Sterfive GDS

Le Global Discovery Server OPC UA, transformé en produit.

Automatisez tout le cycle de vie des certificats X.509 dans votre parc OPC UA — émission, renouvellement, distribution des listes de confiance et révocation — en modes PULL et PUSH. Natif Docker, AC interchangeable, bâti sur node-opcua par l'équipe qui le maintient.

Demander un devisVoir la pile
Sterfive GDS — Serveur OPC UA Global Discovery

Livre blanc

When Security Matters — La gestion des certificats en OPC UA

Un guide pratique sur le GDS, les modes PULL et PUSH, et pourquoi la Part 12 est la seule réponse soutenable à l'échelle industrielle.

Par les mainteneurs de node-opcua

La Part 12 du standard OPC UA, enfin transformée en produit.

« Le Global Discovery Server est la partie la plus sous-déployée du standard OPC UA. Tout le monde s'accorde sur le fait que gérer à la main les certificats de centaines d'automates est intenable — et pourtant son adoption a été bloquée pendant des années, faute d'une implémentation prête pour la production, ouverte aux PKI existantes, native Docker. Nous avons bâti Sterfive GDS pour combler ce vide, sur la même pile node-opcua que nous maintenons en amont. Un seul éditeur, un seul interlocuteur responsable, un seul conteneur — et l'ère des certificats qui expirent à 2 h du matin est terminée. »

Etienne Rossignon — Créateur de NodeOPCUA et CEO de Sterfive

Ce que fait Sterfive GDS

Des capacités qui mettent fin à la gestion manuelle des certificats

Sterfive GDS centralise chaque étape du cycle de vie X.509 d'un domaine OPC UA entier — et l'expose via un endpoint conforme Part 12 que n'importe quelle pile OPC UA conforme sait piloter.

Cycle de vie complet des certificats

Émettre, renouveler, révoquer — automatiquement

Chaque application OPC UA enregistrée reçoit son certificat, le fait renouveler avant expiration, et se voit révoquée à la demande — sous le pilotage du GDS, signé par l'AC de votre choix. Les listes de confiance et les CRL se propagent automatiquement à tout le parc. L'incident BadCertificateTimeInvalid à 2 h du matin devient une anecdote racontée aux nouveaux arrivants, plus une réalité récurrente.

PULL et PUSH, les deux standards

Couvrir toutes les topologies réseau

PULL permet aux applications de récupérer elles-mêmes leur certificat dès qu'elles atteignent le GDS — idéal pour les clients, les serveurs cloud-connectés et les environnements de développement. PUSH permet au GDS de se connecter vers les équipements OT derrière pare-feu et de faire tourner leurs certificats à distance — seul modèle réaliste pour les automates de production qui ne peuvent pas initier de trafic sortant. Sterfive GDS implémente les deux modes simultanément, dans la même instance.

AC interchangeable — pas de verrouillage PKI

AC intégrée, Step-CA, Vault, ADCS, EJBCA

Branchez le backend d'AC que votre organisation exploite déjà : Step-CA, HashiCorp Vault PKI, Microsoft ADCS, EJBCA, ou l'AC intégrée pour un déploiement zéro-config. Le changement de backend tient en une variable d'environnement — pas de modification de code, pas de campagne de re-certification. L'intégration Cloud HSM (Google Cloud HSM, OVH KMS) est à la feuille de route pour la protection FIPS 140-2 Niveau 3 des clés Root CA.

Conformité réglementaire, par construction

IEC 62443 · NIS2 · NERC CIP

Gouvernance PKI centralisée, journal d'audit complet de chaque opération de certificat, et la praticité opérationnelle nécessaire pour imposer une durée de validité courte (90 jours ou moins) — les trois piliers attendus par les régulateurs. Sterfive GDS transforme « l'hygiène des certificats » d'une contrainte de conformité en un comportement intégré par défaut.

LĂ  oĂą Sterfive GDS est indispensable

Les industries où un renouvellement raté est un incident de trop

Partout où la sécurité OPC UA est prise au sérieux, le GDS est la pièce manquante. Voici les secteurs où Sterfive GDS remplace le tableur des dates d'expiration par une PKI autonome.

