'Server-Einstellungen'-Editor (OPC UA)

Abschnitt	Parameter	Beschreibung
Endpunkt	DNS-Name / IP-Adresse	Name der Steuerung im Domain Name System (DNS), auf der der OPC UA-Server als Embedded-Anwendung installiert ist. Mit Hilfe dieses Namens kann ein Namensserver den Server eindeutig identifizieren, indem er den DNS-Namen auf die IP-Adresse der Steuerung abbildet.
Informationsmodell	Sichtbarkeit von Variablen	Spezifiziert die Implementierung des Informationsmodells und damit die Sichtbarkeit der Daten für OPC UA-Clients. Mit dieser Option können Sie die Datenstruktur definieren, die der OPC UA-Server seinen Clients anbieten wird. 'Sichtbarkeit der IN/OUT-Ports' 'alle': Alle im GDS (Global Data Space) der Applikation gespeicherten Ports und Variablen sind für OPC UA-Clients sichtbar und verfügbar. 'Markierte': Nur Ports und Variablen, für die in der Variablendeklaration die Eigenschaft 'OPC' gesetzt ist, sind für OPC UA-Clients sichtbar und zugreifbar. Mit dieser Einstellung und dem Auswählen der benötigten Variablen in der Deklarationstabelle lassen sich die Auslastung des OPC UA-Servers und auch der Datenverkehr reduzieren. 'keine': Clients können über den OPC UA-Server keinen Port und keine Variable subscriben. Der gesamte 'PLCnext'-Knoten ist aus dem Dateninformationsmodell ausgeschlossen. Die Device Information (DI, gemäß OPC UA-Standard) bleibt für die Clients sichtbar. Diese beinhaltet die Informationen über die Steuerung, wie zum Beispiel Revisionsnummern der Hard- und Software, Seriennummer, Herstellername, Modellspezifikation, etc. Beispiel Informationsmodell, wie es in einem Beispielclient angezeigt wird. Der OPC UA-Server ist in der PLCnext Technology-Steuerung AXC F 2152 integriert. Die Einstellung 'alle' führt zu folgender Datenstruktur: Der 'PLCnext'-Knoten enthält alle Ports und Variablen, die für OPC UA-Clients zur Verfügung gestellt werden. Der 'AXC F 2152'-Knoten enthält die OPC UA-Standardgeräteinformation (Device Information)
Spezifikation	Enable Specification	Nur verfügbar für PLCnext Technology-Steuerungen mit einer Firmware-Version 2023.6 oder neuer. Ermöglicht die Konfiguration der maximalen Anzahl an gleichzeitigen OPC UA-Client Sessions für den OPC UA-Server. Mögliche Werte: 'Nein' (Voreinstellung) - Der in der Firmware der Steuerung definierte Standardwert für die maximale Anzahl an gleichzeitigen OPC UA-Client Sessions wird für den OPC UA-Server verwendet. 'Ja' - Der für den Parameter 'Maximale Anzahl an Sessions' eingegebene Wert wird für den OPC UA-Server verwendet (siehe folgende Parametergruppe).
Maximale Anzahl an Sessions	Enable maximum no. of sessions	Nur verfügbar für PLCnext Technology-Steuerungen mit einer Firmware-Version 2023.6 oder neuer. Maximale Anzahl an gleichzeitigen OPC UA-Client Sessions, die der OPC UA-Server erlaubt. (Die Parametergruppe ist nur sichtbar, wenn der Parameter 'Enable Specification' auf 'Ja' gesetzt ist, siehe oben). Setzen Sie 'Enable maximum no. of sessions' auf 'Ja' und geben Sie in das darunter liegende Feld die maximale Anzahl an gleichzeitigen OPC UA-Client Sessions ein. Mit 'Enable maximum no. of sessions' = 'Nein' wird der in der Firmware der Steuerung angegebene Standardwert verwendet. Hinweis Der Standardwert und mögliche Wertebereich für gleichzeitige OPC UA-Client Sessions hängt vom Steuerungstyp ab.
