Sterfive GDS

OPC UA Global Discovery Server, als Produkt.

Automatisieren Sie den gesamten X.509-Zertifikatslebenszyklus in Ihrer OPC-UA-Anlage — Ausstellung, Erneuerung, Trust-List-Verteilung und Sperrung — sowohl im PULL- als auch im PUSH-Modus. Docker-nativ, steckbare CA, basierend auf node-opcua vom Team, das ihn pflegt.

Angebot anfordernDen Stack ansehen
Sterfive GDS — OPC UA Global Discovery Server

White Paper

When Security Matters — Zertifikatsmanagement in OPC UA

Ein praxisorientierter Leitfaden zum GDS, zu PULL- und PUSH-Modus und warum Part 12 die einzig tragfähige Antwort auf industrieller Skala ist.

Von den Maintainern von node-opcua

Part 12 des OPC-UA-Standards, endlich zum Produkt geformt.

„Der Global Discovery Server ist der am seltensten eingesetzte Teil des OPC-UA-Standards. Alle sind sich einig, dass die manuelle Verwaltung von Zertifikaten auf hunderten von SPSen nicht funktioniert — und dennoch wurde die Einführung jahrelang durch das Fehlen einer produktionsreifen, anbieteroffenen, containernativen Implementierung blockiert. Wir haben Sterfive GDS gebaut, um diese Lücke zu schließen, auf demselben node-opcua-Stack, den wir Upstream pflegen. Ein Anbieter, ein verantwortlicher Ansprechpartner, ein Container — und die Ära der um 2 Uhr nachts ablaufenden Zertifikate ist vorbei."

Etienne Rossignon — Erfinder von NodeOPCUA und CEO von Sterfive

Was Sterfive GDS leistet

Fähigkeiten, die die Ära der Zertifikatsverwaltung von Hand beenden

Sterfive GDS zentralisiert jeden Schritt des X.509-Lebenszyklus eines gesamten OPC-UA-Realms — und stellt ihn über einen Part-12-konformen Endpunkt bereit, den jeder konforme OPC-UA-Stack ansteuern kann.

Vollständiger Zertifikatslebenszyklus

Ausstellen, erneuern, sperren — automatisch

Jede registrierte OPC-UA-Anwendung erhält ihr Zertifikat, lässt es vor Ablauf erneuern und wird bei Bedarf gesperrt — gesteuert vom GDS, signiert von der CA Ihrer Wahl. Trust-Lists und CRLs verteilen sich automatisch im gesamten Bestand. Der BadCertificateTimeInvalid-Ausfall um 2 Uhr nachts wird zur Anekdote für neue Mitarbeiter, statt zu einem wiederkehrenden Vorfall.

PULL und PUSH, beide Standard

Jede Netzwerktopologie abdecken

PULL lässt Anwendungen ihre eigenen Zertifikate abholen, sobald sie den GDS erreichen — ideal für Clients, cloud-angebundene Server und Entwicklungsumgebungen. PUSH lässt den GDS sich in abgeschottete OT-Geräte verbinden und deren Zertifikate aus der Ferne rotieren — das einzig praktikable Modell für produktive SPSen, die keinen ausgehenden Verkehr aufbauen können. Sterfive GDS implementiert beide Modi gleichzeitig, in derselben Instanz.

Steckbare CA — kein PKI-Lock-in

Eingebaute CA, Step-CA, Vault, ADCS, EJBCA

Binden Sie das CA-Backend ein, das Ihre Organisation bereits betreibt: Step-CA, HashiCorp Vault PKI, Microsoft ADCS, EJBCA oder die mitgelieferte eingebaute CA für Zero-Config-Einsätze. Der Backend-Wechsel ist eine einzelne Umgebungsvariable — kein Codeänderung, keine Re-Zertifizierungskampagne. Cloud-HSM-Integration (Google Cloud HSM, OVH KMS) ist für FIPS-140-2-Level-3-Schutz der Root-CA-Schlüssel auf der Roadmap.

Regulatorische Ausrichtung, by Design

IEC 62443 · NIS2 · NERC CIP

Zentralisierte PKI-Governance, vollständiger Audit-Trail jeder Zertifikatsoperation und die operative Praktikabilität, kurze Zertifikatslaufzeiten (90 Tage oder weniger) durchzusetzen — die drei Säulen, die Regulierer inzwischen verlangen. Sterfive GDS macht aus „Zertifikatshygiene" eine eingebaute Standardverhaltensweise statt einer Compliance-Last.

Wo Sterfive GDS am dringendsten gebraucht wird

Branchen, in denen eine verpasste Erneuerung ein Ausfall zu viel ist

Ăśberall, wo OPC-UA-Sicherheit ernst genommen wird, ist der GDS das fehlende PuzzlestĂĽck. Das sind die Branchen, in denen Sterfive GDS die Excel-Liste der Ablaufdaten durch eine selbststeuernde PKI ersetzt.

