OPC UA .NET Standard 库证书管理升级指南

背景介绍

OPC UA .NET Standard 库近期进行了重要更新，特别是在证书管理方面做了重大改进。这些变更影响了应用程序实例证书的检查方式，开发者需要了解如何迁移到新的API以保持代码的兼容性。

主要变更内容

最新版本的OPC UA .NET Standard库中，CheckApplicationInstanceCertificate方法已被标记为过时。该方法现在支持根据不同证书类型设置不同的最小密钥大小，因此旧方法签名不再适用。

迁移方案

基本迁移

对于大多数简单场景，只需将原有调用：

await application.CheckApplicationInstanceCertificate(false, 0);

替换为：

await application.CheckApplicationInstanceCertificates(false);

注意新方法名末尾增加了"s"（Certificates）。

高级配置

如果需要指定证书生命周期（LifeTimeInMonths），可以使用以下重载：

await applicationInstance.CheckApplicationInstanceCertificates(
    silent: false, 
    lifeTimeInMonths: LifeTimeInMonths);

安全策略配置注意事项

更新后，安全策略配置变得更加严格。开发者需要注意：

1. 空安全策略URI不再被支持
2. 必须明确指定每个安全策略的URI
3. 有效的配置示例如下：

<SecurityPolicies>
    <ServerSecurityPolicy>
        <SecurityMode>SignAndEncrypt_3</SecurityMode>
        <SecurityPolicyUri>http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256</SecurityPolicyUri>
    </ServerSecurityPolicy>
    <ServerSecurityPolicy>
        <SecurityMode>None_1</SecurityMode>
        <SecurityPolicyUri>http://opcfoundation.org/UA/SecurityPolicy#None</SecurityPolicyUri>
    </ServerSecurityPolicy>
</SecurityPolicies>

证书验证器更新

CertificateValidator类的Update方法也发生了变化。现在需要使用UpdateAsync方法并传入SecurityConfiguration而非ApplicationConfiguration：

certificateValidator.UpdateAsync(configuration.SecurityConfiguration).Wait();

常见问题解决

如果遇到"Server does not have an instance certificate assigned"错误，请检查：

1. 应用证书是否已正确生成和配置
2. 安全策略配置是否符合新规范
3. 证书存储位置是否正确设置

最佳实践建议

1. 始终检查并处理证书验证的返回值
2. 在生产环境中实现适当的日志记录机制
3. 定期审查和更新证书配置
4. 测试所有配置的安全策略以确保兼容性

通过遵循这些指南，开发者可以顺利迁移到新版本的OPC UA .NET Standard库，同时确保应用程序的安全性和稳定性。