Abonnementeinstellungen	Subscription-Typ	Art der PLCnext-Subscription, die der OPC UA-Server verwendet. Mögliche Werte: 'Direktes Lesen': Mit dieser Einstellung werden die Werte unabhängig von den ESM-Tasks in der Steuerungsapplikation erfasst. Stattdessen werden die Werte direkt von den jeweiligen Variablen gelesen, sobald die entsprechende Firmware-Funktion aufgerufen wird. Auf diese Weise sind Subscriptions von verschiedenen ESM-Taskzyklen möglich. Diese Einstellung ist für die asynchrone Subscription nicht-zeitkritischer Daten geeignet. Sie hat keinen Einfluss auf das Echtzeitverhalten. 'Direktes Lesen' ist die Voreinstellung für neue Projekte oder nach dem Ersetzen einer älteren Steuerung mit einer Steuerung der Firmware-Version 2021.0 LTS oder neuer. 'Hohe Performance': In diesem Modus können gleichzeitig Daten gelesen und geschrieben werden. Jeder Zugriff erfolgt synchron mit einem ESM-Task. Diese Art der Subscription benötigt am wenigsten Speicherplatz. Sie beeinflusst zwar das Echtzeitverhalten, jedoch in geringerem Maße als der Modus 'Echtzeit'. Dieser Modus ist für die meisten Datenerfassungsszenarien geeignet. 'Echtzeit': In diesem Modus werden Daten gleichzeitig und mit kürzest möglichen Zugriffszeiten gelesen und geschrieben. Er ermöglicht somit den schnellsten Datenzugriff, erfordert aber auch den meisten Speicher. Die Subscription erfolgt Task-synchron. Dieser Modus ist geeignet für die Subscription von Variablen in sehr schnellen Tasks. Er beeinflusst jedoch das Echtzeitverhalten mehr als der Modus 'Hohe Performance'.

Parameter	Beschreibung
Zertifikat	Konfiguriert die Zertifizierungsverwaltung auf dem OPC UA-Server. 'Datei auf der Steuerung': Eine Zertifikatsdatei (einschließlich privatem Schlüssel) ist im IdentityStore (Identitätsspeicher) auf der Steuerung gespeichert. Dabei kann es sich um ein CA-signiertes oder ein selbst-signiertes Zertifikat handeln (siehe Definitionen am Ende dieses Themas). Der Dateispeicherort auf der Steuerung ist festgelegt und kann nicht verändert werden. Der Transfer des Zertifikats in den IdentityStore auf dem Gerät kann über die WBM-Schnittstelle (webbasiertes Management) der Steuerung oder mit Hilfe des Tools SCP Secure Copy erfolgen (die Übertragung mit PLCnext Engineer ist nicht möglich). Details entnehmen Sie dem Steuerungshandbuch zur Ihrem PLCnext Technology-Gerät. In der Tabellenzeile 'TrustStores' finden Sie eine Erläuterung des Begriffs "IdentityStore". 'Selbst-signiert von Steuerung': Der Server verwendet das selbst-signierte Zertifikat, welches er erzeugt und mit seinem eigenen, privaten Schlüssel signiert hat. Die Verwendung des selbst-signierten Zertifikats verursacht einen größeren Aufwand, wenn ein Netzwerk mit vielen Anwendungsinstanzen aufgebaut werden muss, da das Zertifikat manuell an alle beteiligten Instanzen verteilt werden muss. Nachdem Sie 'selbst-signiert durch Steuerung' ausgewählt haben, werden die 'Subjekt'-Optionen aktiv, wo Sie das (die) Subjekt(e) des Zertifikats benennen müssen. Das Verändern der Subjekteinstellungen führt zu einem neuen selbst-signierten Zertifikat nach dem nächsten Schreiben des Projekts. In der Tabellenzeile "Subjekttyp" finden Sie weitere Details. 