OPC UA utilise des certificats X.509 pour authentifier les applications (client et serveur) : chaque application possède son certificat, et la confiance s'établit mutuellement par échange pendant le handshake SecureChannel.

Chaque application OPC UA (Application Instance Certificate) embarque son propre certificat X.509 et sa clé privée. L'authentification est mutuelle : le client présente son certificat au serveur et réciproquement ; chacun maintient une Trust List (certificats acceptés) et une Rejected List (certificats explicitement refusés). Le workflow de commissioning typique consiste à tenter une première connexion, récupérer le certificat dans la Rejected List, le valider manuellement, le déplacer en Trust List et reconnecter avec succès.

Piège classique : la durée de validité par défaut d'un certificat applicatif est souvent courte (1 an chez Siemens). Planifier le renouvellement avant l'expiration, sous peine de chute brutale de toutes les liaisons OPC UA.