Cómo gestionar los certificados para el IDE y el PLC.
Los certificados para el cifrado en CODESYS Development System o para la comunicación con el PLC puede ser autofirmado o firmado por una CA. El nivel de certificación que se utiliza depende de los requisitos de seguridad. Puede crear certificados con herramientas especiales o en el CODESYS ambiente.
Certificados firmados por la CA
Los certificados firmados por una CA deben ser creados por una entidad externa de confianza. Autoridad de certificación (CA) o por una CA ubicada en las instalaciones del operador. Para obtener un certificado firmado por una CA, puede enviar un certificado autogenerado a una CA a través de un Solicitud de firma de certificado (CSR) y luego reinstálelo en su computadora o en el PLC.
Extensiones para CA
La CA utiliza los datos de la Solicitud de firma de certificado (CSR) para crear el certificado X.509 para el PLC. Al firmar el CSR, se requiere la transferencia de las siguientes extensiones x509v3 del CSR:
Uso de teclas, Uso extendido de la clave, Nombre alternativo del sujeto, cada uno con el Crítico bandera
Certificados autofirmados
Puedes crear certificados autofirmados tú mismo con tu propia clave privada. No están firmados por una CA. Cuando creas certificados autofirmados en el CODESYS En este entorno, recibirá ayuda a través de cuadros de diálogo y asistentes de cifrado.
Sugerencia
Un certificado autofirmado resulta útil para realizar pruebas. También puede servir como solución temporal hasta que se disponga de un certificado firmado por una autoridad de certificación.
Almacenamiento de certificados en el Almacén de certificados de Windows
Gestión de certificados en el equipo Windows local
Certificados válidos para el cifrado de un CODESYS proyecto y para el intercambio entre el PLC y CODESYS Development System debe almacenarse en el almacén de certificados local de Windows (certmgr ) en su computadora.
Sugerencia
Para instalar un archivo de certificado desde el sistema de archivos local en el Almacén de certificados de Windows, haga doble clic en el archivo en el directorio de archivos. A continuación, el asistente de importación correspondiente le ayudará.
Para obtener más información, consulte lo siguiente: Certificados del PLC
El Pantalla de seguridad proporciona una interfaz para la gestión de los certificados del proyecto, así como para los certificados necesarios para la comunicación con el PLC. En el caso de la comunicación entre CODESYS y el PLC, el Pantalla de seguridad proporciona una alternativa a los comandos correspondientes de PLC Shell del editor de dispositivos.
Gestión de certificados en el PLC es responsabilidad del operador del sistema.
¿Qué se puede cifrar o firmar con certificados?
En el CODESYS Package Designer Añadir | |
A través del Configuración del proyecto diálogo | |
Utilizando las funciones del | |
Al guardar como un archivo de biblioteca compilado | |
Código de la aplicación, aplicación de arranque, descarga del código fuente, cambio en línea | En este caso, se proporciona asistencia inmediata para la creación de un certificado mediante un asistente de cifrado. Propiedades diálogo de la aplicación. |
Al conectarse por primera vez a un controlador protegido, se proporciona asistencia inmediata para crear un certificado para la comunicación cifrada con el controlador. Inicialmente, este certificado solo es válido temporalmente. | |
Recibirá instrucciones para configurar la comunicación cifrada con certificado a partir de la versión V1.35.0.0 de CODESYS Automation Server apoyo en el Configuración rápida diálogo. | |
En el Pantalla de seguridad, en el Dispositivos pestaña, o a través de la Para que un certificado sea considerado seguro por el navegador, debe estar firmado por una Autoridad de Certificación (CA) de confianza. | |
Soporte inmediato al iniciar el sistema por primera vez si este requiere comunicación cifrada. | |
En el Pantalla de seguridad Al firmar el CSR, se requiere la transferencia de las siguientes extensiones x509v3 desde el CSR:
Cada uno con el | |
En el Repositorio de elementos de visualización diálogo |
Certificados del PLC
Confidencialidad
Al gestionar los certificados del PLC, es fundamental diferenciar los roles de los usuarios. El operador del sistema debe asegurarse de que solo un usuario con rol de administrador del sistema pueda configurar y renovar los certificados en el almacén de certificados del PLC. Asimismo, solo un administrador del sistema puede modificar la lista de revocación de certificados en el PLC.
Únicamente el administrador del sistema tiene permiso para crear, renovar o modificar certificados en la lista de revocación de certificados. El acceso al almacén de certificados del PLC es fundamental para la seguridad.
Almacenamiento de certificados PLC en el almacén de certificados de Windows.
La configuración del almacén de certificados del PLC define los casos de uso para los que el PLC requiere certificados válidos. Los certificados necesarios deben estar instalados en su equipo, en el almacén de certificados local de Windows.
CODESYS facilita la creación y la administración de los certificados de PLC necesarios mediante asistentes de cifrado y Pantalla de seguridadvista, Dispositivos pestaña. Como alternativa, también puedes usar la Concha de PLC comandos del editor de dispositivos. En ambas ubicaciones, puede ver el almacén de certificados del PLC conectado actualmente y crear certificados. Ambas ubicaciones también proporcionan una descripción general de todos los «casos de uso» del PLC para los que se requiere un certificado. Muestran si ya existe un certificado. Ejemplos de casos de uso: Comunicación cifrada, Servidor OPC UA.