'Verwaltet durch OPC UA GDS': Der im PLCnext Technology-Gerät integrierte OPC UA-Server ist bereit, um via Certificate Push Management (gemäß OPC UA-Standard V1.04, Teil 12) automatisch mit Zertifikaten versorgt zu werden. Dies beinhaltet nach einem Erst-Zertifikat auch alle Nachfolge-Zertifikate (Aktualisierungen). Es wird erwartet, dass die Zertifikate automatisch von einem Global Discovery Server (GDS) bereitgestellt werden, der den Push-Mechanismus implementiert. Der Global Discovery Server muss sich als "spezieller" OPC UA-Client mit dem OPC UA-Server im PLCnext Technology-Gerät verbinden. Der Global Discovery Server ist nicht Teil von PLCnext Engineer. Es kann dafür jedes geeignete marktübliche Standard-Tool verwendet werden. Dieses muss so konfiguriert werden, dass es sowohl den OPC UA-Server im PLCnext Technology-Gerät als auch alle OPC UA-Clients (d.h. alle relevanten Geräte in Ihrem Netzwerk/Ihrer Security-Domäne) mit Zertifikaten versorgt. Beachten Sie, dass sich der Global Discovery-Server auch in einer anderen Security-Domäne (in einem anderen Subnetz) befinden kann. Nachdem Sie die Option 'Verwaltet durch OPC UA GDS' gewählt haben, müssen Sie die Namen des TrustStore (Vertrauensspeichers) und des IdentityStore (Identitätsspeichers) im OPC UA-Server angeben. Diese Namen können frei gewählt werden. Sie können die Inhalte dieser Speicherbereiche (Stores) über die WBM-Schnittstelle (webbasiertes Management) der Steuerung einsehen. Der OPC UA-Server legt in diesen Stores die Daten ab, die er vom Global Discovery Server (GDS) erhält. In dem von Ihnen benannten IdentityStore (Identitätsspeicher) speichert er das Zertifikat und den Schlüssel, mit dem er sich nach Vorgabe des GDS bei den Clients authentifizieren muss. Im TrustStore legt er die vom GDS empfangenen vertrauenswürdigen Zertifikate und Ausstellerzertifikate ab, mit denen er Client-Zertifikate verifiziert. Nachdem Sie 'Verwaltet durch OPC UA GDS' ausgewählt haben, werden ebenfalls die 'Subjekt'-Optionen aktiv, wo Sie das (die) Subjekt(e) des Zertifikats benennen müssen. Je nach eingesetztem Global Discovery Server können diese Subjekt-Einstellungen in die Zertifikate integriert werden, die der OPC UA-Server erhält. In der Tabellenzeile "Subjekttyp" finden Sie weitere Details.
Trust Stores (Vertrauensspeicher)	Diese Felder sind nur sichtbar, nachdem Sie im Bereich 'Serverzertifikat' den Wert 'Verwaltet durch OPC UA GDS' ausgewählt haben (siehe Zeile oben). Sie müssen die Namen für den TrustStore (Vertrauensspeicher) und IdentityStore (Identitätsspeicher) definieren, in denen der OPC UA-Server die vom Global Discovery-Server (GDS) empfangenen Daten ablegen soll. Geben Sie beliebige Namen in die Textfelder ein. Sie können den aktuellen Inhalt dieser Speicherbereiche (Stores) über die WBM-Schnittstelle (webbasiertes Management) der PLCnext Technology-Steuerung einsehen. 'Name des IdentityStore': Definiert den Namen des IdentityStore (Identitätsspeicher) auf dem OPC UA-Server im PLCnext Technology-Gerät, in dem der OPC UA-Server sein eigenes Applikations-Zertifikat und den Schlüssel ablegen soll, den er vom Global Discovery-Server erhält und verwenden muss. Mit den Informationen, die im IdentityStore gespeichert sind, authentifiziert sich der OPC UA-Server gegenüber seinen Clients. Hintergrundinformationen: IdentityStore Ein IdentityStore ist ein (durch den IdentityStore-Namen identifizierter) spezieller persistenter Speicherbereich, der z.T. streng geheime Daten enthält, mit denen sich ein PLCnext Technology-Gerät bei seinen Kommunikationspartnern identifizieren kann. Der OPC UA-Server erhält diese Daten vom Global Discovery-Server. Die Daten beinhalten ein asymmetrisches Schlüsselpaar (öffentlicher und privater Schlüssel). Dieses Schlüsselpaar geht einher mit einem entsprechenden Zertifikat zum öffentlichen Schlüssel (gem. dem Standard X.509) und optional auch mit