OPC UA-Client-Modul konfigurieren

Die Konfiguration des OPC UA-Client-Moduls umfasst die generellen und verbindungsunabhängigen Client-Einstellungen. Dazu gehören auch die Einstellungen für den Zertifikat-Store, die Security-Einstellungen und die Timeout-Werte. Die Einstellungen werden in der Konfigurationsdatei gespeichert, die mit dem PLCnext Engineer-Projekt auf die Steuerung geschrieben werden.

Hinweis
Für alle unten beschriebenen Einstellungen bietet der Embedded OPC UA-Client in PLCnext Technology-Steuerungen voreingestellte Werte an. In den meisten üblichen Anwendungsfällen ist die Kommunikation mit dem OPC UA-Server ohne Änderung dieser Standardwerte möglich.

Das Konfigurieren des Moduls erfolgt im Editor 'Client-Einstellungen'. Zum Öffnen des Editors doppelklicken Sie in der ANLAGE auf den 'OPC UA'-Knoten und wählen dann den Editor in der Editorengruppe aus. Wählen Sie links die entsprechende Kategorie, um die verschiedenen Einstellungen zu konfigurieren.

Dieses Thema enthält die folgenden Abschnitte:

Einstellungen im Zertifikat-Store

In der Kategorie 'Zertifikat-Stores' können Sie die Namen für den Identity Store und den Trust Store (Vertrauensspeicher) ändern (beachten Sie dazu den Hinweis oben). Standardmäßig werden die folgenden Zertifikat- und Trust Store-Namen verwendet: (Die vorgegebenen Stores werden angezeigt, wenn Sie im Feld 'Alternative Zertifikat-Stores verwenden' den Wert 'Ja' auswählen.)

Selbstsignierter Identity Store: Vom OPC UA-Client selbstsigniert
Im Identity Store 'OPC UA-Client selbstsigniert' wird das selbstsignierte (d.h. nicht von einer Certificate Authority (CA) ausgestellte) Zertifikat abgelegt. Dieses Zertifikat wird beim ersten Start des OPC UA-Client generiert. Das Zertifikat verwendet dieselben URLs und IP-Adressen, die für den OPC UA-Server konfiguriert sind. Mit den im Identity Store gespeicherten Informationen authentifiziert sich der OPC UA-Client gegenüber dem Server, d.h. der Server prüft, ob die Kommunikation mit diesem Client autorisiert ist. Das Zertifikat in diesem Identity Store wird nur dann verwendet, wenn der OPC UA-Client Identity Store leer ist (siehe nächster Punkt).
Gegebener Identity Store: OPC UA-Client
Im 'OPC UA-Client' Identity Store können Applikationsinstanz-Zertifikate abgelegt werden, die für den OPC UA-Client manuell erzeugt wurden. Der OPC UA-Client verwendet dieses Zertifikat, um sich beim Aufbau der Verbindung zum OPC UA-Server zu identifizieren.
Trust Store: OPC UA-Client
Im Trust Store 'OPC UA-Client' legt man Zertifikate vertrauenswürdiger Server ab. Sie müssen hier die Zertifikate aller Server hinzufügen, mit denen der Client kommunizieren soll. Mit den Informationen aus dem Trust Store kann der OPC UA-Client die Identität eines sich verbindenden OPC UA-Servers verifizieren. Er validiert dazu die Echtheit des Zertifikats, das der Server vorzeigt.

Wenn Sie für den Verbindungsaufbau andere Zertifikate als die voreingestellten Stores verwenden möchten, setzen Sie den Parameter 'Alternative Zertifikat-Stores verwenden' auf 'Ja'.

Hintergrundinformationen: Identity Store und Trust Store

Security-Einstellungen

In der Kategorie 'Security' lassen sich standardmäßige Security-Prüfungen außer Kraft setzen, die der OPCI UA-Client ausführt, wenn er sich mit dem OPC UA-Server verbindet. Um die Voreinstellungen zu deaktivieren, stellen Sie den Parameter 'Alternative Security-Einstellungen verwenden' auf 'Ja'. Folgenden Prüfungen können Sie deaktivieren:

Security-Prüfung Beschreibung

'Applikationsauthentifizierung' Falls deaktiviert, wird ein Fehler bei der Verifizierung eines Server-Zertifikats während des Verbindungsaufbaus zum OPC UA-Server ignoriert.

'Applikations-URI prüfen' Falls deaktiviert, wird ein ungültiger Applikations-URI im Server-Zertifikat ignoriert.
Mit deaktivierter URI-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn der URI des Servers nicht mit dem im Zertifikat des Client eingetragenen URI übereinstimmt.

'Hostname im Zertifikat prüfen' Falls deaktiviert, wird ein ungültiger Hostnamen im Server-Zertifikat ignoriert.
Mit deaktivierter Hostnamen-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn der Hostnamen des Servers nicht mit dem im Zertifikat des Client eingetragenen Hostnamen übereinstimmt.

'Zeit im Zertifikat prüfen' Falls deaktiviert, wird eine ungültige Zertifikatszeit ignoriert.
Mit deaktivierter Zertifikatszeit-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn das Zertifikat des Servers abgelaufen ist oder einen ungültigen Zeitstempel enthält.

