixApplication

サーバーを生成すると、公開証明書とサーバーの対応するプライベートキーも生成されます。

デザイン時に、独自の証明書、またはフィールド内の他のクライアントまたはサーバーの証明書がある場合は、それらをインポートして

FactoryTalk Optix Studio

を信頼できるものにすることができます。詳細については、「デザイン時に信頼された証明書を構成する」を参照してください。OPC UA クライアントが OPC UA サーバーに接続すると、サーバー証明書に関する情報がダイアログボックスに表示されます。[サーバー証明書を信頼する] か [サーバー証明書を拒否する] を選択します。

他のクライアントまたはサーバーの証明書がデザイン時に使用できない場合は、ランタイムにそれらをプロジェクトにインポートできます。証明書は、サーバーとクライアント間のリンクが確立されると、ランタイムに信頼されます。詳細については、「ランタイムに信頼できる証明書を構成する」を参照してください。

通信の参加者を識別し、交換されたメッセージの信頼性と機密性を検証するために、クライアントとサーバーを含むすべての OPC UA アプリケーションには、アプリケーション インスタンス インターフェイスとパブリックキー / プライベートキーのペアである公開証明書が必要です。

パブリックキーは証明書とともに配布されます。プライベートキーは開示されていません。

ユーザープライベートキーファイル。送信するメッセージに署名し、受信したメッセージを復号化します。
パブリックキーファイル。受信したメッセージの署名を検証し、送信されたメッセージを暗号化します。