Ausstellerzertifikaten bis hinauf zum Trusted Anchor (Wurzelzertifikat oder Anker für Vertrauensstellung). Zur Authentifizierung nutzt das PLCnext Technology-Gerät sein asymmetrisches Schlüsselpaar. Entweder betrachtet der Kommunikationspartner den öffentlichen Schlüssel als vertrauenswürdig (weil er dessen Identität kennt) oder das PLCnext Technology-Gerät übermittelt zusätzlich sein Zertifikat (das seine Identität ausweist), welches der Kommunikationspartner dann verifiziert. In hierarchischen Zertifizierungsstrukturen muss das PLCnext Technology-Gerät auch die in seinem IdentityStore hinterlegten Ausstellerzertifikate senden, damit der Kommunikationspartner den gesamten Zertifizierungspfad validieren kann. Ein PLCnext Technology-Gerät kann mehrere IdentityStores enthalten. Auf diese Weise kann es mehrere Identitäten annehmen, wenn es beispielsweise zu mehreren Security-Domänen gehört; oder unterschiedliche Dienste, die auf demselben Gerät ausgeführt werden, können jeweils durch eine separate Identität unterschieden werden (z.B. ein OPC UA-Server und ein Webserver). Der integrierte OPC UA-Server im PLCnext Technology-Gerät unterstützt aktuell nur einen IdentityStore. Das Gegenstück zum IdentityStore im PLCnext Technology-Gerät ist der TrustStore (siehe nächster Punkt). 'Name des TrustStore': Definiert den Namen des TrustStore (Vertrauensspeicher) des OPC UA-Servers auf dem PLCnext Technology-Gerät, in dem der OPC UA-Server die vom Global Discovery-Server (GDS) empfangenen Daten ablegt, mit denen er Clients authentifiziert. Mit den Informationen aus dem TrustStore kann der OPC UA-Server die Identität von OPC UA-Clients authentifizieren, die sich mit dem Server verbinden möchten. Er validiert dazu die Echtheit des Zertifikats, das jeder Client präsentiert. Lesen Sie hier auch die Tabellenzeile 'Anwendung' unten. Sie müssen das Kontrollkästchen 'Verwendung des TrustStores zur Client-Authentifizierung' aktivieren, damit der Inhalt des TrustStore bei der Client-Authentifizierung berücksichtigt wird. Hintergrundinformationen: TrustStore Ein TrustStore ist ein (durch den TrustStore-Namen identifizierter) spezieller persistenter Speicherbereich, der Kriterien zum Verifizieren der Zertifikate enthält, mit denen sich die Kommunikationspartner eines PLCnext Technology-Geräts authentifizieren. Das bedeutet, der Inhalt des TrustStore ermöglicht die Überprüfung der Echtheit eines Zertifikats, das ein potenzieller Kommunikationspartner vorzeigt. Im Kontext des OPC UA-Servers sind dies die OPC UA-Clients. Der OPC UA-Server erhält diese Daten vom Global Discovery-Server. Diese Verifizierungskriterien sind hauptsächlich vertrauenswürdige Zertifikate. Es können dort außerdem (von Sub-CAs erzeugte) Ausstellerzertifikate hinterlegt werden, die dann zur Überprüfung einer ganzen hierarchischen Zertifizierungsstruktur verwendet werden können. Optional können auch Zertifikats-Sperrinformationen oder Regeln zur Verifizierung von hierarchischen Zertifizierungsstrukturen oder von Zertifikatsinhalten hinterlegt werden (wie z.B. "Gültigkeitsdauer prüfen?", "Sperrlisten prüfen?", "Inhabername prüfen?") Hinweis Solange der TrustStore leer ist, vertraut der OPC UA-Server allen Clients. Ein PLCnext Technology-Gerät kann mehrere TrustStores enthalten. Der integrierte OPC UA-Server im PLCnext Technology-Gerät unterstützt aktuell nur einen TrustStore. Das Gegenstück des TrustStore im PLCnext Technology-Gerät ist der IdentityStore (siehe oben). Für den TrustStore wie auch den IdentityStore gilt: Die enthaltenen Daten werden