要将证书添加到 OPC UA Server,请执行以下操作:
- 右键单击 Windows 任务栏,并选择 OPC UA Configuration(OPC UA 配置)
- 打开 Trusted Clients(受信任的客户端)选项卡
- 单击 Import(导入)
- 选择要在服务器上受信任的证书文件(*.der 或 *.cer)。此项文件为客户端的证书。可在暂存目录 /uaclient/pki/own/uaclientcert.der 下找到该 deviceWISE OPC UA 客户端的证书。
- 当 OPC UA 客户端未能链接到 Kepware OPC UA Server 时,会自动显示一份证书。单击 Trust(信任)以接受证书。
- 确保服务器设置有效。执行以下操作:
- 确保所有的服务器设置已勾选了正确的复选框,以及,当客户端尝试连接时,使用的是完整的服务器主机名。
- 检查 deviceWISE 节点上的 DNS 设置,确保访问的是完整的主机名(例如:opc.tcp://N3966.tmt.telital.com:49320)。例如,当安全策略为 None(无)时,试图在无身份验证的情况下连接到服务器。
- 重启 KepwareOPC UA 服务器。
- 确保所有的服务器设置已勾选了正确的复选框,以及,当客户端尝试连接时,使用的是完整的服务器主机名。
以 Message Security Mode(消息安全模式)连接到 deviceWISE OPC UA 客户端
- 设置一台 OPC UA 客户端设备,其安全策略设置为连接到 Kepware OPC UA Server。
使用主机名(例如,
win-acme.com)而非 IP 地址连接到接入点 URL,因为服务器的证书会使用服务器的主机名。可以使用类似win-acme.com这样的主机名,但前提是该主机名可以 ping 通。在 Linux 节点上,ping 指令无法识别主机名
win-acme.come。向/etc/hosts添加一个条目,例如:10.120.51.21win-acme.com。Kepware v6 OPC UA Server 似乎最高只能支持 Basic128Rsa15 加密的安全策略。
- 单击 Validate(验证)
- 如果您收到了一条错误信息,指出 Certificate untrusted(证书不受信任)
- 转到 deviceWISE \staging\uaclient\pki\rejected 目录。
您可在设备定义验证上看到被 OPC UA 客户端拒绝的服务器的证书。
- 如果您收到了一条错误信息,指出 Certificate untrusted(证书不受信任)
- 将文件移动到 \staging\uaclient\pki\trusted\certs。
- 打开 deviceWISE 设备定义,并再次单击 Validate(验证)。现在应该就可以成功验证了。如果您收到错误信息 Certificate security checks failed(证书安全检查失败),那么需要按前文所述步骤,信任客户端证书。
-
开启 OPC UA 配置管理器,选择客户端证书,并单击 Trust(信任)。重启服务器。
现在应该就可以顺利验证设备定义了。