Gestione dinamica dei certificati con l’OPC UA GDS in device and update management: riconoscimento, gestione e messa in sicurezza più semplici di dispositivi e applicazioni OPC UA
Alla dicitura OPC UA viene spesso associato solo il protocollo di comunicazione macchina-macchina per l’automazione industriale, ma lo standard si sta dimostrando una buona soluzione anche per il collegamento di reti aziendali e di macchine. OPC UA, infatti, non solo trasmette informazioni della macchina, come valori teorici e misurazioni o parametri di processo, ma definisce e descrive anche i dati. Con il modello di informazioni OPC UA è possibile creare e strutturare con efficienza nuovi processi tra un controllore e un qualsiasi livello superiore di software orientato al business. Inoltre, il modello di aggiornamento del software definito nella specifica OPC UA 10000-100 può essere utilizzato per implementare la gestione del software di un asset, che può, per esempio, comprendere un’installazione di nuovo software e l’aggiornamento di software già esistente, l’update di un firmware come pure il back-up e il ripristino limitati di parametri e firmware nella misura richiesta per l’aggiornamento. Per scambiare i dati in modo sicuro e affidabile con un asset, OPC UA offre la possibilità della comunicazione basata su certificati. Ed è in questo contesto che entra in gioco OPC UA Global Discovery Server (GDS).
Punto d’accesso alla gestione centrale dei certificati
Il concept del GDS di OPC UA, da una parte, consente di configurare Discovery Service validi per tutta la sottorete, dall’altra, fornisce interfacce per una gestione centrale dei certificati. Un Global Discovery Server comprende meccanismi per la gestione centrale di certificati firmati CA (Certificate Authority) e autofirmati, nonché l’amministrazione di elenchi di fiducia e liste di certificati revocati CRL (Certificate Revocation List). Inoltre, il GDS è un punto di accesso alla gestione centrale dei certificati e funge da server di sicurezza all’interno di una rete OPC UA (si veda figura 1). Il Global Discovery Server viene principalmente utilizzato nell’amministrazione di certificati firmati CA con le relative CRL. A tale scopo il GDS può generare certificati delle applicazioni OPC UA iniziali, aggiornare regolarmente le CRL e gli elenchi di fiducia connessi, oppure rinnovare il certificato delle applicazioni OPC UA. Nel complesso OPC UA Global Discovery Server ha un ruolo decisivo nel garantire un funzionamento efficiente e robusto di sistemi OPC UA, approntando funzioni chiave per il riconoscimento, la gestione e la sicurezza.
Notifica in tempo reale dei client
GDS Push Service è una funzione dell’OPC UA Global Discovery Server che notifica in tempo reale ai client quando al GDS vengono aggiunti nuovi punti terminali o nuove applicazioni e/o vengono modificati o eliminati quelli già esistenti. Con GDS Push Service i client possono abbonarsi al ricevimento di messaggi su determinati eventi o modifiche, per esempio quando la rete viene integrata con un nuovo server OPC UA, oppure quando cambia l’URL del punto terminale di un server esistente. In questo modo i client sono sempre aggiornati su adattamenti alla rete OPC UA e possono eventualmente adeguare la loro configurazione in modo automatico (si veda figura 2). Il GDS Push Service può operare anche con il protocollo pub/sub di OPC UA, che contribuisce a una comunicazione efficiente e scalabile delle notifiche di eventi. I client possono sottoscrivere un abbonamento per diversi argomenti o eventi di loro interesse; il GDS invierà quindi automaticamente i messaggi non appena si verificano tali eventi. Nel complesso, GDS Push Service è una funzionalità efficiente e potente dell’OPC UA Global Discovery Server, in quanto il servizio consente di riconoscere e gestire in tempo reale applicazioni e punti terminali OPC UA, con il vantaggio di una trasmissione sicura ed efficiente dei dati in sistemi industriali e IoT.
