所以我想通了!这是其他任何可能想要它的人(或我未来的自己)的答案
首先,证书似乎需要正确使用和扩展。当我在没有这些的情况下生成证书时,它不起作用。创建一个名为的文件user-key.conf
,其内容类似于:
[ req ]
default_bits = 2048
default_md = sha256
distinguished_name = subject
req_extensions = req_ext
x509_extensions = req_ext
string_mask = utf8only
prompt = no
[ req_ext ]
basicConstraints = CA:FALSE
nsCertType = client, server
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment, keyCertSign
extendedKeyUsage= serverAuth, clientAuth
nsComment = "Bruces User Cert"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
subjectAltName = URI:urn:opcua:user:bruce,IP: 127.0.0.1
[ subject ]
countryName = US
stateOrProvinceName = TX
localityName = Houston
organizationName = AL
commonName = bruce
请注意,在此示例中,我正在生成一个自签名证书。我不是安全专家,所以我不知道所有这些说法的含义,也没有测试过哪些是绝对必要的。我发现的一些信息似乎表明 commonName 应该与 OPC 服务器中的用户名相对应,但这是我在研究中了解到的唯一细节。
接下来,将 openssl 与此配置文件一起使用来创建证书和私钥对:
> openssl.exe req -x509 -days 365 -new -out bruce1.pem -keyout bruce1_key.pem -config user-key.conf
由于某些(可能是与安全相关的)原因,openssl 会强制您指定密码来保护私钥。到目前为止,我还没有弄清楚如何在 node.js 中解密它,所以我发现我可以使用以下命令将其删除:
> openssl.exe rsa -in bruce1_key.pem -out bruce1_key_nopass.pem
然后,至少对于我正在测试的 OPC-UA 服务器(prosys OPC-UA 模拟服务器),有必要获得 .der 格式的证书:
> openssl.exe x509 -inform PEM -outform DER -in bruce1.pem -out bruce1.der
此 .der 文件需要加载到 OPC-UA 服务器中。对于 prosys,这是通过将其复制到.\prosys-opc-ua-simulation-server\USERS_PKI\CA\certs
文件夹中来完成的。
在 node.js 中,以下代码将使用生成的证书文件进行连接:
const client = OPCUAClient.create(options);
await client.connect(endpointUrl);
let userIdentity = {
type: UserTokenType.Certificate,
certificateData: fs.readFileSync('./user-certificates/bruce1.pem'),
privateKey: fs.readFileSync('./user-certificates/bruce1_key_nopass.pem','utf8')
}
const session = await client.createSession(userIdentity);
这将成功连接到 prosys OPC-UA 客户端。我确信未来可以进行一些改进,比如在 node.js 中进行密码解密。