Smart Factories und diskrete Fertigung

Hunderte von SPSen, eine einzige PKI

Moderne Werke betreiben dutzende bis hunderte OPC-UA-Endpunkte — SPSen, Roboter, Bildverarbeitung, Edge-Gateways. Sterfive GDS rollt jedes Gerät mit einem signierten Zertifikat aus, rotiert sie via PUSH vor Ablauf und hält die Trust-List synchron — sodass das Hinzufügen eines neuen Assets eine Registrierung ist, kein flottenweites Update aller Trust-Stores.

Kritische Infrastruktur und Verteidigung

IEC 62443, NIS2, Air-Gapped-Anlagen

Energie, Wasser, Verteidigung, Verkehr — jeder regulierte Betreiber sieht sich heute expliziten Vorgaben zur Zertifikatshygiene gegenüber. Sterfive GDS liefert die zentrale CA, den Audit-Trail und die Kurzzeitrotation, die Auditoren erwarten. Es läuft einwandfrei auf Air-Gapped-Netzen, mit der eingebauten CA und dem persistenten Volume — ohne Internet, ohne Cloud-Abhängigkeit.

Energie und Versorger

DER, Umspannwerke, Erzeugungsparks

Erneuerbare Anlagen, Umspannwerke und DER sprechen zunehmend OPC UA, häufig über aggregierende Gateways. Ein zentraler Sterfive GDS im NOC des Betreibers stellt Zertifikate für den gesamten Park aus und rotiert sie — auch für entlegene, bandbreitenarme Standorte — und macht die cybersichere DER-Integration administrativ realistisch.

Werke und Produktionsstätten mit Mehrlieferanten-Landschaft

Hunderte heterogene OPC-UA-Server, ein einheitliches Vertrauensgewebe

Echte Werke laufen nicht mit dem Stack eines einzigen Anbieters — sie laufen mit Dutzenden. Siemens, Beckhoff, Rockwell, B&R, Schneider, Bosch Rexroth, eigene Server, Gateways von Drittanbietern, eingebettete OPC-UA-Endpunkte in Bildverarbeitungen, Antrieben und Analysatoren. Jeder bringt sein eigenes Zertifikatsmodell mit, seine eigenen selbstsignierten Defaults und seine eigene Konsole. Bei einigen Dutzend Endpunkten wird das unhandhabbar; bei einigen Hundert funktioniert es schlicht nicht mehr. Sterfive GDS gibt jedem OPC-UA-Server — unabhängig vom Hersteller — denselben Part-12-Onboarding-Pfad, dieselbe Trust-List, denselben Audit-Trail und dieselbe Rotationsrichtlinie: eine einheitliche Methode, um einen heterogenen Bestand sicher für SCADA, MES und Cloud zugänglich zu machen.

Warum Sterfive GDS

Der GDS, auf den das OPC-UA-Ă–kosystem gewartet hat

Produktionsreif, containernativ, regulatorisch ausgerichtet — und vom Team gebaut, das den zugrundeliegenden OPC-UA-Stack selbst entwickelt. Acht Unterscheidungsmerkmale.

OPC UA Part 12 Konformität

Eine treue Umsetzung der Global-Discovery-Server-Spezifikation — interoperabel mit jedem konformen OPC-UA-Stack, auf jeder SPS und jedem SCADA am Markt.

PULL und PUSH von Haus aus

Beide Betriebsarten sind erstklassig. PULL für Anwendungen, die den GDS erreichen; PUSH für abgeschottete OT-Geräte, die der GDS erreichen muss. Dieselbe Instanz bedient beide gleichzeitig.

Eingebaute CA, zero-config

In fünf Minuten betriebsbereit mit der mitgelieferten CA — kein Step-CA, kein Vault, kein ADCS erforderlich, um zu starten. Produktionsreif, kein Spielzeug.

Steckbare Unternehmens-PKI

Eine Umgebungsvariable wechselt das CA-Backend auf Step-CA, HashiCorp Vault, Microsoft ADCS oder EJBCA. Kein Codeänderung, kein Lock-in. Cloud HSM ist auf der Roadmap.

Docker-native Bereitstellung

Container-Image, Docker-Compose-Bundle, Kubernetes-tauglich. Persistente Volumes fĂĽr den PKI-Store, vorhersehbar fĂĽr Backup, GitOps und Disaster Recovery.

Admin-Web-Oberfläche

Registrierte Anwendungen durchsuchen, CSRs freigeben oder ablehnen, Trust-Lists pushen, Zertifikate sperren, Audit-Log exportieren — alles aus einer HTTPS-Konsole, mit rollenbasiertem Zugriff.