Identificazione dei dispositivi nella rete
Uno strumento di gestione dei dispositivi, come il sistema Device and Update Management di Phoenix Contact, può trarre grandi benefici dall’implementazione dell’OPC UA Global Discovery Server. Innanzitutto, il GDS supporta l‘utente con una ricerca e gestione più semplici di dispositivi e applicazioni compatibili con OPC UA; offre inoltre un punto centrale per il rilevamento e l’amministrazione di applicazioni e punti terminali OPC UA, in modo che lo strumento di gestione dei dispositivi identifichi più facilmente i dispositivi all’interno della rete e si connetti con essi. Inoltre, il GDS affianca il tool di gestione dei dispositivi nell’amministrazione della sicurezza di applicazioni e dispositivi che supportano OPC UA. Il Global Discovery Server comprende funzioni per la gestione di certificati o linee guida di sicurezza, e contribuisce a garantire la sicurezza e affidabilità della comunicazione tra i dispositivi. Infine, il GDS Push Service può fornire notifiche in tempo reale su modifiche all’interno della rete, affinché lo strumento di gestione dei dispositivi sia sempre allo stato dell’arte in merito ad adattamenti ad applicazioni e dispositivi OPC UA-enabled. In questo modo il tool è in grado di adattare in automatico la propria configurazione.
Configurazione in modalità remota
Molte applicazioni richiederanno in futuro una messa in servizio automatizzata di dispositivi nuovi o sostitutivi, soprattutto se si va verso il mondo connesso in rete della ‘All Electric Society’. In questo caso viene spesso utilizzato il termine ‘Zero Touch Provisioning’ o ‘One Touch Provisioning’. All’interno della rete aziendale, i dispositivi terminali intelligenti (edge device) possono essere configurati da remoto, senza l’intervento umano in loco. Tutto questo garantisce un risparmio sia di tempi che di costi. In combinazione con un OPC UA Global Discovery Server, un tool di gestione dei dispositivi intelligente può portare a una svolta decisiva. Riconoscere nuovi dispositivi mediante il GDS, considerarli affidabili e/o concedere loro un’identità affidabile e, infine, installare una configurazione globale predefinita sui dispositivi: sono funzioni essenziali per una messa in servizio automatizzata. Questo è un vantaggio notevole quando si utilizza lo standard OPC UA: solo così sarà possibile implementare scenari corrispondenti, indipendentemente dal produttore (si veda figura 3). Sebbene uno strumento di gestione dei dispositivi non richieda necessariamente un OPC UA Global Discovery Server, può tuttavia trarre beneficio dalle funzioni e opportunità offerte per rilevare, gestire e rendere sicuri dispositivi e applicazioni compatibili con OPC UA, nonché per ricevere notifiche in tempo reale su modifiche nella rete.
Certificati del server OPC UA nei controllori PLCnext
Il server embedded con OPC UA integrato nei controllori PLCnext di Phoenix Contact richiede certificati X.509 per garantire una comunicazione affidabile con i client OPC UA. Si possono utilizzare 4 tipi principali di certificati: − certificato autofirmato generato automaticamente. I certificati richiesti vengono creati automaticamente dal controllore. Questa funzione è di facile configurazione e risulta particolarmente utile in caso di test e utilizzo costante in LAN sicure; − certificato autofirmato creato manualmente. Non offre vantaggi di sicurezza supplementari rispetto al certificato autofirmato generato automaticamente. L’amministratore ha tuttavia un controllo maggiore sulla gestione dei certificati; − certificato firmato dalla Certificate Authority (CA) aziendale. Non si rilevano vantaggi in termini di sicurezza rispetto al certificato autofirmato creato manualmente e automaticamente. Tuttavia, è possibile implementare un’amministrazione strutturata dei certificati; − certificato emesso da una Trusted Certificate Authority. Il certificato deve essere acquisito da un ente certificatore esterno affidabile, per esempio GeoTrust o Symantec. Questa opzione è consigliata per reti pubbliche o altre reti non sicure, in quanto tutti i client dovrebbero accettare un certificato autofirmato da un ente certificatore affidabile.
Phoenix Contact Electronics – www.phoenixcontact.com/it-it
PLCnext Community – www.plcnext-community.net