Как предотвратить остановки производства из-за истекших сертификатов OPC UA

В последнее время OPC UA (OPC Unified Architecture (англ. Унифицированная архитектура OPC) — спецификация, определяющая передачу данных в промышленных сетях и взаимодействие устройств в них) получила широкое распространение в промышленных ИТ-средах. Она обеспечивает общий стандарт связи, который позволяет элементам из различных частей промышленной инфраструктуры взаимодействовать друг с другом. Одним из основных аспектов OPC UA являются сертификаты OPC UA, которые обеспечивают уровень безопасности между взаимодействующими компонентами. Но что произойдет, когда срок действия этих сертификатов истечет? И как можно следить за ними, чтобы всегда знать их статус?

Что такое сертификаты OPC UA?

Сертификат — это электронный идентификатор, который может храниться в приложении OPC UA. Идентификатор включает в себя информацию, которая идентифицирует держателя, эмитента и уникальный ключ, который используется для проверки цифровых подписей, созданных с помощью соответствующего закрытого ключа. Синтаксис этих сертификатов соответствует спецификации X.509, и в результате эти сертификаты также называются «сертификатами X.509».

По сути, эти сертификаты обеспечивают связь между приложениями OPC UA. Эта концепция основана на асимметричной криптографии, где используются закрытый и открытый ключи, чтобы гарантировать, что взаимодействующие приложения имеют право делать это.
Чтобы обеспечить более высокий уровень безопасности, сертификаты могут иметь дату истечения срока действия, после чего они должны быть заменены новыми сертификатами. Как правило, это должно происходить довольно регулярно.

Управление датой истечения срока действия сертификата

Хотя настройка регулярных сроков истечения срока действия является наилучшей практикой для повышения безопасности, существуют некоторые риски: когда срок действия сертификатов истекает, связь между приложениями становится невозможной. И это потенциально может иметь негативные последствия в промышленной среде.

Например: машины на заводе могут быть подключены к программируемому логическому контроллеру (ПЛК) с помощью OPC UA, а ПЛК может подключаться к системам контроллеров (например, MES, SCADA или ERP) с помощью OPC UA. Если срок действия сертификатов OPC UA истекает, возможно, эти соединения не могут быть установлены. В зависимости от вашей архитектуры сертификаты с истекшим сроком действия могут повлиять на обмен данными в цехе или даже в некоторых случаях привести к остановке производства.

Поэтому очень важно следить за датой истечения срока действия сертификатов OPC UA.

Мониторинг сертификатов OPC UA с PRTG

Решения Paessler PRTG для мониторинга включают возможность мониторинга различных аспектов OPC UA, и одним из этих аспектов являются сертификаты. С помощью датчика сертификата OPC UA вы можете получить подробную информацию о сертификате на сервере OPC UA, например, количество дней до истечения срока действия, самоподписанный он или нет, а также длину открытого ключа. Вы также можете настроить оповещения, которые будут предупреждать вас о приближении истечения срока действия сертификата. Подробнее