Empfohlene Schritte

Nach der Erstinbetriebnahme empfiehlt Beckhoff die Beachtung der folgenden Punkte, um den Server weiter zu konfigurieren und eine stabile und sichere Betriebsumgebung zu gewährleisten.

Data Access

Data Access beschreibt eine Funktion von OPC UA zur Darstellung von Symbolen und den entsprechenden Zugriff darauf im Adressraum des Servers. Im TwinCAT OPC UA Server ist die Konfiguration von Data-Access-Geräten ein elementarer Bestandteil und Grundlage für weitere Funktionalitäten. Wir empfehlen Ihnen daher im nächsten Schritt unser Kapitel zum Themengebiet Data Access, in welchem auch beschrieben wird, wie Sie eine Verbindung mit der Laufzeit herstellen können.

Nur sichere IdentityToken verwenden

Durch die einmalige Initialisierung des Servers wird das IdentityToken „Anonymous“ deaktiviert. Aus Sicherheitsgründen sollten Sie dieses deaktiviert lassen. Der Zugriff auf den Server sollte ausschließlich durch authentifizierte Client-Applikationen erfolgen, wie z. B. der standardmäßig durch die Initialisierung konfigurierten Benutzername-/Passwort-Authentifizierung.

Erstellung eines Benutzers für den reinen Datenzugriff

Durch die bereits genannte Initialisierung des Servers wird ein Benutzer für den Zugriff auf den Server konfiguriert und anschließend der Anonymous-Zugriff auf den Server deaktiviert. Der konfigurierte Benutzer hat hierbei Vollzugriff auf alle Objekte im Namensraum des Servers. In den meisten Anwendungsszenarien ist dies nicht gewünscht und der Administrator-Benutzer soll vom Anwendungsbenutzer separiert werden.

Beckhoff empfiehlt daher die Konfiguration eines zusätzlichen, dedizierten Benutzers, welcher die notwendigen Berechtigungen für den Zugriff auf Variablen eines Data-Access-Geräts bekommt, dabei jedoch nicht auf den Konfigurations-Namensraum zugreifen darf. Diese Einstellung kann über den Konfigurator durchgeführt werden, indem Sie einen neuen Benutzer hinzufügen, welcher der Benutzergruppe „Users“ zugewiesen wird.

Empfohlene Schritte 1:
Empfohlene Schritte 2:

Der neu konfigurierte Benutzer hat dann alle notwendigen Berechtigungen auf TwinCAT-Variablen zuzugreifen und das Typsystem auszulesen, jedoch nicht die Konfiguration des Servers zu beeinflussen. Bitte beachten Sie, dass Sie bei Verwendung des Authentifzierungsproviders „OS“ den Benutzer ebenfalls im Betriebssystem anlegen müssen, d. h., dass er dort vorhanden sein muss.

Hinweis

Unsichere Endpunkte deaktiviert lassen

  • Als unsicher eingestufte Endpunkte werden standardmäßig nicht vom TwinCAT OPC UA Server angeboten. Über einen Konfigurationsschalter lassen sich diese im Server verfügbar machen – Beckhoff rät ausdrücklich davon ab!
  1. Verwenden Sie nur die aktuell als sicher geltenden Endpunkte.
  2. Beachten und befolgen Sie die weiteren sicherheitsrelevanten Empfehlungen im folgenden Abschnitt.

Der folgende Screenshot zeigt Ihnen, wie Sie ältere Server Endpunkte im TwinCAT OPC UA Configurator aktivieren können.

Empfohlene Schritte 3:

Anschließend können Sie die unsicheren Endpunkte wieder zur Konfiguration des Servers hinzufügen, zum Beispiel über das Kontextmenü im Konfigurator im Bereich „Security Settings“:

Empfohlene Schritte 4:

Desweiteren ist auch der None-/None-Endpunkt im Auslieferungszustand des Servers deaktiviert. Aus Sicherheitsgründen empfiehlt Beckhoff, diesen Endpunkt ebenfalls deaktiviert zu lassen und den Zugriff auf den Server nur über einen sicheren Endpunkt zu erlauben. Bei Bedarf kann der None-/None-Endpunkt über den oben genannten Weg wieder zur Konfiguration des Servers hinzugefügt werden.

'AutomaticallyTrustAllClientCertificates' deaktivieren

Im Auslieferungszustand wird der Server für die einfache Inbetriebnahme so konfiguriert, dass dieser allen Client-Zertifikaten automatisch vertraut, ohne auf Serverseite einen manuellen Zertifikatsaustausch durchführen zu müssen. Aus Sicherheitsgründen empfiehlt Beckhoff die Deaktivierung dieser Einstellung. Diese Einstellung kann über den TwinCAT OPC UA Configurator vorgenommen werden, wie der folgende Screenshot zeigt:

Empfohlene Schritte 5:

Nach der Deaktivierung dieser Einstellung muss eine Vertrauensstellung zwischen Client und Server hergestellt werden, indem beide Applikationen gegenseitig ihren Zertifikaten vertrauen.