Smart Factories et manufacture discrète

Des centaines d'automates, une seule PKI

Les usines modernes exploitent des dizaines à des centaines de points OPC UA — automates, robots, vision, gateways edge. Sterfive GDS enrôle chaque équipement avec un certificat signé, fait tourner les certificats avant expiration en mode PUSH, et maintient la liste de confiance synchronisée — pour qu'ajouter un nouvel actif soit une simple inscription, pas une mise à jour de tous les magasins de confiance du parc.

Infrastructures critiques et défense

IEC 62443, NIS2, sites air-gappés

Énergie, eau, défense, transports — chaque opérateur régulé fait désormais face à des exigences explicites d'hygiène des certificats. Sterfive GDS fournit l'AC centralisée, le journal d'audit et la rotation à durée courte que les auditeurs attendent. Il fonctionne parfaitement sur des réseaux air-gappés, avec son AC intégrée et son volume persistant — sans Internet, sans dépendance au cloud.

Énergie et utilities

DER, postes, parcs de production

Les actifs renouvelables, les postes électriques et les DER parlent de plus en plus OPC UA, souvent via des passerelles d'agrégation. Un Sterfive GDS central, dans le NOC de l'opérateur, émet et fait tourner les certificats sur l'ensemble du parc — y compris pour des sites distants à faible bande passante — rendant l'intégration sécurisée des DER administrativement réaliste.

Usines et sites de production multi-fournisseurs

Des centaines de serveurs OPC UA hétérogènes, une seule trame de confiance

Les vraies usines ne tournent pas avec une seule marque — elles en exploitent des dizaines. Siemens, Beckhoff, Rockwell, B&R, Schneider, Bosch Rexroth, serveurs maison, passerelles tierces, endpoints OPC UA embarqués dans les systèmes de vision, les variateurs ou les analyseurs. Chacun arrive avec son propre modèle de certificat, ses défauts auto-signés et sa propre console. À quelques dizaines d'équipements, ça devient ingérable ; à quelques centaines, ça ne fonctionne plus du tout. Sterfive GDS offre à chaque serveur OPC UA — quelle qu'en soit la marque — le même chemin d'enrôlement Part 12, la même liste de confiance, le même journal d'audit et la même politique de rotation : une technique unique et unifiée pour rendre un parc hétérogène accessible en toute sécurité aux SCADA, MES et plateformes cloud.

Pourquoi Sterfive GDS

Le GDS que l'écosystème OPC UA attendait

Prêt pour la production, natif conteneur, aligné sur les réglementations, et bâti par l'équipe qui développe la pile OPC UA sous-jacente. Huit points qui font la différence.

Conformité OPC UA Part 12

Une implémentation fidèle de la spécification Global Discovery Server — interopérable avec n'importe quelle pile OPC UA conforme, sur n'importe quel automate ou SCADA du marché.

PULL et PUSH en standard

Les deux modes sont citoyens de première classe. PULL pour les applications qui atteignent le GDS ; PUSH pour les équipements OT derrière pare-feu vers lesquels le GDS doit aller. La même instance gère les deux en concurrence.

AC intégrée, zéro-config

Opérationnel en cinq minutes avec l'AC incluse — pas de Step-CA, pas de Vault, pas d'ADCS à provisionner pour démarrer. Prêt pour la production, pas une démo jouet.

PKI d'entreprise interchangeable

Une variable d'environnement bascule l'AC vers Step-CA, HashiCorp Vault, Microsoft ADCS ou EJBCA. Aucune modification de code, aucun verrouillage. Cloud HSM Ă  la feuille de route.

DĂ©ploiement natif Docker

Image conteneur, bundle Docker Compose, prêt pour Kubernetes. Volumes persistants pour le magasin PKI, prévisibles pour la sauvegarde, le GitOps et le PCA.

Console Web d'administration

Naviguer les applications enregistrées, approuver ou refuser les CSR, pousser les listes de confiance, révoquer des certificats, exporter le journal d'audit — depuis une console HTTPS, avec contrôle d'accès par rôles.

