PLCnext Control에서 OPC UA 서버와 함께 자체 보안 인증서를 사용하는 방법

이것은 원래 2018년 11월에 게시된 기사에 대한 업데이트입니다.

---

모든 PLCnext Control에는 내장형 OPC UA 서버가 포함됩니다. 모든 OPC UA 서버와 마찬가지로 이 서버에는 공개 키 암호화를 사용하여 클라이언트와 보안 연결을 설정하는 옵션이 포함되어 있습니다. 이 가이드는 PLCnext Control과 보안 OPC UA 연결을 설정하기 위해 자신의 보안 인증서(자신의 개인 키 포함)를 사용하는 방법을 설명합니다.

OPC UA 서버 인증서를 관리하는 방법에 대한 일반적인 정보는 다음을 참조하십시오.

• OPC UA 설정 PLCnext Engineer의 통합 도움말 시스템 섹션
• PLCnext 정보 센터:
  • 내장형 OPC UA 서버(eUA)
  • 인증서 인증.

소개

PLCnext Control 내장형 OPC UA 서버에는 OPC UA 클라이언트와의 신뢰할 수 있는 통신을 보장하기 위해 X.509 인증서가 필요합니다. 사용할 수 있는 인증서에는 네 가지 주요 유형이 있습니다.

옵션 1 – 자동 생성된 자체 서명 인증서.

• 필수 인증서는 PLC에서 자동으로 생성됩니다.
• 간단한 설정
• 보안 LAN에서 테스트 및 영구 사용에 유용합니다.

옵션 2 – 수동으로 생성된 자체 서명 인증서.

• 옵션 1에 비해 추가 보안 이점은 없지만 관리자에게 인증서 관리에 대한 더 많은 제어 권한을 부여합니다.

옵션 3 – 자체 인증 기관(CA)에서 서명한 인증서.

• 옵션 1 및 2에 비해 추가 보안 이점은 없지만 보다 구조화된 인증서 관리가 가능합니다.

옵션 4 – 신뢰할 수 있는 인증 기관에서 발급한 인증서

• Symantec 또는 GeoTrust와 같은 신뢰할 수 있는 타사 인증 기관에서 인증서를 구매해야 합니다. 이는 모든 클라이언트가 신뢰할 수 있는 CA에서 서명한 인증서를 수락해야 하므로 공용 또는 기타 안전하지 않은 네트워크에 권장되는 옵션입니다.

전제조건

다음 절차를 성공적으로 수행하려면 다음이 필요합니다.

• 공개 키 암호화 및 X.509 인증서에 대한 기본 이해
• OPC 및 (특히) OPC UA 기술에 대한 기본 이해

이 가이드에 설명된 절차는 다음 하드웨어 및 소프트웨어를 사용하여 준비되었습니다.

• AXC F 2152 컨트롤러, 펌웨어 버전 2020.6.1
• PLCnext Engineer 버전 2020.6
• UAExpert 버전 1.5.1
• 이미 생성된 데이터베이스가 있는 XCA 버전 2.3.0

배경 읽기

1. 공개 키 암호화
2. X.509
3. X.509 인증서 만들기(PDF)
4. OPC란 무엇입니까?
5. OPC 통합 아키텍처
6. 관리자를 위한 OPC UA 보안 모델(PDF)

절차

옵션 1 – 자동 생성된 자체 서명 인증서

PLCnext Engineer에서 새 프로젝트를 생성할 때 기본 옵션입니다.

• 기술 지원 YouTube 채널의 동영상에서 OPC UA 서버 구성 절차를 따르세요.

그러면 ID 저장소에 OPC UA 자체 서명이라는 자체 서명 인증서가 자동으로 생성됩니다. , PLC 웹 기반 관리 페이지의 인증서 인증에서 볼 수 있습니다. 창(보안 섹션).

이제 UA Expert에서 OPC UA 서버에 연결할 때 자체 서명된 인증서 이름 "eUAServer@axc-f-2152-1"을 볼 수 있습니다.

인증서는 신뢰할 수 있는 CA에서 서명하지 않았기 때문에 사용자가 이 인증서를 명시적으로 신뢰해야 합니다.

인증서를 신뢰할 수 있는지 확인한 후 UA Expert는 "BadCertificateHostNameInvalid" 오류를 표시할 수 있습니다. 이는 OPC UA 서버에 연결하는 데 사용된 URL이 인증서의 IPAddresses 또는 DNSname 필드(UA Extensions에서 볼 수 있음)의 항목과 일치하지 않기 때문입니다. 위 섹션). 이는 PLCnext Engineer의 OPC UA 설정 창에서 수행할 수 있는 인증서에 해당 항목을 추가하여 수정할 수 있습니다.

