OPC UA连接失败：KEPServerEX 6证书信任问题

1. 问题背景与现象描述

在工业自动化系统集成中，OPC UA（Open Platform Communications Unified Architecture）作为跨平台、安全可靠的通信协议，广泛应用于KEPServerEX 6等主流工业网关。然而，在实际部署过程中，用户频繁遭遇“BadCertificateUntrusted”错误，导致客户端无法成功连接服务器。

该错误的核心提示为证书信任失败，典型日志信息如下：

[Error] OPC UA Client: Connect failed - Status: BadCertificateUntrusted
Cause: The certificate provided by the client is not trusted by the server.

此问题多出现在首次配置、跨网络域通信或证书更新后，根本原因在于KEPServerEX 6默认启用强安全策略（Security Policy: Basic256Sha256 或更高），要求双向证书认证（Mutual Authentication），若客户端证书未被服务器显式信任，则连接被强制拒绝。

2. 核心机制解析：OPC UA 安全模型与证书链

OPC UA 的安全架构基于 PKI（Public Key Infrastructure），依赖 X.509 数字证书实现身份验证和加密通信。KEPServerEX 6 内置多个证书存储区，关键目录包括：

• Trusted Certificates：存放被服务器信任的客户端/服务器证书
• Rejected Certificates：自动拦截的未知或无效证书
• Issued Certificates：由本地 CA 签发的证书

当 OPC UA 客户端发起连接时，KEPServerEX 会执行以下校验流程：

3. 常见触发场景分析

4. 解决方案分步实施指南

1. 定位客户端证书位置：
   通常位于客户端运行账户的 AppData 目录下，例如：
   C:\Users\[User]\AppData\Local\UaExpert\Certificates\own\certs\
2. 登录 KEPServerEX 配置界面：
   打开 “OPC UA Configuration” → “Certificates” 选项卡
3. 查看被拒证书：
   在 “Rejected Certificates” 列表中查找客户端证书条目
4. 手动批准证书：
   选中证书并点击 “Approve” 按钮，系统自动将其移入 Trusted Certificates
5. 或手动导入证书：
   通过 “Import Certificate” 功能上传客户端公钥证书（.der 或 .pem 格式）
6. 验证证书有效性：
   确保证书未过期、签名有效、且包含正确的 Subject Alternative Name（SAN）
7. 同步系统时间：
   确保客户端与服务器时间误差小于 5 分钟，建议启用 NTP 同步
8. 重启 OPC UA 服务：
   在 KEPServerEX 中重启 OPC UA 接口以加载新信任链
9. 测试连接：
   使用 UaExpert 或 Prosys OPC UA Client 进行连接测试
10. 启用日志追踪：
    在 KEPServerEX 的 Diagnostics 中开启 OPC UA Security Log，便于后续审计

5. 高级配置建议与最佳实践

为避免重复出现证书信任问题，建议采取以下长期策略：

• 建立统一的内部 CA（如 OpenSSL 或 Windows AD CS），集中签发客户端证书
• 在批量部署时，预先将根 CA 证书导入 KEPServerEX 的 Trusted Roots 存储区
• 使用脚本自动化证书导出与导入过程，示例如下：

# PowerShell 示例：导出客户端证书用于导入
$cert = Get-ChildItem -Path Cert:\CurrentUser\My | Where-Object { $_.Subject -like "*OPCClient*" }
Export-Certificate -Cert $cert -FilePath "C:\Temp\ClientCert.cer" -Type CERT

此外，可通过组策略（GPO）在域环境中统一分发受信任的根证书，提升运维效率与安全性。