open62541客户端加密配置中CA证书信任链问题解析

问题背景

在使用open62541 1.4.6版本开发OPC UA客户端时，开发人员发现当服务器使用CA签名的证书时，客户端无法正确建立安全连接。这是因为客户端配置中缺少对CA证书信任链的完整支持。

技术细节分析

在open62541库中，UA_ClientConfig_setDefaultEncryption()函数负责设置客户端的默认加密配置。该函数内部会调用UA_CertificateVerification_Trustlist()来建立证书验证机制。但在1.4.6版本中，该函数存在一个设计缺陷：它强制将issuerList参数设置为NULL，导致无法正确验证CA签名的服务器证书。

影响范围

这个问题主要影响以下场景：

1. 服务器使用CA签名的证书而非自签名证书
2. 客户端需要建立安全连接(加密通道)
3. 使用open62541 1.4.6及之前版本

对于使用自签名证书的服务器，该问题不会出现，因为自签名证书不需要验证CA信任链。

临时解决方案

在1.4.8版本修复前，开发人员可以采用以下临时解决方案：

// 首先调用默认加密配置
UA_StatusCode retval = UA_ClientConfig_setDefaultEncryption(cc,
    certificate, private_key,
    issuer_list, issuer_list_size,
    NULL, 0);

// 然后手动设置证书验证信任链
retval = UA_CertificateVerification_Trustlist(
    &cc->certificateVerification,
    issuer_list, issuer_list_size,
    issuer_list, issuer_list_size,
    NULL, 0);

这种方法虽然可行，但增加了代码复杂度，不是理想的长期解决方案。

官方修复

该问题已在open62541 1.4.8版本中得到修复。新版本中UA_ClientConfig_setDefaultEncryption()函数已正确支持issuerList参数，开发人员可以直接使用该函数配置CA证书信任链，无需额外代码。

最佳实践建议

1. 对于新项目，建议直接使用open62541 1.4.8或更高版本
2. 如果必须使用1.4.6版本，应采用上述临时解决方案
3. 在生产环境中，建议始终使用CA签名的证书而非自签名证书，以获得更好的安全性
4. 定期检查open62541的更新，及时获取安全修复和功能改进

总结

证书信任链验证是OPC UA安全通信的基础。open62541库通过不断改进，提供了更加完善的加密配置支持。开发人员应当理解底层机制，并根据实际需求选择合适的解决方案。对于CA签名证书的场景，确保使用正确版本的库或采用适当的变通方案，才能建立安全可靠的OPC UA连接。