im Dateisystem des PLCnext Technology-Geräts gespeichert und können dort optional durch Hardware-Maßnahmen geschützt werden. Standardmäßig können herstellerseitige TrustStores und IdentityStores implementiert sein. Beispiel: Ein vordefinierter TrustStore mit Daten zur Prüfung der Authentizität des Proficloud-Servers beim Verbindungsaufbau zur Proficloud oder ein IdentityStore zur Authentifizierung beim HTTPS-Server oder beim Remoting-Server des Geräts. Auf TrustStores und IdentityStores im PLCnext Technology-Gerät kann über die WBM-Schnittstelle (webbasiertes Management) zugegriffen werden. In der aktuellen Version enthält der OPC UA-Server drei einsatzbereite TrustStores und drei IdentityStores. Der OPC UA-Server unterstützt gegenwärtig nur den gleichzeitigen Einsatz eines TrustStore und eines IdentityStore. Welcher verwendet wird, hängt von der OPC UA-Server-Konfiguration ab. IdentityStores: Ein IdentityStore mit festem Namen für das selbst-signierte Zertifikat. Dieser Store wird verwendet, wenn die Konfigurationsoption 'selbst-signiert durch Steuerung' gewählt wurde. Ein IdentityStore mit festem Namen für die Zertifikatsdatei. Dieser Store wird verwendet, wenn die Konfigurationsoption 'Datei auf der Steuerung' gewählt wurde. Ein IdentityStore, dessen Name in PLCnext Engineer festgelegt wurde, für das vom GDS gelieferte Zertifikat. Dieser Store wird verwendet, wenn die Konfigurationsoption 'Verwaltet durch OPC UA GDS' gewählt wurde. TrustStores: Ein TrustStore mit festem Namen für die Verwendung mit der Zertifikatsdatei. Dieser Store wird verwendet, wenn die Konfigurationsoption 'Datei auf der Steuerung' oder 'selbst-signiert durch Steuerung' gewählt wurde. Ein TrustStore, dessen Name in PLCnext Engineer festgelegt wurde, für die vom GDS gelieferten Informationen. Dieser Store wird verwendet, wenn die Konfigurationsoption 'Verwaltet durch OPC UA GDS' gewählt wurde. In diesem Fall gilt: Falls noch nicht definiert (z.B. über WBM), können Sie einfach einen neuen TrustStore oder IdentityStore erzeugen, indem Sie in die Eingabefelder beliebige Namen eintippen. Dadurch wird der entsprechende Store mit dem eingegebenen Namen auf dem Gerät angelegt, wenn der OPC UA-Server das Projekt ausführt. Nachdem er angelegt wurde, ist der Store nach wie vor leer, aber im WBM sichtbar. Hinweis Solange der TrustStore leer ist, vertraut der OPC UA-Server allen Clients. Der Inhalt sowohl des TrustStore als auch des IdentityStore kann über die WBM-Schnittstelle geändert werden. Auf diesem Weg können Sie den TrustStore manuell "vorbelegen", damit der OPC UA-Server dem Global Discovery-Server trauen kann, der ihn dann mit weiteren Zertifikaten versorgen wird. Sie können außerdem den IdentityStore mit einem Server-Zertifikat vorbelegen, damit sich der Server als vertrauenswürdiges Mitglied Ihrer Security-Domäne ausweisen kann, beispielsweise beim Global Discovery-Server. Konfigurieren Sie den Global Discovery-Server entsprechend, so dass dieser dem OPC UA-Server vertraut (damit eine Verbindung zwischen OPC UA-Server und GDS aufgebaut werden kann). Richten Sie dann den GDS so ein, dass er zyklisch die erforderlichen Security-Daten in den TrustStore und den IdentityStore des OPC UA-Servers schreibt. Hinweis Der OPC UA-Standard verwendet eine etwas andere Terminologie: Der Standard erwähnt eine TrustList, deren Inhalt dem des TrustStore eines PLCnext Technology-Geräts sehr ähnlich ist. Der Standard spezifiziert eine CertificateGroup, deren Inhalt dem des IdentityStore eines PLCnext Technology-Geräts sehr ähnlich ist.
