Die Verbreitung von OPC UA wächst rasant - und mit ihr die Herausforderung, Applikationen effizient zu verwalten. Manuelle Konfigurationen über Weboberflächen sind bei der steigenden Anzahl von Applikationen keine Lösung mehr. Hier kommt der Global Discovery Server (GDS) ins Spiel: eine zentrale Plattform, die Verwaltung und Sicherheit auf ein neues Level hebt.
Die OPC Foundation hat den GDS als zentrale Plattform zur Verwaltung von Zertifikaten und Registrierung von Applikationen spezifiziert. Als eigenständige Netzwerkapplikation mit Client- und Serverschnittstellen ermöglicht der GDS eine sichere und effiziente Verwaltung aller OPC UA-Applikationen.
OPC UA Server können über den Discovery Service schnell registriert und von Clients gefunden werden. In kleineren Netzwerken übernimmt die Registrierung oft der OPC UA Server selbst, auf Hosts mit mehreren OPC UA Applikationen übernimmt dies meist ein Local Discovery Server (LDS).
Je größer das Netzwerk, desto schneller kommt der GDS ins Spiel. Er bündelt die Informationen aller LDS, prüft sie und erstellt eine zentrale Liste verfügbarer Server. So stellen Administratoren sicher, dass nur autorisierte Server mit Clients kommunizieren.
Für Clients bedeutet der Einsatz des GDS weniger Aufwand und mehr Sicherheit: Sie benötigen nur die Adresse des GDS, um die passenden Serveradressen abzurufen. Dadurch werden Konfigurationsfehler reduziert und Änderungen wie DHCP-bedingte Adressänderungen automatisch berücksichtigt. Zudem bleiben nur Server registriert, die aktuell online sind, da sich heruntergefahrene Server automatisch abmelden.
Die größte Erleichterung bietet der GDS durch die integrierte Zertifikatsverwaltung. Damit können alle verwendeten, vertrauten und gesperrten Zertifikate zentral verwaltet, aktualisiert und automatisiert an Server und Clients verteilt werden.
Für diesen Mechanismus ist es notwendig eine Zertifikatskette aufzubauen, die im nachfolgenden Bild aus vier Ebenen besteht:
Der GDS kommt in diesem Beispiel auf der Ebene der Produktionslinie zum Einsatz und verwaltet alle OPC UA Applikationen, die in der Linie zum Einsatz kommen. Mit Hilfe des Fabrikzertifikats signiert der GDS die Zertifikate der einzelnen OPC UA Applikationen, sodass deren Zertifikate alle auf der gleichen Basis und damit auf der gleichen Zertifikatskette aufbauen.
Durch diese Struktur müssen Applikationen nur den Zertifikaten der Kette vertrauen, um sicher mit anderen Applikationen zu kommunizieren. Zertifikate werden automatisch erneuert und verteilt, wodurch der Administrationsaufwand minimiert wird.
Zusätzlich verwaltet der GDS Trust Lists (vertrauenswürdige Zertifikate) und Certificate Revocation Lists (CRL, widerrufene Zertifikate). Diese Listen werden regelmäßig aktualisiert und an alle verwalteten Applikationen verteilt, sodass stets die aktuelle Sicherheitsstufe gewährleistet ist.
Damit die Zertifikatsverwaltung sowohl für OPC UA Client als auch für OPC UA Server funktioniert, muss der GDS Server einen Push und einen Pull Mechanismus für die Zertifikatsverwaltung bereitstellen. Beim Push-Mechanismus agiert der GDS als Client und schreibt die Zertifikate, Trust Lists und CRLs direkt auf die Zielsysteme. Beim Pull-Mechanismus ruft der Client die benötigten Daten vom GDS ab.
Die Konfiguration des GDS erfolgt über eine Standard OPC UA Clientverbindung und die vom GDS bereitgestellten Methoden im Informationsmodell. Der GDS prüft die Zugriffsrechte anhand der Zugangsdaten, und Administratoren können neue Applikationen hinzufügen oder entfernen - der GDS übernimmt automatisch die Verwaltung.
Der Global Discovery Server ist mehr als nur ein Tool - er ist ein Gamechanger für die Verwaltung von OPC UA Applikationen. Weniger Aufwand, maximale Sicherheit und volle Kontrolle in komplexen Netzwerken. Wer OPC UA einsetzt, kommt langfristig am GDS nicht vorbei. Wir unterstützen Sie bei der Implementierung.