Darra OPC UA 客户端 SDK 是什么? / What is Darra OPC UA Client SDK?

Darra OPC UA 客户端 SDK 是六语言 (C# / Java / Python / C / C++ / Rust) 完整 OPC UA 客户端实现. 内含发现 / 会话 / 读写 / 浏览 / 订阅 / 监控项 / 方法调用 / 历史读 / 历史更新 / 事件完整服务集, 支持 Basic256Sha256 Sign / SignAndEncrypt 加密通道, 匿名 / 用户名 / 证书三种 UserToken. 各语言 API 风格一致 (属性式访问 / 索引器 / Lazy Load), SDK 跨语言行为完全对齐. 完全免费 / 100% Free.

Darra OPC UA 客户端 SDK 收费吗? / Is it free?

完全免费 / 100% Free / FREE FOREVER. 六语言 SDK 全部免费, 无授权费, 无设备数限制, 无功能限制, 商用闭源亦可, 永久免费更新. 不需要购买授权, 不需要激活, 不需要注册. 直接 dotnet add package / pip install / Maven / cargo 即可使用. Darra 的盈利来自姊妹产品 Darra EtherCAT 主站 SDK 和 Darra 软件 PLC. Completely free. All 6 language SDKs are free with no license fee, no device limit, no feature restriction, commercial use allowed, free forever.

本 SDK 是 Server 还是 Client? / Server or Client?

本 SDK 专注于 Client 一侧. 如需要 OPC UA Server, Darra 软件 PLC 内置 OPC UA Server (端口 4840) 可直接使用; 或选用 open62541 / Eclipse Milo 等开源 Server.

支持哪些 OPC UA 标准服务? / Which OPC UA services are supported?

Discovery (GetEndpoints / FindServers), Session (Create / Activate / Close / Cancel / KeepAlive / 自动重连), Read / Write (所有 Attribute), Browse + BrowseNext + TranslateBrowsePaths + RegisterNodes / UnregisterNodes, Subscription (Create / Modify / Delete / SetPublishingMode / TransferSubscriptions), MonitoredItem (Create / Modify / SetMonitoringMode / AddMany 批量 / Republish), Method Call (服务端方法调用), HistoryRead (Raw / Modified / AtTime / Processed / Events) + HistoryUpdate / DeleteHistoryRange, 报警与条件事件订阅 (Alarms & Conditions). 完整标准服务集对齐.

加密支持现状? / What about security?

完整支持 None / Sign / SignAndEncrypt 三种 MessageSecurityMode, SecurityPolicy 默认 Basic256Sha256. UserToken 支持 Anonymous / Username / X.509 Certificate. 客户端证书用 PFX 格式 (含私钥), 服务端证书可选 (TOFU 模式). 内部基于 OpenSSL, 不直接暴露给上层使用者.

六语言 SDK 之间有什么差异? / Differences across 6 languages?

功能上六语言对外暴露的 API 完全对齐, 不允许 C# 有而 Python 没有. 命名遵循各语言惯例 (C# PascalCase / Python snake_case / Rust snake_case / Java camelCase). 数据访问统一用属性 (C 语言除外, 用 getter 函数). 异步模型按各语言惯例 (C# async/await, Python async, Rust tokio). 跨语言一致性回归测试持续守护.

性能如何? / What about performance?

同步 Read/Write 单 RPC ~5-10ms (取决于网络). Browse 单层 ~10ms. 订阅可达 1000+ MonitoredItem, 发布间隔最低 50ms. 批量 ReadMany / BrowseMany / AddMany 一次 RPC 处理 N 项, 比循环单项快 N 倍. 大规模监控 (5000+ tags) 推荐分多个 Subscription, 不同发布间隔分流.

历史访问支持哪些模式? / Which history access modes are supported?

完整支持 OPC UA 标准定义的全部历史访问: HistoryReadRaw (原始记录), HistoryReadModified (修改记录), HistoryReadAtTime (指定时刻), HistoryReadProcessed (聚合, 内置 Average / Min / Max / Count / TimeAverage 等), HistoryReadEvents (历史事件). 同时支持 HistoryUpdate (插入/替换/更新) 与 DeleteHistoryRange (区间删除).

证书生成与配置 (C)

Name: Darra OPC UA Client SDK
Availability: InStock
Author: Darra

前置阅读

安全模式 / Token 概览请看 Security 加密.
创建 Session 时如何传 PFX 请看配置与创建.