Subjekttyp	Diese Felder sind nur sichtbar, wenn für 'Serverzertifikat' entweder 'Selbst-signiert durch Steuerung' oder 'Verwaltet durch OPC UA GDS' eingestellt wurde. Hinweis Bei 'Verwaltet durch OPC UA GDS' hängt es von der Implementierung des verwendeten Global Discovery-Servers ab, ob die hier getätigten Subjekt-Einstellungen berücksichtigt werden oder nicht. Das Subjekt gibt den Inhaber des Zertifikats an. Ein Subjekt kann durch alternative Namen ergänzt werden. In einem Zertifikat gemäß X.509-Standard werden diese Namen mit sogenannten "subjAltName"-Erweiterung im Zertifikat aufgenommen. Mit diesen Eingabefeldern können Sie alternative Namen für den OPC UA-Server spezifizieren, die der Server entweder in das selbst-signierte Zertifikate aufnimmt, oder in den Zertifikatsantrag (Certificate Signing Request) schreibt, den er für den Global Discovery-Server erzeugt. Sie können bis zu fünf alternative Namen angeben. Jeder alternative Name sollte einen DNS-Namen oder eine IP-Adresse beschreiben, unter dem/der der OPC UA-Server erreichbar ist. Der OPC UA-Server verwendet automatisch auch den in den Grundeinstellungen definierten DNS-Namen als alternativen Namen, unabhängig von den Einstellungen hier. Auf diese Weise ermöglichen Sie bis zu vier Kommunikationspfade (vorausgesetzt, Ihre Netzwerkarchitektur unterstützt dies, z.B. durch Einsatz eines Routers mit Portweiterleitung (Firewall im Router zum OPC UA-Server) und implementiertem lokalen DynDNS). Beim Verbindungsaufbau verifizieren die OPC UA-Clients, ob die Adresse (DNS-Name oder IP-Adresse) der URL, die Sie kontaktieren möchten, im Server-Zertifikat enthalten ist. Wenn mehrere Möglichkeiten zum Verbinden mit dem OPC UA-Server vorhanden sind (von außerhalb und innerhalb der Domäne), dann muss jeder in Frage kommende Adressteil der URL im Zertifikat enthalten sein. Andernfalls scheitert die Authentifizierung. Jeder spezifizierte DNS-Name bzw. jede IP-Adresse (je nach Auswahl im Feld 'Subjekttyp') wird in das selbst-signierte Zertifikat geschrieben. Ist im Subjektfeld 'nicht gesetzt' eingestellt, dann ignoriert der Server dieses Feld beim Erzeugen des Zertifikats. Wenn Sie für alle Subjekte den Wert 'Nicht gesetzt' auswählen, dann wird kein alternativer Name in das selbst-signierte Zertifikat geschrieben, außer dem DNS-Namen aus den Grundeinstellungen, der immer verwendet wird. Hinweis Wenn Clients kurze URLs verwenden (weil sie sich in derselben Domäne wie der OPC UA-Server befinden), verwenden Sie diese Kurznamen als alternative Namen.