En cada caso de uso, CODESYS Primero comprueba si los certificados necesarios están disponibles como certificados de confianza en el sistema local. Almacén de certificados de Windows.
Certificados autofirmados
Si aún no se ha instalado un certificado válido localmente en el PLC para una aplicación, entonces puede generar un certificado autofirmado en el Pantalla de seguridad o a través del Carcasa PLC en el controlador para que pueda continuar trabajando con él inmediatamente. El certificado autofirmado se creará primero en el My Certificates categoría. Luego puedes moverlo a la Certificados de confianza categoría para que el PLC confíe en él en el futuro. Por ejemplo, los certificados se clasifican como no confiables debido a una lista negra, o están en cuarentena para una verificación explícita porque el propio PLC no pudo comprobarlos de inmediato. Una vez completada la comprobación, puede mover los certificados a la Certificados de confianza categoría. También puede eliminar certificados del PLC.
Para obtener más información, consulte lo siguiente: Generación de certificados autofirmados
Certificados CA
Para lograr un mayor nivel de seguridad, debe reemplazar un certificado autofirmado por uno Certificado firmado por la CA. Si aún no tiene un certificado firmado por una CA, puede solicitar uno en una oficina de CA (Solicitud de firma de certificado, CSR). Para ello, exporte el archivo de certificado PLC correspondiente desde el Pantalla de seguridad o a través del Carcasa PLC al sistema de archivos local. Una vez que se haya recibido el certificado CA firmado, impórtelo de nuevo al almacén de certificados del PLC y al almacén de certificados local de Windows.
La creación directa de un CSR es posible a través de la Carcasa PLC y en CODESYS Security Agent V1.4.0.0 y superior también desde el Pantalla de seguridad (Dispositivos pestaña).
Tenga en cuenta que el certificado firmado por una autoridad certificadora ha aplicado las siguientes entradas de la CSR: Key Usage, Extended Key Usage, Subject Alternative Name, cada uno con Critical bandera.
Para obtener más información, consulte lo siguiente:
Escaneo automático de certificados
Múltiples certificados para el mismo caso de uso
Si hay varios certificados disponibles en el PLC para un caso de uso, el sistema utiliza los siguientes pasos ordenados para determinar qué certificado usar:
Utilizando el certificado creado directamente por el usuario. (¡Actualmente no se tiene en cuenta!)
Filtrado de los certificados existentes por:
Asunto (usuario del certificado)
Uso clave
Uso extendido de claves
Marca de tiempo válida
Dividir los certificados válidos detectados entre «firmados» y «autofirmados»
Filtrado de certificados firmados y, posteriormente, de certificados autofirmados según los siguientes criterios:
Período de validez más largo
Clave más fuerte
Renovación de certificados
El operador del sistema debe asegurarse de que el certificado se renueve a tiempo. Para obtener más información, consulte: Renovación de un certificado
lista de revocación de certificados
Actualmente, la lista de revocación de certificados solo se puede modificar a través de la interfaz de línea de comandos del PLC. Únicamente el administrador del sistema o el operador del sistema debería poder modificar esta lista.
Sugerencia
Para una referencia de las funciones del Pantalla de seguridad, véase lo siguiente: Pantalla de seguridad
Para obtener una referencia de las funciones de la carcasa del PLC, consulte: Carcasa del PLC
Cadenas de certificados
Entre la CA raíz y el certificado final del servidor o cliente OPC UA existen uno o más certificados de CA intermedios. Esta capa intermedia de certificados se puede revocar y reemplazar fácilmente si es necesario, sin tener que cambiar la CA raíz.
La compatibilidad con cadenas de certificados es una medida importante para aumentar la facilidad de uso y simplificar la configuración.
Además del certificado X.509 propiamente dicho, las cadenas de certificados también contienen los certificados de las autoridades de certificación intermedias y raíz correspondientes. Estos certificados adicionales son necesarios para validar toda la cadena hasta las autoridades de certificación raíz de confianza. Un certificado X.509 es un certificado digital único que identifica una entidad específica (por ejemplo, un usuario, un dispositivo o un software).
Además del certificado X.509 propiamente dicho, las cadenas de certificados también contienen los certificados de las autoridades de certificación intermedias y raíz correspondientes. Estos certificados adicionales son necesarios para validar toda la cadena hasta las autoridades de certificación raíz de confianza. Un certificado X.509 es un certificado digital único que identifica una entidad específica (por ejemplo, un usuario, un dispositivo o un software).
Los certificados intermedios de la CA no necesitan transferirse al PLC. Esto reduce el trabajo de configuración.
Basta con que los certificados raíz de confianza (de una CA raíz) estén configurados en el PLC.
Si una cadena cambia, por ejemplo porque un certificado intermedio ha caducado, no es necesario reconfigurar el certificado intermedio en el PLC validador.