使您的 OPC-UA 源服务器能够信任 Edge 网关 SiteWise - Amazon IoT SiteWise
导出 OPC-UA 客户端证书
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使您的 OPC-UA 源服务器能够信任 Edge 网关 SiteWise

如果在配置 OPC-UA 源时选择 “” 以messageSecurityMode外的选项,则必须使源服务器能够信任 Amazon IoT SiteWise Edge 网关。E SiteWise dge 网关会生成您的源服务器可能需要的证书。该过程因您的源服务器而异。有关更多信息,请参阅您的服务器文档。

以下过程概述了基本步骤。

使 OPC-UA 服务器能够信任 Edge 网关 SiteWise

  1. 打开用于配置 OPC-UA 服务器的界面。

  2. 输入 OPC-UA 服务器管理员的用户名和密码。

  3. 在界面中找到可信客户端,然后选择Amazon IoT SiteWise 网关客户端

  4. 选择 信任

导出 OPC-UA 客户端证书

某些 OPC-UA 服务器需要访问 OPC-UA 客户端证书文件才能信任边缘网关。 SiteWise 如果这适用于您的 OPC-UA 服务器,则可以使用以下步骤从 Edge 网关导出 OPC-UA 客户端证书。 SiteWise 然后,可以在您的 OPC-UA 服务器上导入证书。

导出源的 OPC-UA 客户端证书文件

  1. 边 SiteWise 缘网关为每个来源存储一个 OPC-UA 客户端证书。每个源都由一个唯一 ID 标识。 SiteWise Edge 网关将源 ID 存储在位于的配置文件中/sitewise-root/config/sitewise-COLLECTOR-config.json。您无法使用 Amazon IoT SiteWise API 返回源 ID,因此必须在此配置文件中找到它们。

    在 SiteWise Edge 网关上,运行以下命令之一以打印收集器配置文件的输出。将 sitewise-root 替换为配置的本地存储路径。 Amazon IoT SiteWise 默认的 sitewise-root/var/sitewise

    • 如果您安装了 jq,请运行以下命令来优质输出配置文件并突出显示语法。

      cat /sitewise-root/config/sitewise-COLLECTOR-config.json | jq .

    • 如果您安装了 Python,请运行以下命令来优质输出配置文件。

      cat /sitewise-root/config/sitewise-COLLECTOR-config.json | python -m json.tool

    • 如果您没有 JSON 输出工具,请运行以下命令来输出配置文件。

      cat /sitewise-root/config/sitewise-COLLECTOR-config.json
    例 : SiteWise Edge 网关的配置文件

    以下 JSON 示例演示了具有一个基本 OPC-UA 源的 SiteWise Edge 网关的配置文件。

    {
"creationDate": 1588369971457,
"dataVersion": null,
"gatewayConfiguration": {
  "schemaVersion": "DefaultSchemaVersion",
  "sources": [
    {
      "endpoint": {
        "certificateTrust": {
          "type": "TrustAny"
        },
        "endpointUri": "opc.tcp://203.0.113.0:49320",
        "identityProvider": {
          "type": "Anonymous"
        },
        "messageSecurityMode": "NONE",
        "nodeFilterRules": [],
        "securityPolicy": "NONE"
      },
      "id": "a1b2c3d4-5678-90ab-cdef-1c1c1EXAMPLE",
      "measurementDataStreamPrefix": "",
      "name": "Wind Farm #1",
      "type": "OpcUaSource"
    }
  ],
  "syncStatus": "OUT_OF_SYNC",
  "version": 27
},
"id": {
  "accountId": "123456789012",
  "value": "a1b2c3d4-5678-90ab-cdef-1a1a1EXAMPLE"
},
"lastUpdateDate": 1592004024251,
"name": "ExampleCorpGateway",
"platform": {
  "groupArn": "arn:aws:greengrass:us-west-2:123456789012:/greengrass/groups/a1b2c3d4-5678-90ab-cdef-1b1b1EXAMPLE",
  "type": "Greengrass"
},
"sink": null,
"state": "ACTIVE"
}

    查找与 OPC-UA 服务器对应的源。源的 ID 位于 id 字段中。在以上示例中,a1b2c3d4-5678-90ab-cdef-1c1c1EXAMPLE 是名为 Wind Farm #1 的 OPC-UA 源的源 ID。

  2. 运行以下命令来更改为包含证书文件的目录。将 sitewise-root 替换为 Amazon IoT SiteWise 配置的本地存储路径,并将源 ID 替换为在上一步中找到的源 ID。

    cd /sitewise-root/pusher/source-id/opcua-certificate-store

  3. 该来源的 SiteWise Edge 网关的 OPC-UA 客户端证书位于文件中。aws-iot-opcua-client.pfx

    运行以下命令来将证书导出到名为 aws-iot-opcua-client-certificate.pem.pem 文件。

    keytool -exportcert -v -alias aws-iot-opcua-client -keystore aws-iot-opcua-client.pfx -storepass amazon -storetype PKCS12 -rfc > aws-iot-opcua-client-certificate.pem

  4. 将证书文件从 SiteWise Edge 网关传输到 OPC-UA 服务器。aws-iot-opcua-client-certificate.pem

    为此,您可以使用常用软件(如 scp 程序)来通过 SSH 协议传输文件。有关更多信息,请参阅 Wikipedia 上的 Secure copy

    注意

    如果您的 SiteWise Edge 网关在亚马逊弹性计算云 (Amazon EC2) 上运行,并且您是首次连接到该网关,则必须配置连接的先决条件。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的连接到您的 Linux 实例

  5. 在 OPC-UA 服务器上导入证书文件以信任 SiteWise Edge 网关。aws-iot-opcua-client-certificate.pem步骤因所使用的源服务器而异。请参阅服务器的文档。