Darra OPC UA 客户端 SDK 是什么? / What is Darra OPC UA Client SDK?

Darra OPC UA 客户端 SDK 是六语言 (C# / Java / Python / C / C++ / Rust) 完整 OPC UA 客户端实现. 内含发现 / 会话 / 读写 / 浏览 / 订阅 / 监控项 / 方法调用 / 历史读 / 历史更新 / 事件完整服务集, 支持 Basic256Sha256 Sign / SignAndEncrypt 加密通道, 匿名 / 用户名 / 证书三种 UserToken. 各语言 API 风格一致 (属性式访问 / 索引器 / Lazy Load), SDK 跨语言行为完全对齐. 完全免费 / 100% Free.

Darra OPC UA 客户端 SDK 收费吗? / Is it free?

完全免费 / 100% Free / FREE FOREVER. 六语言 SDK 全部免费, 无授权费, 无设备数限制, 无功能限制, 商用闭源亦可, 永久免费更新. 不需要购买授权, 不需要激活, 不需要注册. 直接 dotnet add package / pip install / Maven / cargo 即可使用. Darra 的盈利来自姊妹产品 Darra EtherCAT 主站 SDK 和 Darra 软件 PLC. Completely free. All 6 language SDKs are free with no license fee, no device limit, no feature restriction, commercial use allowed, free forever.

本 SDK 是 Server 还是 Client? / Server or Client?

本 SDK 专注于 Client 一侧. 如需要 OPC UA Server, Darra 软件 PLC 内置 OPC UA Server (端口 4840) 可直接使用; 或选用 open62541 / Eclipse Milo 等开源 Server.

支持哪些 OPC UA 标准服务? / Which OPC UA services are supported?

Discovery (GetEndpoints / FindServers), Session (Create / Activate / Close / Cancel / KeepAlive / 自动重连), Read / Write (所有 Attribute), Browse + BrowseNext + TranslateBrowsePaths + RegisterNodes / UnregisterNodes, Subscription (Create / Modify / Delete / SetPublishingMode / TransferSubscriptions), MonitoredItem (Create / Modify / SetMonitoringMode / AddMany 批量 / Republish), Method Call (服务端方法调用), HistoryRead (Raw / Modified / AtTime / Processed / Events) + HistoryUpdate / DeleteHistoryRange, 报警与条件事件订阅 (Alarms & Conditions). 完整标准服务集对齐.

加密支持现状? / What about security?

完整支持 None / Sign / SignAndEncrypt 三种 MessageSecurityMode, SecurityPolicy 默认 Basic256Sha256. UserToken 支持 Anonymous / Username / X.509 Certificate. 客户端证书用 PFX 格式 (含私钥), 服务端证书可选 (TOFU 模式). 内部基于 OpenSSL, 不直接暴露给上层使用者.

六语言 SDK 之间有什么差异? / Differences across 6 languages?

功能上六语言对外暴露的 API 完全对齐, 不允许 C# 有而 Python 没有. 命名遵循各语言惯例 (C# PascalCase / Python snake_case / Rust snake_case / Java camelCase). 数据访问统一用属性 (C 语言除外, 用 getter 函数). 异步模型按各语言惯例 (C# async/await, Python async, Rust tokio). 跨语言一致性回归测试持续守护.

性能如何? / What about performance?

同步 Read/Write 单 RPC ~5-10ms (取决于网络). Browse 单层 ~10ms. 订阅可达 1000+ MonitoredItem, 发布间隔最低 50ms. 批量 ReadMany / BrowseMany / AddMany 一次 RPC 处理 N 项, 比循环单项快 N 倍. 大规模监控 (5000+ tags) 推荐分多个 Subscription, 不同发布间隔分流.

历史访问支持哪些模式? / Which history access modes are supported?

完整支持 OPC UA 标准定义的全部历史访问: HistoryReadRaw (原始记录), HistoryReadModified (修改记录), HistoryReadAtTime (指定时刻), HistoryReadProcessed (聚合, 内置 Average / Min / Max / Count / TimeAverage 等), HistoryReadEvents (历史事件). 同时支持 HistoryUpdate (插入/替换/更新) 与 DeleteHistoryRange (区间删除).

