Was ist ein OPC UA GDS? Zertifikatsmanagement verständlich erklärt

OPC UA ist eines der wenigen industriellen Protokolle, bei denen Sicherheit Pflicht ist — nicht optional. Jede Verbindung erfordert X.509-Zertifikate zur Authentifizierung und Verschlüsselung. Das ist hervorragend für die Sicherheit — und ein Albtraum für den Betrieb, wenn Sie 50, 500 oder 5.000 Geräte verwalten.

Wie stellen Sie Zertifikate aus? Wie erneuern Sie sie vor Ablauf? Wie widerrufen Sie ein kompromittiertes Gerät? Wie verteilen Sie Vertrauenslisten über Hunderte von Servern?

Die Antwort ist der Global Discovery Server (GDS).

Das Problem: Zertifikatsmanagement im großen Maßstab

In einer kleinen OPC-UA-Installation — sagen wir zwei Server und fünf Clients — können Sie Zertifikate manuell verwalten. Erzeugen Sie ein selbstsigniertes Zertifikat für jede Anwendung, kopieren Sie es in den Vertrauensordner jedes Peers, und fertig.

Skalieren Sie das nun auf eine Fertigungshalle mit 200 OPC-UA-Servern, 50 Clients und 30 Gateways. Jedes Mal, wenn Sie ein Gerät hinzufügen, müssen Sie sein Zertifikat an jede Anwendung verteilen, die ihm vertrauen soll. Jedes Mal, wenn ein Zertifikat abläuft (typischerweise alle 1–2 Jahre), müssen Sie es erneuern und das neue verteilen. Jedes Mal, wenn ein Gerät außer Betrieb genommen wird, müssen Sie sein Zertifikat aus jedem Vertrauensspeicher entfernen.

Die Mathematik ist gnadenlos. Bei n Anwendungen haben Sie bis zu n×(n−1) Vertrauensbeziehungen zu verwalten. Bei 200 Geräten sind das fast 40.000 potenzielle Zertifikatsoperationen.

Das macht niemand manuell. Und wer es versucht, deaktiviert am Ende die Sicherheit komplett — genau darauf setzen Angreifer.

Was ist ein GDS?

Der Global Discovery Server ist in OPC UA Part 12: Discovery and Global Services definiert. Er erfüllt drei Funktionen:

1. Server-Verzeichnis

Der GDS führt eine zentrale Liste aller OPC-UA-Server und -Clients im Netzwerk. Anwendungen registrieren sich beim Start beim GDS, und andere Anwendungen können den GDS abfragen, um verfügbare Server zu entdecken — ähnlich wie DNS im Web.

2. Zertifizierungsstelle (CA)

Der GDS fungiert als Zertifizierungsstelle. Er kann X.509-Zertifikate für OPC-UA-Anwendungen ausstellen, erneuern und widerrufen. Anstatt dass jedes Gerät sein eigenes selbstsigniertes Zertifikat erzeugt, stellt der GDS von einer gemeinsamen CA signierte Zertifikate aus — und etabliert so eine Vertrauenskette über die gesamte Installation.

3. Vertrauenslistenmanager

Der GDS verwaltet Vertrauenslisten zentral. Wenn Sie einem neuen Gerät vertrauen, aktualisieren Sie den GDS einmal. Der GDS verteilt dann die aktualisierte Vertrauensliste an alle Anwendungen — automatisch. Kein manuelles Kopieren von Zertifikaten zwischen Maschinen.

So funktioniert es: Push und Pull

OPC UA Part 12 definiert zwei Modelle für das Zertifikatsmanagement:

Pull-Modell. Anwendungen kontaktieren den GDS periodisch, um auf aktualisierte Vertrauenslisten und neue Zertifikate zu prüfen. Dies ist einfacher zu implementieren, bringt aber eine Verzögerung mit sich — Geräte übernehmen Änderungen erst beim nächsten Abfragezyklus.