Kurzlebige Zertifikate, praxistauglich

Eine 90-Tage- (oder 30-Tage-) Gültigkeit wird operativ realistisch, sobald die Rotation automatisch läuft. Kürzeres Expositionsfenster, weniger Handarbeit — bessere Sicherheit bei weniger Aufwand.

Vom node-opcua-Team gestĂĽtzt

Direkter Zugang zu den Maintainern von node-opcua — dem zugrundeliegenden OPC-UA-Stack — in jeder kostenpflichtigen Stufe enthalten. Ein Anbieter, ein verantwortlicher Ansprechpartner, keine Abhängigkeitskette.

Ein Container docker-compose.yml

Von null zu einer laufenden OPC-UA-CA in 60 Sekunden

Wählen Sie Ihr CA-Backend mit einer einzigen Umgebungsvariable. Starten Sie den Container. Richten Sie Ihre OPC-UA-Anwendungen auf den GDS-Endpunkt aus. Der Realm rollt sich selbst aus.

  • OPC UA Part 12 konform
  • PULL und PUSH in derselben Instanz
  • Eingebaut · Step-CA · Vault · ADCS · EJBCA
  • Persistentes Volume — backup-freundliche PKI
Demo anfordernSterfive kontaktieren
Docker · Compose · KubernetesSQLite oder PostgreSQLOnline- oder Offline-Lizenzierung
docker-compose.yml
services:
sterfive-gds:
  image: sterfive/gds-server:latest
  ports:
    - "4840:4840"   # OPC-UA-Endpunkt (Part 12)
    - "8443:8443"   # Admin-HTTPS-Oberfläche
  volumes:
    - gds-data:/data/gds
  environment:
    GDS_CA_BACKEND:         builtin       # oder: step-ca | vault | adcs | ejbca
    GDS_CERT_VALIDITY_DAYS: 90
    GDS_SERVER_CERT_MODE:   ca-signed     # oder: self-signed (TOFU)
    GDS_ADMIN_PASSWORD:     changeme
  restart: unless-stopped

volumes:
gds-data:

Steckbare CA. Persistentes Volume. Produktionsreif in fĂĽnf Minuten.

Erste Schritte

In vier Schritten vom Container zu einer selbststeuernden PKI

1Docker-Image starten

docker compose up -d mit dem Sterfive-GDS-Image — der OPC-UA-Endpunkt erscheint auf opc.tcp://host:4840, die Admin-Oberfläche auf https://host:8443.

2CA-Backend wählen

Bleiben Sie fĂĽr den Zero-Config-Start bei der eingebauten CA, oder setzen Sie GDS_CA_BACKEND auf step-ca, vault, adcs oder ejbca, um Ihre bestehende Unternehmens-PKI einzubinden.

3Anwendungen registrieren

Jede OPC-UA-Anwendung ruft beim ersten Start RegisterApplication auf (PULL) oder wird über die Admin-Oberfläche eingetragen (PUSH). Der GDS stellt ein von der gewählten CA signiertes Zertifikat aus.

4Den GDS den Lebenszyklus fĂĽhren lassen

Erneuerungen laufen vor Ablauf. Trust-Lists verteilen sich. Sperrungen landen binnen Minuten in der CRL. Bediener arbeiten in der Konsole nur noch Ausnahmen ab.

Early-Access-Programm

Beta-Tester fĂĽr Sterfive GDS werden

Sie haben bis hierhin gelesen — Sie sind genau die Person, mit der wir sprechen möchten. Steigen Sie ins Early-Access-Programm ein, nehmen Sie Sterfive GDS direkt unter die Lupe, tauschen Sie sich mit dem Engineering-Team aus und prägen Sie die nächste Version.

Bereit, die Zertifikats-Excel-Liste in den Ruhestand zu schicken?

Machen Sie die 90-Tage-Rotation zum Nicht-Ereignis

Fordern Sie ein Angebot an, bitten Sie um eine Evaluationslizenz oder sprechen Sie direkt mit den Ingenieuren, die node-opcua pflegen. Der direkte Zugang zu den Maintainern ist in allen kostenpflichtigen Stufen enthalten — ein einzigartiger Vorteil davon, beim Team zu kaufen, das den zugrundeliegenden OPC-UA-Stack selbst entwickelt.

Ein Container. Ein Part-12-Endpunkt. Ein Audit-Trail. Ersetzen Sie eigene Zertifikatsskripte und Ablaufkalender durch einen echten, standardkonformen Global Discovery Server — getragen von den Autoren des zugrundeliegenden OPC-UA-Stacks.

Angebot anfordernSterfive kontaktieren
Sterfive GDS — OPC UA Global Discovery Server | Sterfive