证书生成与配置

Name: Darra OPC UA Client SDK
Availability: InStock
Author: Darra

前置阅读

安全模式 / Token 概览请看 Security 加密.
构造 Session 时如何传 PFX 请看构造函数.

1. 生成客户端 PFX

用 CertificateManager (推荐)

CertificateManager.GenerateSelfSigned(
    outPath: @"C:\certs\client.pfx",
    password: "123456",
    commonName: "MyClient",
    applicationUri: "urn:my-company:my-client",
    organization: "My Company",
    country: "CN",
    validDays: 365,
    keySize: 2048);

会生成同名 .der 公钥文件 (client.der), 用于导入服务端 trusted/.

用 OpenSSL (替代)

openssl req -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes \
    -subj "/CN=MyClient/O=Darra/C=CN" \
    -addext "subjectAltName=URI:urn:my-company:my-client"

openssl pkcs12 -export -out client.pfx -inkey key.pem -in cert.pem -password pass:123456

2. 服务端导入信任

把客户端公钥 (.der 或 .pem) 拷贝到服务端的"受信任客户端证书"目录:

Server	路径
Darra SimulatorServer	`<simulator>/pki/trusted/certs/`
open62541 example	`<server>/pki/trusted/certs/`
UaExpert	设置 → Certificates → Trust

3. 客户端构造时传 PFX

using var ua = new DarraOpcUa(
    endpointUrl: "opc.tcp://server:4840",
    securityMode: MessageSecurityMode.SignAndEncrypt,
    clientCertPath: @"C:\certs\client.pfx",
    clientKeyPath: "123456",  // PFX 密码
    serverCertPath: null);    // null = TOFU (Trust On First Use)
ua.Connect();

4. 服务端证书 TOFU

第一次连接时, 客户端会信任服务端证书并保存指纹. 之后每次连接校验指纹一致, 不一致 (中间人) 拒绝.

如果不想 TOFU, 显式传服务端证书 DER 路径:

serverCertPath: @"C:\certs\server.der"

故障排查

StatusCode	原因	解决
`BadCertificateUntrusted`	服务端没信任客户端	把 client.der 拷到服务端 trusted/certs/
`BadCertificateInvalid`	证书过期 / 未生效	重新生成
`BadCertificateUriInvalid`	证书 SAN.URI 与 ApplicationUri 不匹配	重新生成时确保 applicationUri 一致
`BadCertificateHostNameInvalid`	证书 SAN.DNS 与连接的 host 不匹配	生成时加 `subjectAltName=DNS:server.example.com`
`BadSecurityChecksFailed`	通用安全校验失败	看服务端日志查具体原因
`BadSecurityModeRejected`	服务端不支持该 SecurityMode	GetEndpoints 看服务端实际支持哪些
`BadSecurityPolicyRejected`	服务端不支持 Basic256Sha256	服务端配置开启该 Policy

SAN URI 重要性

OPC UA 校验客户端证书 SAN 中必须有 URI: 字段, 且与 ApplicationUri 一致. 这是防伪造的关键, 必须正确设置. 用 CertificateManager.Inspect(...) 验证:

var info = CertificateManager.Inspect(@"C:\certs\client.pfx", "123456");
if (string.IsNullOrEmpty(info.SubjectAltNameUri))
    Console.WriteLine("ERROR: Certificate missing SAN URI - regenerate!");

时间同步 (NTP)

加密模式下双方校验时间戳, 偏差超过 ~10 分钟会被拒绝. 生产环境必须配 NTP, 时间偏差控制在秒级.

# Windows
w32tm /resync

# Linux
sudo timedatectl set-ntp true

1. 生成客户端 PFX​

用 CertificateManager (推荐)​

用 OpenSSL (替代)​

2. 服务端导入信任​

3. 客户端构造时传 PFX​

4. 服务端证书 TOFU​

故障排查​

SAN URI 重要性​

时间同步 (NTP)​

下一步​