UaExpert连接OPC UA服务器时提示“BadCertificateInvalid”如何解决？

一、现象层：错误表征与基础诊断入口

UaExpert连接OPC UA服务器时弹出 BadCertificateInvalid 错误，这是OPC UA协议栈在TLS握手或证书链验证阶段抛出的标准状态码（StatusCode=0x80130000），表明证书校验失败。该错误不指向具体原因，而是“结果性提示”，需结合日志（如UaExpert的Log Viewer → Security标签页）与证书存储路径交叉分析。典型伴随现象包括：连接窗口卡在“Connecting…”、证书警告图标闪烁、或日志中出现VerifyCertificateChain failed等线索。

二、结构层：OPC UA证书信任模型的双向强制约束

OPC UA采用基于X.509 v3的双向PKI认证机制，其信任链严格遵循以下层级结构：

• Root CA（根证书颁发机构）→ 签发中间CA或直接签发终端实体证书
• Intermediate CA（可选）→ 增强策略隔离与密钥轮换灵活性
• Application Certificate（应用证书）→ 分为Server Certificate与Client Certificate，二者均需满足：
  ✓ 由受信CA签名
  ✓ SAN字段覆盖实际访问地址（DNS/IP）
  ✓ 未过期（NotBefore < Now < NotAfter）
  ✓ 密钥用法（Key Usage）含digitalSignature，扩展密钥用法（EKU）含clientAuth/serverAuth

三、根因层：四大高频故障维度深度拆解

四、实践层：标准化排障流程与工具链协同

1. 打开UaExpert → Settings → Configure Certificate Store，确认路径如：%LOCALAPPDATA%\UnifiedAutomation\UaExpert\pki
2. 将服务器证书（.der或.pem）复制到pki\trusted\certs\子目录，重启UaExpert
3. 在UaExpert中右键点击连接节点 → View Certificate → 检查Valid From/To及Subject Alternative Name
4. 若客户端证书被拒：进入pki\rejected\certs\，右键证书 → Approve → 移入trusted\certs\
5. 对自签名场景，推荐使用UA Modeler（内置证书向导）或OpcUaStack CLI工具生成合规证书：
   opcua-certificate-generator --subject "CN=MyServer" --dns localhost --ip 127.0.0.1 --valid-days 3650

五、架构层：企业级证书生命周期治理建议

面向工业现场长期运维，需建立证书管理SOP：

六、进阶层：调试技巧与隐蔽陷阱

资深工程师需警惕以下反模式：

• 误将Issuer字段当作信任依据——实际校验依赖证书链中每个Authority Key Identifier与上一级Subject Key Identifier匹配
• 忽略Windows证书存储同步：若UaExpert以管理员身份运行，其证书目录可能与用户级路径分离
• 防火墙/NAT设备篡改TLS握手包，导致证书指纹校验失败（表现为BadCertificateUseNotAllowed变体）
• OPC UA服务器配置了RejectSelfSignedCertificates=true但未提供CA链文件（ca.pem）

七、验证层：多维度闭环确认清单

完成修复后，执行以下验证动作确保问题根除：

1. UaExpert连接成功后，查看Session → Security Policy是否显示Basic256Sha256或更高强度
2. 在服务器端日志中搜索Accepting client certificate确认客户端证书已被接受
3. 使用Wireshark + OPC UA dissector捕获TLS握手，验证CertificateVerify消息存在且签名有效
4. 通过openssl s_client -connect localhost:4840 -showcerts直连测试证书链完整性