UA Expert는 BadCertificateHostNameInvalid 오류를 무시하고 여전히 서버에 연결하는 옵션을 제공하지만 다른 많은 OPC UA 클라이언트는 이 오류가 발생하면 연결을 거부합니다.

옵션 2 – 수동으로 생성된 자체 서명 인증서

1. XCA에서 자체 서명된 새 인증서를 만듭니다.
   • "파일" 메뉴 항목에서 데이터베이스를 열거나 만듭니다.
   • '인증서' 탭에서 '새 인증서' 버튼을 클릭합니다.
   • 
   • 다음 대화 상자에서 소스 탭이 활성화됩니다. "자체 서명된 인증서 생성" 서명 옵션이 기본적으로 이미 선택되어 있어야 합니다.
   • '제목 탭'으로 전환하고 필드를 작성합니다. 아래에 예가 나와 있습니다.
   • 
   • '새 키 생성' 버튼을 클릭합니다. 그러면 이 인증서에 대한 고유한 개인 키가 생성됩니다.
   • "확장" 탭에서 인증서의 유효 기간을 필요한 기간으로 설정하고 "X509v3 주체 대체 이름" 필드에 항목을 입력합니다. 이 필드는 비어 있으면 안 됩니다. 이것은 OPC UA 사양의 요구 사항입니다. 옵션 1에 언급된 IPAddresses 및 DNSnames 필드는 이러한 필드에 해당합니다.
   • .
   • 확인을 클릭하여 인증서를 만듭니다.
     
2. 인증서가 생성되면 기본 XCA 창에서 인증서를 선택하고 "내보내기"를 클릭합니다. 인증서와 암호화되지 않은 개인 키를 "PEM + 키(*.pem)" 형식으로 내보냅니다.
3. PLCnext Engineer에서 OPC UA 서버의 "인증서" 필드를 "컨트롤러에 의해 자체 서명됨"에서 "컨트롤러의 파일"로 변경합니다.
4. PLCnext Engineer 프로젝트를 PLC에 다운로드합니다.
5. PLC의 웹 기반 관리 페이지에서 인증서 인증으로 이동합니다. 보안 창 부분. OPC UA 구성 가능이라는 새 ID 저장소 생성되었습니다.
6. 2단계에서 만든 파일의 인증서와 키를 새 ID 저장소로 로드합니다.
   • “설정” 버튼을 클릭하고 인증서/키 파일을 선택하여 인증서를 로드합니다. 기존 키 쌍과 새 인증서가 일치하지 않음을 나타내는 오류가 나타납니다.
   • “설정” 버튼을 클릭하고 인증서/키 파일을 선택하여 개인 키를 로드합니다. 오류가 사라집니다.
     
7. PLCnext Runtime을 다시 시작하여 OPC UA 서버가 새 인증서를 선택하도록 합니다.

이제 수동으로 생성된 자체 서명 인증서를 사용하여 클라이언트를 OPC UA 서버에 연결할 수 있습니다. UA Expert를 이용하여 접속 시 커스텀 인증서의 상세 내용을 확인할 수 있습니다.

옵션 3 – 자체 인증 기관에서 서명한 인증서.

XCA에서는 자체 인증 기관(CA)을 만든 다음 이 CA를 사용하여 인증서에 서명할 수 있습니다. 필요한 추가 단계는 이 문서의 시작 부분에 언급된 "X.509 인증서 만들기" 문서에 설명되어 있습니다. .pem을 내보낼 때 파일에서 내보내기 형식은 "PEM 체인(*.pem)"이어야 합니다.

위의 옵션 2에서와 같이 이 인증서는 OPC UA 구성 가능에 로드되어야 합니다. ID 저장소.

옵션 4 – 신뢰할 수 있는 인증 기관에서 발급한 인증서

이 경우 인증서는 신뢰할 수 있는 인증 기관에서 구매하고 서명합니다. 다시 말하지만 이 인증서는 OPC UA 구성 가능에 로드되어야 합니다. 아이덴티티 스토어. CA가 OPC UA 클라이언트에 알려진 경우 OPC UA 서버에 연결할 때 경고나 오류가 발생하지 않아야 합니다.

중앙 서버에서 인증서 관리

PLC에 보안 인증서를 수동으로 로드하는 대신 OPC UA 글로벌 검색 서버에서 PLC로 인증서를 푸시할 수 있습니다. 이는 여러 OPC UA 서버를 포함하는 네트워크에서 보안 인증서를 관리할 때 도움이 됩니다.

이 주제는 다른 게시물에서 다룰 것입니다.