那什么是OPC UA證書？用途是什么？

簡單來說它是身份驗(yàn)證和權(quán)限識(shí)別。
OPC UA使用X.509證書標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了標(biāo)準(zhǔn)的公鑰格式。建立UA會(huì)話的時(shí)候，客戶端和服務(wù)器應(yīng)用程序會(huì)協(xié)商一個(gè)安全通信通道。數(shù)字證書（X.509）被用于識(shí)別客戶端和服務(wù)器。服務(wù)器還會(huì)對(duì)用戶進(jìn)行進(jìn)一步的身份驗(yàn)證，并授權(quán)后續(xù)請(qǐng)求以訪問服務(wù)器中的對(duì)象。

證書在通信過程中的主要功能：
1. OPC UA消息簽名，驗(yàn)證通信完整性
應(yīng)用程序通過使用其私鑰來生成消息簽名/哈希，然后可以使用相應(yīng)的公鑰證書對(duì)其進(jìn)行驗(yàn)證。如果私鑰簽名簽出，則確保該消息來自相應(yīng)的應(yīng)用程序。

2. OPC UA消息加密，通信安全不受窺視
與可以使用應(yīng)用程序的私鑰對(duì)消息進(jìn)行簽名，以確保消息是由批準(zhǔn)的應(yīng)用程序生成的，可以使用公共密鑰對(duì)消息進(jìn)行加密。一旦使用公鑰加密消息，只有具有相應(yīng)私鑰的應(yīng)用程序才能解密該消息（第三方攻擊者甚至可以擁有該公鑰的副本，但是他們無法解密該消息；公共密鑰僅用于加密-不能用于解密自己的消息）。

3. OPC UA應(yīng)用程序標(biāo)識(shí)，提高了可信度
如果沒有辦法確定我們正在使用的證書，那么對(duì)消息進(jìn)行簽名和加密/解密對(duì)我們來說就沒有太大的用處。因此，每個(gè)OPC UA證書還提供有關(guān)以下信息的標(biāo)識(shí)信息：哪個(gè)應(yīng)用程序生成了證書，何時(shí)生成，由誰生成，該證書可以用于什么，該證書應(yīng)使用多長時(shí)間，在何處生成等等。

這三個(gè)功能的核心概念是信任。當(dāng)兩個(gè)具有OPC UA功能的應(yīng)用程序首次連接時(shí)，它們交換它們的公共密鑰（這些作為應(yīng)用程序/OPC UA證書的一部分包含在內(nèi)），同時(shí)保持其相應(yīng)的私有密鑰。

審核編輯 黃宇