TN238IT - Configurar InTouch como servidor OPC UA con seguridad y autenticación

TN238IT - Configurar InTouch como servidor OPC UA con seguridad y autenticación

En este documento se plantean los pasos a seguir para configurar InTouch como servidor OPC UA con seguridad y autenticación. Se habilitará la funcionalidad del servidor OPC UA en InTouch para que los clientes, OI Gateway o clientes terceros, puedan conectarse a InTouch, navegar de forma segura a los namespace de OPC UA e interactuar con InTouch HMI.

Para la realización de esta nota técnica se utiliza el software de AVEVA InTouch 2020 R2 y dos equipos (nodo servidor y nodo cliente).

1- Configurar el OPC UA Server – Nodo servidor
1.1. Abrir el AVEVA Application Manager y s eleccionar OPC UA:


1.2.  Se abrirá la configuración del OPC UA Server:
  1. Habilitar el OPC UA e indicar el puerto que se va a utilizar. El puerto 48032 está por defecto, pero puede ser modificado.
  2. Habilitar el check “Require encrypted communication between OPC UA clients and this server instanced”.
  3. Habilitar el check “Allow authenticated InTouch Users to write to attributes, depending on their security role”.




1.3.  Ejecutar InTouch.OPCUA.ServiceHost (C:\Program Files (x86)\Common Files\ArchestrA\Services\InTouchOPCUAService). 

Este ejecutable permite trabajar con el InTouch OPC UA y para ello, debemos tener el servicio InTouch OPC UA corriendo.





2-  Configurar el firewall – Nodo servidor
Las reglas de firewall deben ser añadidas en el nodo dónde se deployará el servicio OPC UA Server.
2.1.  Crear una nueva regla de entrada:

       

2.2. Seleccionar “Program”:



2.3. Buscar el ej ecutable InTouch.OPCUA.ServiceHost.exe (C:\Program Files (x86)\Common Files\ArchestrA\Services\InTouchOPCUAService):



2.4.  Seleccionar “Allow the connection”:



2.5.  El wizard preguntará cuando se aplica la regla:
  1. Para entornos de dominio: Seleccionar “Domain” y “Private”. Se recomienda no tener el check de “Public” marcado.
  2. Para entornos de Workgroup: La configuración “Domain” y “Private” no tienen ningún efecto en un entorno de grupo.


2.6. Definir el nombre de la regla y clicar el botón "Finish":



3-  Test firewall
3.1.   Hacer el Test telnet para verificar la correcta configuración del firewall. Para ello, abrir el command prompt del nodo cliente y escribir:
telnet < nodeName or ipAddress> <portNumber>

Dónde:  
  1. nodeName: es el nombre de la máquina que ejecuta la aplicación de InTouch.
  2. ipAddress: es la dirección de la máquina que ejecuta la aplicación de InTouch. 
  3. portNumber: es el número de puerto que se configuró en InTouch HMI para el servicio OPC UA.
Nota:  Utilizar el nodeName o la ipAddress, no ambos.
Si el comando falla, aparecerá un mensaje indicando que ha fallado la conexión. En este caso, revisar la configuración del firewall.

Si el comendo telnet funciona, el command prompt cambiará a Telnet prompt:


Nota: Configurar el fichero hosts (C:\Windows\System32\drivers\etc): Añadir IP y nombre máquina

4- Ejecutar el InTouch – Nodo servidor

Abrir el WindowViewer.


5- Configurar el OPC UA Client – Nodo Cliente

A continuación, se explicará cómo configurar el cliente OI Gateway para realizar la conexión con el servidor y poder conectarse a InTouch, pero se podría utilizar cualquier otro cliente OPC UA. Consultar el help para la correcta configuración de los certificados.

5.1. Abrir el System Platform Management Console (SMC) y navegar hasta Operations Integration Supervisory Servers > OI.Gateway.3. 

5.2.  Crear una nueva conexión OPC UA.  



5.3.  Renombrar la conexión OPC UA y configurarla:
  1. OPCUA Server Details:
    1. Server Node: Introducir el nombre de la máquina OPC UA Server.
    2. OPCUA Server: Es el URI (uniform resource identifier) para el OPC UA Server. Introducir el formato: "opc.tcp://<Nombre máquina OPC UA server>:<número puerto OPC UA>"
    Ingresar las credenciales de autorización y autenticación. Debe coincidir con las propiedades de configuración definidos en el OPC UA Server de InTouch HMI:
    2. Security Policy: Basic256Sha25
     3.  Security Message Mode: Sign and Encrypt
     4. User Credentials: Introducir las credenciales  según las credenciales definidas en la seguridad de InTouch.




5.4.  Clicar botón “Test”.  El test fallará pero se descargará el certificado OPC UA en el nodo servidor.



5.5.  Instalar el certificado OPC UA en el nodo servidor:

 1. Acceder a la carpeta C:\ProgramData\AVEVA\PCS\OPC UA Rejected Client Certificates\certs



 Nota: La carpeta ProgramData está oculta. Habilitarla la opción de “Hidden Items” en el explorador de Windows para poder verla.

2. Instalar el certificado:




3. Seleccionar “Local Machine”:

4. Buscar la carpeta “Trusted People”:


Nota: Es la única opción que funcionará con el certificado OPC UA.

5. Clicar botón “Finish”:

 



6. El certificado se ha importado con éxito. Clicar “OK”:

 

7. Una vez instalado el certificado en el nodo servidor, borrar dicho certificado de la ubicación C:\ProgramData\AVEVA\PCS\OPC UA Rejected Client Certificates\certs.

8. Comprobar que el certificado se haya instalado correctamente. 

1.  Presionar la tecla de Windows + R y en el cajón escribir: certmgr.msc:

 


2.  Buscar la carpeta “Trusted People”:






5.6.  Volver a clicar el botón “Test” de OI Gateway.  En el OPC UA Namespace mostrará automáticamente la lista de alias, lo cual indica que la conexión se ha realizado correctamente.  Guardar la configuración.



5.7. Crear un nuevo grupo de conexión y renombrarlo.



5.8. El nombre del device group se mostrará con el prefixo OPCUA_ y el nombre del grupo que se haya nombrado.



5.9. Clicar el botón “Browse OPCUA Server” para navegar a la jerarquía de OPC UA y acceder a los ítems.



5.10. Seleccionar los tags y clicar “Add to List”:



5.11. S e añaden los tags y clicar “OK”:



5.12. En la pestaña Device Items veremos los tags añadidos (1). Guardar la configuración (2):




5.13. Arrancar el driver OI Gateway:



5.14.  Para comprobar que el OI Gateway funciona correctamente con la aplicación InTouch debemos utilizar un cliente OPC DA, Suitelink o DDE.  En este caso, se utiliza el Quick Client, que es un cliente de OPC DA, para verificar que el OI Gateway (servidor OPC DA) está leyendo bien los datos de Intouch.




Nota Importante: Esta Nota Técnica se entrega “as is”, es decir, como complemento a la documentación del producto, pero no incluido dentro del ámbito del Soporte Técnico. Por tanto, cualquier mal funcionamiento derivado del contenido de esta nota técnica no es responsabilidad de Wonderware Iberia.