Zum Hauptinhalt springenZum Seitenfuß springen

 |  Blog

OPC UA im Griff: Mit GDS zur smarten Verwaltung

OPC UA boomt - und mit ihm die Anforderungen an eine effiziente Verwaltung. Der Global Discovery Server bringt Ordnung ins Netzwerk: zentrale Registrierung, automatische Zertifikate, sichere Kommunikation. Einfach, smart, sicher.

Die Verbreitung von OPC UA wächst rasant - und mit ihr die Herausforderung, Applikationen effizient zu verwalten. Manuelle Konfigurationen über Weboberflächen sind bei der steigenden Anzahl von Applikationen keine Lösung mehr. Hier kommt der Global Discovery Server (GDS) ins Spiel: eine zentrale Plattform, die Verwaltung und Sicherheit auf ein neues Level hebt. 

Die OPC Foundation hat den GDS als zentrale Plattform zur Verwaltung von Zertifikaten und Registrierung von Applikationen spezifiziert. Als eigenständige Netzwerkapplikation mit Client- und Serverschnittstellen ermöglicht der GDS eine sichere und effiziente Verwaltung aller OPC UA-Applikationen. 

Effiziente OPC UA Registratur

OPC UA Server können über den Discovery Service schnell registriert und von Clients gefunden werden. In kleineren Netzwerken übernimmt die Registrierung oft der OPC UA Server selbst, auf Hosts mit mehreren OPC UA Applikationen übernimmt dies meist ein Local Discovery Server (LDS).

Je größer das Netzwerk, desto schneller kommt der GDS ins Spiel. Er bündelt die Informationen aller LDS, prüft sie und erstellt eine zentrale Liste verfügbarer Server. So stellen Administratoren sicher, dass nur autorisierte Server mit Clients kommunizieren. 

Für Clients bedeutet der Einsatz des GDS weniger Aufwand und mehr Sicherheit: Sie benötigen nur die Adresse des GDS, um die passenden Serveradressen abzurufen. Dadurch werden Konfigurationsfehler reduziert und Änderungen wie DHCP-bedingte Adressänderungen automatisch berücksichtigt. Zudem bleiben nur Server registriert, die aktuell online sind, da sich heruntergefahrene Server automatisch abmelden. 

Zentrale Zertifikatsverwaltung

Die größte Erleichterung bietet der GDS durch die integrierte Zertifikatsverwaltung. Damit können alle verwendeten, vertrauten und gesperrten Zertifikate zentral verwaltet, aktualisiert und automatisiert an Server und Clients verteilt werden. 

Für diesen Mechanismus ist es notwendig eine Zertifikatskette aufzubauen, die im nachfolgenden Bild aus vier Ebenen besteht:

  1. Root-Zertifikat – auf Firmenebene erstellt und im gesamten Netzwerk anerkannt.
  2. Fabrik-Zertifikat – vom Root-Zertifikat signiert und für die Fabrikebene genutzt.
  3. Produktionslinien-Zertifikat – vom Fabrik-Zertifikat signiert und für eine Produktionslinie gültig.
  4. Applikationszertifikate – vom Produktionslinien-Zertifikat signiert. 

Der GDS kommt in diesem Beispiel auf der Ebene der Produktionslinie zum Einsatz und verwaltet alle OPC UA Applikationen, die in der Linie zum Einsatz kommen. Mit Hilfe des Fabrikzertifikats signiert der GDS die Zertifikate der einzelnen OPC UA Applikationen, sodass deren Zertifikate alle auf der gleichen Basis und damit auf der gleichen Zertifikatskette aufbauen. 

 

Durch diese Struktur müssen Applikationen nur den Zertifikaten der Kette vertrauen, um sicher mit anderen Applikationen zu kommunizieren. Zertifikate werden automatisch erneuert und verteilt, wodurch der Administrationsaufwand minimiert wird. 

Zusätzlich verwaltet der GDS Trust Lists (vertrauenswürdige Zertifikate) und Certificate Revocation Lists (CRL, widerrufene Zertifikate). Diese Listen werden regelmäßig aktualisiert und an alle verwalteten Applikationen verteilt, sodass stets die aktuelle Sicherheitsstufe gewährleistet ist. 

Flexibel und zukunftssicher

Damit die Zertifikatsverwaltung sowohl für OPC UA Client als auch für OPC UA Server funktioniert, muss der GDS Server einen Push und einen Pull Mechanismus für die Zertifikatsverwaltung bereitstellen. Beim Push-Mechanismus agiert der GDS als Client und schreibt die Zertifikate, Trust Lists und CRLs direkt auf die Zielsysteme. Beim Pull-Mechanismus ruft der Client die benötigten Daten vom GDS ab. 

Die Konfiguration des GDS erfolgt über eine Standard OPC UA Clientverbindung und die vom GDS bereitgestellten Methoden im Informationsmodell. Der GDS prüft die Zugriffsrechte anhand der Zugangsdaten, und Administratoren können neue Applikationen hinzufügen oder entfernen - der GDS übernimmt automatisch die Verwaltung. 

Fazit

Der Global Discovery Server ist mehr als nur ein Tool - er ist ein Gamechanger für die Verwaltung von OPC UA Applikationen. Weniger Aufwand, maximale Sicherheit und volle Kontrolle in komplexen Netzwerken. Wer OPC UA einsetzt, kommt langfristig am GDS nicht vorbei. Wir unterstützen Sie bei der Implementierung.

Über den Autor

 

Fabian Rosenfelder ist technischer Informatiker aus Leidenschaft. Als Seniorentwickler hat er seinen Schwerpunkt auf die Softwareentwicklung rund um Embedded Linux, OPC UA und C++ gelegt. Aktuell unterstützt er unsere Kunden bei der Entwicklung von OPC UA Servern, beispielsweise für High Performance Echtzeitsteuerungssysteme. 

Erstellt von