1. 生成客户端 PFX

C SDK 不内置 PFX 生成器, 用 OpenSSL 命令行:

Bash / Linux / macOS

openssl req -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes \
    -subj "/CN=MyClient/O=Darra/C=CN" \
    -addext "subjectAltName=URI:urn:my-company:my-client"

openssl pkcs12 -export -out client.pfx -inkey key.pem -in cert.pem \
    -password pass:123456

openssl x509 -in cert.pem -outform DER -out client.der

Windows PowerShell

$cert = New-SelfSignedCertificate `
    -Subject "CN=MyClient,O=Darra,C=CN" `
    -TextExtension "2.5.29.17={text}URI=urn:my-company:my-client" `
    -KeyAlgorithm RSA -KeyLength 2048 -NotAfter (Get-Date).AddYears(1) `
    -CertStoreLocation "Cert:\CurrentUser\My"

$pwd = ConvertTo-SecureString -String "123456" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath C:\certs\client.pfx -Password $pwd
Export-Certificate    -Cert $cert -FilePath C:\certs\client.der

client.pfx 含私钥, 给客户端用; client.der 是公钥, 拷贝到服务端.

2. 服务端导入信任

把客户端公钥 (.der 或 .pem) 拷到服务端 trusted/ 目录:

Server	路径
Darra SimulatorServer	`<simulator>/pki/trusted/certs/`
open62541 example	`<server>/pki/trusted/certs/`
UaExpert	设置 → Certificates → Trust

3. C 端构造时传 PFX

DarraUa_SessionConfig cfg;
DarraUa_SessionConfig_Init(&cfg);
cfg.endpoint_url        = "opc.tcp://server:4840";
cfg.security_mode       = DARRA_UA_MSG_SECURITY_MODE_SIGN_ENCRYPT;
cfg.security_policy_uri = "http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256";
cfg.user_token_type     = DARRA_UA_USER_TOKEN_USERNAME;
cfg.username            = "operator";
cfg.password            = "secret";
cfg.client_cert_path    = "C:/certs/client.pfx";
cfg.client_key_path     = "123456";        /* PFX 密码 */
cfg.server_cert_path    = NULL;            /* NULL = TOFU */

DarraUa_SessionHandle h = DARRA_UA_INVALID_SESSION_HANDLE;
DarraUa_Session_Create(&cfg, &h);
DarraUa_Session_Connect(h);

路径分隔符

Windows 下用 / 或 \\ 都可, 不要用单 \ (会被 C 当转义符).

4. 服务端证书 TOFU

第一次连接时, 客户端会信任服务端证书并保存指纹. 之后每次连接校验指纹一致, 不一致 (中间人) 拒绝.

如果不想 TOFU, 显式传服务端证书 DER 路径:

cfg.server_cert_path = "C:/certs/server.der";

服务端证书会被严格比对.

故障排查

StatusCode	原因	解决
`BadCertificateUntrusted`	服务端没信任客户端	把 client.der 拷到服务端 trusted/certs/
`BadCertificateInvalid`	证书过期 / 未生效	重新生成
`BadCertificateUriInvalid`	证书 SAN.URI 与 ApplicationUri 不匹配	重新生成时确保 applicationUri 一致
`BadCertificateHostNameInvalid`	证书 SAN.DNS 与连接的 host 不匹配	生成时加 `subjectAltName=DNS:server.example.com`
`BadSecurityChecksFailed`	通用安全校验失败	看服务端日志查具体原因
`BadSecurityModeRejected`	服务端不支持该 SecurityMode	GetEndpoints 看服务端实际支持哪些
`BadSecurityPolicyRejected`	服务端不支持 Basic256Sha256	服务端配置开启该 Policy

SAN URI 重要性

OPC UA 校验客户端证书 SAN 中必须有 URI: 字段, 且与 ApplicationUri 一致. 这是防伪造的关键, 必须正确设置. 用 OpenSSL 检查:

openssl x509 -in cert.pem -text -noout | grep -A1 "Subject Alternative Name"

输出应该有:

X509v3 Subject Alternative Name:
    URI:urn:my-company:my-client

时间同步 (NTP)

加密模式下双方校验时间戳, 偏差超过 ~10 分钟会被拒绝. 生产环境必须配 NTP, 时间偏差控制在秒级.

# Windows
w32tm /resync

# Linux
sudo timedatectl set-ntp true

高级: 直接调 X509 / RSA / SHA / AES API

<darra_opcua/darra_opcua_security.h> 提供底层加密 API, Stack 内部已用. 一般业务无需直接调用, 仅在需要"用 SDK 内置加密做业务自己的签名"时使用.

1. 生成客户端 PFX​

Bash / Linux / macOS​

Windows PowerShell​

2. 服务端导入信任​

3. C 端构造时传 PFX​

4. 服务端证书 TOFU​

故障排查​

SAN URI 重要性​

时间同步 (NTP)​

高级: 直接调 X509 / RSA / SHA / AES API​

下一步​