Certificats à durée courte, pour de bon

Une validité de 90 jours (ou 30) devient opérationnellement réaliste quand la rotation est automatique. Moins de fenêtre d'exposition, moins d'effort manuel — meilleure sécurité avec moins de travail.

Soutenu par l'Ă©quipe node-opcua

Accès direct aux mainteneurs de node-opcua — la pile OPC UA sous-jacente — inclus dans chaque offre payante. Un éditeur, un interlocuteur responsable, pas de chaîne de dépendances.

Un conteneur docker-compose.yml

De zéro à une AC OPC UA en service en 60 secondes

Choisissez votre backend d'AC d'une seule variable d'environnement. Lancez le conteneur. Pointez vos applications OPC UA vers l'endpoint GDS. Le domaine s'enrĂ´le de lui-mĂŞme.

  • Conforme OPC UA Part 12
  • PULL et PUSH sur la mĂŞme instance
  • IntĂ©grĂ©e · Step-CA · Vault · ADCS · EJBCA
  • Volume persistant — PKI sauvegardable
Demander une démoContacter Sterfive
Docker · Compose · KubernetesSQLite ou PostgreSQLLicence en ligne ou hors ligne
docker-compose.yml
services:
sterfive-gds:
  image: sterfive/gds-server:latest
  ports:
    - "4840:4840"   # Endpoint OPC UA (Part 12)
    - "8443:8443"   # Console HTTPS d'admin
  volumes:
    - gds-data:/data/gds
  environment:
    GDS_CA_BACKEND:         builtin       # ou : step-ca | vault | adcs | ejbca
    GDS_CERT_VALIDITY_DAYS: 90
    GDS_SERVER_CERT_MODE:   ca-signed     # ou : self-signed (TOFU)
    GDS_ADMIN_PASSWORD:     changeme
  restart: unless-stopped

volumes:
gds-data:

AC interchangeable. Volume persistant. PrĂŞt pour la production en cinq minutes.

Pour commencer

Quatre Ă©tapes du conteneur Ă  une PKI autonome

1Récupérer l'image Docker

docker compose up -d avec l'image Sterfive GDS — l'endpoint OPC UA monte sur opc.tcp://host:4840 et la console d'admin sur https://host:8443.

2Choisir un backend d'AC

Restez sur l'AC intégrée pour démarrer sans config, ou positionnez GDS_CA_BACKEND à step-ca, vault, adcs ou ejbca pour brancher votre PKI d'entreprise existante.

3Enregistrer les applications

Chaque application OPC UA appelle RegisterApplication à son premier démarrage (PULL) ou est inscrite via la console d'admin (PUSH). Le GDS émet un certificat signé par l'AC choisie.

4Laisser le GDS piloter le cycle de vie

Les renouvellements partent avant expiration. Les listes de confiance se propagent. Les révocations atterrissent dans la CRL en quelques minutes. Les opérateurs n'arbitrent depuis la console que les exceptions.

Programme d'accès anticipé

Devenez bĂŞta-testeur de Sterfive GDS

Vous êtes arrivé jusqu'ici — c'est précisément à vous que nous aimerions parler. Rejoignez le programme d'accès anticipé pour prendre Sterfive GDS en main, échanger directement avec l'équipe d'ingénierie et contribuer à façonner la prochaine version.

PrĂŞt Ă  enterrer le tableur des certificats ?

Faites de la rotation à 90 jours un non-événement

Demandez un devis, sollicitez une licence d'évaluation, ou échangez directement avec les ingénieurs qui maintiennent node-opcua. L'accès direct aux mainteneurs est inclus dans toutes les offres payantes — un avantage unique au fait d'acheter directement à l'équipe qui développe la pile OPC UA sous-jacente.

Un conteneur. Un endpoint Part 12. Un journal d'audit. Remplacez les scripts de certificats maison et les calendriers d'expiration par un véritable Global Discovery Server conforme aux standards — soutenu par les auteurs de la pile OPC UA sous-jacente.

Demander un devisContacter Sterfive
Sterfive GDS — Serveur OPC UA Global Discovery | Sterfive