那什么是OPC UA證書？用途是什么？

簡單來說它是身份驗證和權(quán)限識別。
OPC UA使用X.509證書標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了標(biāo)準(zhǔn)的公鑰格式。建立UA會話的時候，客戶端和服務(wù)器應(yīng)用程序會協(xié)商一個安全通信通道。數(shù)字證書（X.509）被用于識別客戶端和服務(wù)器。服務(wù)器還會對用戶進(jìn)行進(jìn)一步的身份驗證，并授權(quán)后續(xù)請求以訪問服務(wù)器中的對象。

證書在通信過程中的主要功能：
1. OPC UA消息簽名，驗證通信完整性
應(yīng)用程序通過使用其私鑰來生成消息簽名/哈希，然后可以使用相應(yīng)的公鑰證書對其進(jìn)行驗證。如果私鑰簽名簽出，則確保該消息來自相應(yīng)的應(yīng)用程序。

2. OPC UA消息加密，通信安全不受窺視
與可以使用應(yīng)用程序的私鑰對消息進(jìn)行簽名，以確保消息是由批準(zhǔn)的應(yīng)用程序生成的，可以使用公共密鑰對消息進(jìn)行加密。一旦使用公鑰加密消息，只有具有相應(yīng)私鑰的應(yīng)用程序才能解密該消息（第三方攻擊者甚至可以擁有該公鑰的副本，但是他們無法解密該消息；公共密鑰僅用于加密-不能用于解密自己的消息）。

3. OPC UA應(yīng)用程序標(biāo)識，提高了可信度
如果沒有辦法確定我們正在使用的證書，那么對消息進(jìn)行簽名和加密/解密對我們來說就沒有太大的用處。因此，每個OPC UA證書還提供有關(guān)以下信息的標(biāo)識信息：哪個應(yīng)用程序生成了證書，何時生成，由誰生成，該證書可以用于什么，該證書應(yīng)使用多長時間，在何處生成等等。

這三個功能的核心概念是信任。當(dāng)兩個具有OPC UA功能的應(yīng)用程序首次連接時，它們交換它們的公共密鑰（這些作為應(yīng)用程序/OPC UA證書的一部分包含在內(nèi)），同時保持其相應(yīng)的私有密鑰。

審核編輯 黃宇