Sicherheitsrichtlinien	In den Sicherheitsrichtlinien legen Sie die zu verwendenden Algorithmen und die Schlüssellängen fest. Gemäß der OPC UA-Spezifikation sind die verfügbaren Algorithmen hier aufgelistet und können ausgewählt werden. Die Auswahl definiert die Verschlüsselungsalgorithmen (Cipher Suite), die der OPC UA-Server seinen Clients anbietet. Der Verschlüsselungsalgorithmus sichert den Datentransfer zwischen OPC UA-Server und Client. Indem Sie in einer der Auswahlliste 'Ja' auswählen, steht den Clients der betreffende Algorithmus zur Verfügung. Die Einstellung 'Nein' bedeutet, dass der Verschlüsselungsalgorithmus in den Einstellungen des OPC UA-Client nicht ausgewählt werden kann. Die Verschlüsselungs- und Signaturstärke nimmt in der Liste von oben nach unten zu. 'Basis 128 RSA15 Algorithmus aktivieren' Dieser Basis 128 RSA15-Algorithmus ist veraltet und deshalb auf 'Nein' voreingestellt. Verwenden Sie diese Einstellung nur, wenn der OPC UA-Client keine höhere Verschlüsselung unterstützt. 'Basis 256 Algorithmus aktivieren' Dieser Basis 256-Algorithmus ist veraltet und deshalb auf 'Nein' voreingestellt. Verwenden Sie diese Einstellung nur, wenn der OPC UA-Client keine höhere Verschlüsselung unterstützt. 'Basis 256 SHA256 Algorithmus aktivieren' Dieser Basis 256 SHA256-Algorithmus ist veraltet und deshalb auf 'Nein' voreingestellt. Verwenden Sie diese Einstellung nur, wenn der OPC UA-Client keine höhere Verschlüsselung unterstützt. 'AES 128 SHA256 RSA OAEP Algorithmus aktivieren' 'AES 256 SHA256 RSA PSS Algorithmus aktivieren'
Anwendung	'Verwendung des Truststores zur Client-Authentifizierung' (Voreinstellung: aktiviert) Falls aktiviert, werden der TrustStore (TrustList im Sinne der OPC UA-Spez.) sowie die Zertifikatsperrliste (Certificate Revocation List, CRL) bei der Authentifizierung aller OPC UA-Clients verwendet, die sich mit dem OPC UA-Server verbinden möchten. Folglich können sich nur Clients verbinden, deren Zertifikat im TrustStore abgelegt ist. Sowohl der TrustStore als auch die CRL können im WBM der Steuerung eingesehen und bearbeitet werden. Eine Beschreibung des TrustStore finden Sie weiter oben in dieser Tabelle. Weitere Informationen zur CRL finden Sie im Thema "Security-Begriffe und Hintergrundinformationen" (Link über dieser Tabelle). Wir empfehlen, die Voreinstellung zu belassen. Falls deaktiviert, werden der TrustStore und die Zertifikatsperrliste nicht angewendet. 'Überprüfung der ApplicationURI gegen das Client-Zertifikat' (Voreinstellung: aktiviert) Falls aktiviert, verifiziert der OPC UA-Server die ApplicationURI aus der ApplicationDescription, indem er sie mit dem SubjectAlternativeName.URI im Client-Zertifikat vergleicht. Beide URIs werden vom OPC UA-Client an den Server übergeben, wenn der Verbindungsaufbau initiiert wird. Wir empfehlen, die Voreinstellung zu belassen. Falls deaktiviert, werden Unterschiede zwischen der Anwendungs-URI aus der ApplicationDescription und der im Client-Zertifikat enthaltenen URI vom OPC UA-Server ignoriert.

Parameter	Beschreibung
Discovery-Registrierung	'Keine': Der OPC UA-Server registriert sich nicht bei einem Discovery-Server. 'Eingeschaltet': Durch die Registrierung des OPC UA-Servers beim hier spezifizierten Discovery-Server (siehe nächster Eintrag), kann der Server von Clients als Endpunkt gefunden werden.
Intervall	Dieses Feld ist nur sichtbar, wenn 'Discovery-Registrierung' = 'Eingeschaltet' ist. Angabe des Zeitintervalls, nach dem der OPC UA-Server sich zyklisch beim Discovery-Server registrieren muss ("Alive-Signalisierung"). Läuft das Intervall ohne eine neue Registrierung des OPC UA-Servers ab, wird der Server aus der Serverliste des Discovery-Servers entfernt. Der einzugebende Wert hängt vom angegebenen Intervallwert für den Discovery-Server ab.