'Zeit des Ausstellerzertifikats prüfen' Falls deaktiviert, wird eine ungültige Zeit des Ausstellerzertifikats ignoriert.
Mit deaktivierter Prüfung der Zeit des Ausstellerzertifikats kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn das Zertifikat des Ausstellers des Servers-Zertifikats abgelaufen ist oder einen ungültigen Zeitstempel enthält.

'Kennwortverschlüsselung prüfen' Falls deaktiviert, wird die Prüfung der ServerNonce und des Modus zur Kennwortverschlüsselung ignoriert.

Security-Prüfung	Beschreibung
'Applikationsauthentifizierung'	Falls deaktiviert, wird ein Fehler bei der Verifizierung eines Server-Zertifikats während des Verbindungsaufbaus zum OPC UA-Server ignoriert.
'Applikations-URI prüfen'	Falls deaktiviert, wird ein ungültiger Applikations-URI im Server-Zertifikat ignoriert. Mit deaktivierter URI-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn der URI des Servers nicht mit dem im Zertifikat des Client eingetragenen URI übereinstimmt.
'Hostname im Zertifikat prüfen'	Falls deaktiviert, wird ein ungültiger Hostnamen im Server-Zertifikat ignoriert. Mit deaktivierter Hostnamen-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn der Hostnamen des Servers nicht mit dem im Zertifikat des Client eingetragenen Hostnamen übereinstimmt.
'Zeit im Zertifikat prüfen'	Falls deaktiviert, wird eine ungültige Zertifikatszeit ignoriert. Mit deaktivierter Zertifikatszeit-Prüfung kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn das Zertifikat des Servers abgelaufen ist oder einen ungültigen Zeitstempel enthält.
'Zeit des Ausstellerzertifikats prüfen'	Falls deaktiviert, wird eine ungültige Zeit des Ausstellerzertifikats ignoriert. Mit deaktivierter Prüfung der Zeit des Ausstellerzertifikats kann die Verbindung zum OPC UA-Server auch dann hergestellt werden, wenn das Zertifikat des Ausstellers des Servers-Zertifikats abgelaufen ist oder einen ungültigen Zeitstempel enthält.
'Kennwortverschlüsselung prüfen'	Falls deaktiviert, wird die Prüfung der ServerNonce und des Modus zur Kennwortverschlüsselung ignoriert.

Hinweis
Das Deaktivieren der Security-Prüfungen reduziert die Sicherheit. In Produktionsumgebungen wird das Deaktivieren der Prüfungen nicht empfohlen.

Timeout-Einstellungen

In der Kategorie 'Timeouts' können Sie die vorgegebenen Timeout-Werte, die für die Kommunikation zwischen OPC UA-Client und OPC UA-Server verwendet werden, ändern. Um die Voreinstellungen ändern zu können, setzen Sie den Parameter 'Alternative Session Timeouts verwenden' auf 'Ja'. Folgende Timeouts können Sie ändern:

Timeout Beschreibung

'Session-Timeout' Timeout-Wert in Millisekunden, den der Server als Grenzwert verwendet, um eine Session bei Verbindungsverlust fortsetzen zu können. Der Server beendet die Verbindung aufgrund von Inaktivität, wenn die unter 'Session Timeout' eingestellte Zeitspanne abgelaufen ist.

'Verbindungs-Timeout' Timeout-Wert in Millisekunden, der während des Verbindungsaufbaus für Verbindungsaufforderungen verwendet wird. Bestätigt der Server die Verbindung nicht innerhalb der hier eingetragenen Zeitspanne, wird der Prozess des Verbindungsaufbaus abgebrochen.

'Watchdog-Timeout' Timeout-Wert in Millisekunden, der für Verbindungsprüfungen und beim Wiederverbinden nach Verbindungsfehlern verwendet wird.

'Aufruf-Timeout' Genereller Timeout-Wert in Millisekunden für Nachrichten zwischen OPC UA-Client und OPC UA-Server.

Timeout	Beschreibung
'Session-Timeout'	Timeout-Wert in Millisekunden, den der Server als Grenzwert verwendet, um eine Session bei Verbindungsverlust fortsetzen zu können. Der Server beendet die Verbindung aufgrund von Inaktivität, wenn die unter 'Session Timeout' eingestellte Zeitspanne abgelaufen ist.
'Verbindungs-Timeout'	Timeout-Wert in Millisekunden, der während des Verbindungsaufbaus für Verbindungsaufforderungen verwendet wird. Bestätigt der Server die Verbindung nicht innerhalb der hier eingetragenen Zeitspanne, wird der Prozess des Verbindungsaufbaus abgebrochen.
'Watchdog-Timeout'	Timeout-Wert in Millisekunden, der für Verbindungsprüfungen und beim Wiederverbinden nach Verbindungsfehlern verwendet wird.
'Aufruf-Timeout'	Genereller Timeout-Wert in Millisekunden für Nachrichten zwischen OPC UA-Client und OPC UA-Server.