# OPC UA Fehlermeldung "Bad Invalid Argument"



## RonnyG (6 Februar 2019)

Hallo zusammen,

ich möchte mit dem INRAY OPC Router eine verschlüsselte OPC UA Verbindung zum Server IBH Link UA aufbauen. Ein Zertifikat wurde im Client erzeugt und diesem im Router vertraut. 
Der Endpoint lässt sich symbolisch ansprechen.
Eine unverschlüsselte Verbindung funktioniert problemlos. Sobald die Verschlüsselung (Basic256Sha256, Sign and Encrypt) aktiviert wird, kommt folgende Fehlermeldung:

'BadInvalidArgument' Error received from remote host

Hat jemand eine Idee?

Viele Grüße
Ronny


----------



## inray (8 Februar 2019)

Hallo,
auf dem Server, also auf dem IBH Link, muss in jedem Fall auch dem Client, also dem OPC Router Zertifikat, vertraut werden.
In der IBH Doku ist das auf Seite 2-13 (Kapitel 2.2) dokumentiert: https://download.ibhsoftec.com/german/Handbuecher/IBH-Link-UA-Handbuch.pdf

Grüße von inray

www.opc-router.de


----------



## RonnyG (13 März 2019)

Hallo,

hier eine kurzer Zwischenstand:


Austausch der Zertifikate in beiden Richtungen war bereits erfolgt.
Hochrüstung der IBH Link UA Firmware auf Version 5.4: Damit funktioniert nun zumindest der Verschlüsselungsalgorithmus *Basic256*, Sign & Encrypt.
Verbindungsversuch mit *Basic256Sha256*, Sign & Encrypt: gleicher o.g. Fehler
Inray-Router Update auf aktuelle Version 4.10.5002.84 brachte keine Besserung.

Fazit: Ein Teilerfolg.

Gruß
Ronny


----------



## Dr. OPC (28 März 2019)

Hallo,

hast du es schon mit dem UaExpert versucht:
https://www.unified-automation.com/products/development-tools/uaexpert.html

Wenn du auf das PLUS clickst kommst du in den "AddServer" Dialog, dort machst du "CustomDiscovery" und gibst die URL vom IBH ein. Dann "browsed" (aufklappen) du da rein. Der UaExpert ruft nun "GetEndpoints" in den Server und kann dann alle Endpoints und die dazugehörigen SecurityPolicies auflisten, die der IBH-UA-Server unterstützt/konfiguriert/freigegeben hat. Es ist gut möglich dass der Basic256Sha256 dort nicht dabei ist (der ist relativ neu). Auch möglich ist das auf der ClientSeite diese SecPolicy (noch) nicht unterstützt ist. Du kannst nur eine Policy verwenden die "beide Seiten" verkraften, logisch.

Der UaExpert kann alle Policies und eignet sich daher gut zum testen und anschauen.


----------



## RonnyG (28 März 2019)

Hallo Dr. OPC,

UaExpert hatte ich schon probiert: Damit ließ sich eine mit Basic256Sha256 verschlüsselte Verbindung problemlos aufbauen. Dazu muss man wissen, dass auch die vom IBH-Gateway genutzte Plattform von Unified Automation kommt.
Da es mit UaExpert auf Anhieb funktionierte, habe ich auf dessen Log-Einträge noch gar nicht geachtet. Das werde ich bei nächster Gelegenheit nachholen. Dazu muss ich aber an die Anlage, das kann etwas dauern...

Vielen Dank.
Ronny


----------



## Dr. OPC (28 März 2019)

Hallo,

dann ist die IBH-Seite vermutlich OK. Der Fehler "InvalidArgument" kann eigentlich nur aus dem Inray kommen, denn bei OPC UA müsste das "SecurityChecksFailed" heissen oder einfach "BadTimeout" wenn man nicht draufkommt. Hast Du den Inray Router schon einmal mit irgendeinem anderen Server verbunden der "Basic256Sha256" kann? Der "ältere" Basic256 ist auch schon mal besser las nix, aber er verwendet Sha1 soweit ich mich erinnern kann, und Sha1 nimmt man heute nicht mehr so gerne. 

Falls Du also nochmal auf der Baustelle bist, lösche alle (fremden) Zertifikate im UaExpert und verbinde dich nochmal mit dem IBH, beim aller ersten mal zeigt der UaExpert dir dann das Zertifikat des IBH an, und prüft es sehr genau, bevor du auf "trust" clickst, solltest du dir das Zertifikat genau anschauen, der UaExpert markiert in "orange" (warning) wenn ihm irgendetwas komisch vorkommt. Falls der IBH also fälschlicherweise ein Sha1 verwendet, würde der UaExpert das merken und anmeckern. Aber wie gesagt ich vermute das ist alles OK, und du solltest dir den InrayRouter nochmal genauer anschauen.


----------



## RonnyG (10 April 2019)

Der Inray-Support hat Probleme mit Basic256Sha256 eingeräumt und eine Router-Version 4.11 angekündigt.


----------



## inray (21 Oktober 2019)

Das Problem ist behoben seit der Version 4.12 ( https://www.opc-router.de/opc-router-4-12-update/ ). 
Mittlerweile sind wir schon bei 4.13 ( https://www.opc-router.de/opc-router-4-13-update/ ).
Und Anfang November kommt schon 4.14 mit spannenden Neuerungen im Bereich NoSQL und OPC UA!


----------