Push-Modell. Der GDS sendet Zertifikate und Vertrauenslisten proaktiv an die Anwendungen. Dies ist reaktionsschneller — Änderungen werden sofort wirksam — erfordert aber, dass der GDS eine Verbindung zu jeder verwalteten Anwendung aufrechterhält.

In der Praxis verwenden die meisten Installationen eine Kombination: Push für kritische Aktualisierungen (Zertifikatswiderruf) und Pull für Routineoperationen (Synchronisierung der Vertrauensliste).

OperationPull-ModellPush-Modell
ZertifikatsausstellungAnwendung fordert ein Zertifikat vom GDS anGDS stellt das Zertifikat aus und sendet es an die Anwendung
Aktualisierung der VertrauenslisteAnwendung fragt beim GDS nach ÄnderungenGDS sendet die aktualisierte Vertrauensliste
ZertifikatserneuerungAnwendung fordert Erneuerung vor Ablauf anGDS sendet das erneuerte Zertifikat automatisch
ZertifikatswiderrufAnwendung holt die CRL beim nächsten ZyklusGDS sendet die CRL sofort
LatenzMinuten (Abfrageintervall)Sekunden
KomplexitätGeringerHöher

Der Lebenszyklus von Zertifikaten

Ein GDS verwaltet den gesamten Lebenszyklus von Zertifikaten:

Registrierung. Ein neues Gerät tritt dem Netzwerk bei und fordert ein Zertifikat vom GDS an. Der GDS überprüft die Anfrage (typischerweise durch Prüfung eines vorab geteilten Registrierungstokens), erzeugt ein signiertes Zertifikat und gibt es an das Gerät zurück.

Verteilung. Der GDS fügt das Zertifikat des neuen Geräts den Vertrauenslisten aller Anwendungen hinzu, die mit ihm kommunizieren sollen. Diese Anwendungen erhalten die aktualisierte Vertrauensliste per Push oder Pull.

Erneuerung. Bevor ein Zertifikat abläuft, erzeugt der GDS ein neues und verteilt es. Das alte Zertifikat bleibt während einer Übergangszeit gültig, um Dienstunterbrechungen zu vermeiden.

Widerruf. Wenn ein Gerät kompromittiert oder außer Betrieb genommen wird, widerruft der GDS sein Zertifikat und veröffentlicht eine aktualisierte Zertifikatswiderrufsliste (CRL). Alle Anwendungen, die der CA des GDS vertrauen, lehnen das widerrufene Zertifikat beim nächsten Verbindungsversuch ab.

Warum Sie einen GDS brauchen

Compliance

Der Cyber Resilience Act (CRA) und IEC 62443 erfordern dokumentierte, auditierbare Sicherheitspraktiken. Ein GDS bietet zentrales Zertifikatsmanagement mit lückenloser Protokollierung — genau das, was Auditoren sehen wollen. Zertifikate manuell mit Screenshots und Tabellenkalkulationen zu verwalten, besteht kein ernsthaftes Audit.

Betriebssicherheit

Ohne GDS ist die Zertifikatserneuerung eine tickende Zeitbombe. Wenn ein Zertifikat abläuft, schlägt die Verbindung lautlos fehl. In einer Fabrik mit Hunderten von Geräten verursachen abgelaufene Zertifikate zufällige Kommunikationsausfälle, die extrem schwer zu diagnostizieren sind.

Ein GDS verfolgt Ablaufdaten zentral und erneuert Zertifikate automatisch — bevor sie ablaufen.

Provisionierung ohne manuellen Aufwand

Mit einem GDS ist das Hinzufügen eines neuen Geräts zum Netzwerk ein einziger Registrierungsschritt. Der GDS stellt das Zertifikat aus, verteilt die Vertrauensliste, und das Gerät ist betriebsbereit. Ohne GDS bedeutet das Hinzufügen eines Geräts das manuelle Kopieren von Zertifikaten an jede Anwendung, die ihm vertrauen muss.