Server-URL	Dieses Feld ist nur sichtbar, wenn 'Discovery-Registrierung' = 'Eingeschaltet' ist. Ersetzen Sie die voreingestellte Beispiel-URL opc.tcp://discovery.example.com:4840 entsprechend.

Abschnitt	Parameter	Beschreibung
Dateisystem	OPC UA-Dateitransfer	Legt fest, ob und welche Ordner und Dateien auf dem Steuerungsdateisystem für OPC UA-Clients im OPC UA-Informationsmodell sichtbar sein sollen, d.h. veröffentlicht (publisht) werden. 'Nicht freigeschaltet' - Kein Ordner/keine Datei wird veröffentlicht. 'Freigeschaltet' - Die Einstellungen zum Spezifizieren von Ordner, die veröffentlicht werden sollen, werden sichtbar.
	PLCnext Engineer-Projektordner anzeigen Dieses Feld ist nur sichtbar, wenn 'OPC UA-Dateitransfer' = 'Freigeschaltet' ist.	Macht das Verzeichnis sichtbar, in dem auf der Steuerung das Automatisierungsprojekt abgelegt ist.
	Ordner der Logdateien anzeigen Dieses Feld ist nur sichtbar, wenn 'OPC UA-Dateitransfer' = 'Freigeschaltet' ist.	Veröffentlicht das Verzeichnis mit den Logdateien der Steuerung.
Veröffentlichter Ordner x mit x = 1 bis 10	Dieses Feld ist nur sichtbar, wenn 'OPC UA-Dateitransfer' = 'Freigeschaltet' ist. Freischalten	'Ja' blendet weitere Optionen ein.
	Ordner	Name des zu veröffentlichenden Ordners. Der symbolische Name, den Sie hier definieren, wird im OPC UA-Informationsmodell sichtbar sein, welches OPC UA-Clients browsen können. (Siehe Abschnitt "Darstellung des Steuerungsdateisystems..." unten.) Hinweis Die Verzeichnisse, die Sie hier definieren, müssen auf der Steuerung bereits existieren. Es ist nicht möglich, durch Eingeben neuer Namen neue Ordner anzulegen.
	Pfad	Pfad zu diesem Ordner. Dieser muss den vollständigen physikalischen Verzeichnispfad im Steuerungsdateisystem enthalten. Der eingegebene Pfad wird auf den oben definierten 'Ordner'-Namen gemappt. Hinweis Die Verzeichnisse, die Sie hier definieren, müssen auf der Steuerung bereits existieren. Es ist nicht möglich, durch Eingeben neuer Namen neue Ordner anzulegen.
	Filter	Optional können Sie Filterstrings angeben, um bestimmte Objekte in diesem Verzeichnis vor Clients zu verbergen. Mit der Filtereinstellung '*' sind alle Ordner und Dateien für OPC UA-Client sichtbar und es ist möglich, neue Ordner und Dateien zu erzeugen. Eine bestimmte Zeichenkombination als Filterstring verbirgt alle Ordner, die nicht exakt diese Zeichenfolge in ihrem Namen enthalten. Folglich sind auch alle Dateien in solchen ausgeblendeten Ordnern verborgen. Der Platzhalter * in Kombination mit einer Dateierweiterung blendet alle Dateitypen mit einer anderen Dateierweiterung aus. Beispiel: '*.config' zeigt nur config-Dateien an.

Abschnitt	Parameter	Beschreibung
Reverse Connect	Reverse Connect	Legt fest, ob ein von den Clients initiierter umgekehrter Verbindungsaufbau erlaubt ist. 'Nicht freigeschaltet' - Umgekehrter Verbindungsaufbau ist nicht erlaubt. 'Freigeschaltet' - Die Einstellungen zum Spezifizieren von Client URLs werden sichtbar.
URLx mit x = 1 bis 5	Dieses Feld ist nur sichtbar, wenn 'Reverse Connect' = 'Freigeschaltet' ist. Freischalten	'Ja' blendet weitere Optionen ein.
	Client URL	URL des Clients, der die ausdrückliche Erlaubnis hat, die Client-Server-Verbindung aufzubauen.