Architekturmuster

Kleine Installation (< 50 Geräte)

Eine einzelne GDS-Instanz verwaltet alle Zertifikate. Der GDS läuft auf derselben Maschine wie Ihre Engineering-Workstation oder Ihr Edge-Server. Das Pull-Modell ist ausreichend.

Mittlere Installation (50–500 Geräte)

Ein dedizierter GDS-Server mit Push-Fähigkeit. Der GDS läuft auf einer gehärteten Maschine mit Backup. Zertifikate werden gesichert, und der private CA-Schlüssel wird sicher aufbewahrt (idealerweise in einem HSM, mindestens aber in einem sicheren Schlüsselspeicher).

Große Installation (500+ Geräte)

Hierarchische GDS-Architektur. Ein Root-CA-GDS stellt Zwischenzertifikate für GDS-Instanzen auf Zonenebene aus. Jeder Zonen-GDS verwaltet die Geräte in seinem Bereich. Dies begrenzt den Schadensradius, falls ein Zonen-GDS kompromittiert wird, und reduziert den Netzwerkverkehr.

Häufige Fehler

Sicherheit deaktivieren. Die häufigste „Lösung" für Probleme beim Zertifikatsmanagement ist die vollständige Deaktivierung der OPC-UA-Sicherheit. Das umgeht das GDS-Problem — und öffnet Tür und Tor für Man-in-the-Middle-Angriffe, Datenmanipulation und unbefugten Zugriff.

Überall selbstsignierte Zertifikate verwenden. Selbstsignierte Zertifikate funktionieren in der Entwicklung, erzeugen aber im großen Maßstab ein unüberschaubares Vertrauensgeflecht. Jedes Gerät vertraut nur sich selbst, und jeder Peer muss jedem Gerät explizit vertrauen. Ein GDS mit einer ordnungsgemäßen CA beseitigt dieses Problem, indem er eine einzige Vertrauenskette etabliert.

Zertifikatsablauf ignorieren. Zertifikate laufen ab. Wenn Sie sie nicht proaktiv verfolgen und erneuern, werden Ihre OPC-UA-Verbindungen fehlschlagen. Ein GDS automatisiert dies.

Die wichtigsten Erkenntnisse

  1. Ein GDS ist die zentrale Zertifizierungsstelle und das Server-Verzeichnis für OPC-UA-Netzwerke.
  2. Er löst das n×m-Vertrauensmanagement-Problem, das manuelles Zertifikatsmanagement im großen Maßstab unmöglich macht.
  3. Er unterstützt Push- und Pull-Modelle zur Verteilung von Zertifikaten und Vertrauenslisten.
  4. Er ist erforderlich für die Compliance mit IEC 62443 und dem CRA.
  5. Ohne GDS verbringen Teams übermäßig viel Zeit mit manuellem Zertifikatsmanagement — oder deaktivieren die Sicherheit vollständig.

Weiterführend: Whitepaper herunterladen

Dieser Artikel behandelt die Grundlagen. Für einen tieferen Einblick in GDS-Architektur, PKI-Designmuster, HSM-Integration und IEC-62443-Compliance-Mapping laden Sie unser technisches Whitepaper herunter.

OPC UA GDS Whitepaper herunterladen (PDF) — enthält Architekturdiagramme, Deployment-Checklisten und Leitfäden zur Vorbereitung auf Sicherheitsaudits.


Referenzen

  1. OPC Foundation — OPC UA Part 12: Discovery and Global Services. opcfoundation.org
  2. OPC Foundation — OPC UA Part 4: Services (SecurityPolicy). opcfoundation.org
  3. IEC 62443 — Industrial communication networks – Network and system security. iec.ch
  4. European Commission — Cyber Resilience Act (CRA). digital-strategy.ec.europa.eu

Sterfive entwickelt OPC UA GDS — einen produktionsreifen Global Discovery Server, der sich in Ihre bestehende PKI-Infrastruktur integriert. Wenn Sie ein sicheres OPC-UA-Deployment planen, sprechen Sie mit unseren Ingenieuren.