Come fare: Gestire i certificati per l'IDE e il PLC
I certificati per la crittografia in CODESYS Development System o per la comunicazione con il PLC può essere autofirmato o firmato da CA. Il livello di certificazione utilizzato dipende dalle esigenze di sicurezza. È possibile creare certificati con strumenti speciali o nel CODESYS ambiente.
Certificati firmati da CA
I certificati firmati da CA devono essere creati da un'autorità esterna fidata Autorità di certificazione (CA) o da una CA situata presso la sede dell'operatore. Per ottenere un certificato firmato da una CA, è possibile inviare un certificato autogenerato a una CA tramite un Richiesta di firma del certificato (CSR) e quindi reinstallarlo sul computer o sul PLC.
Estensioni per le autorità di certificazione
La CA utilizza i dati del Richiesta di firma del certificato (CSR) per creare il certificato X.509 per il PLC. Durante la firma del CSR, è necessario trasferire le seguenti estensioni x509v3 dal CSR:
Utilizzo delle chiavi, Utilizzo esteso dei tasti, Nome alternativo del soggetto, ciascuno con il Critico bandiera
Certificati autofirmati
Puoi creare certificati autofirmati con la tua chiave privata. Non sono firmati da una CA. Quando crei certificati autofirmati nel CODESYS In questo ambiente, puoi ottenere aiuto tramite finestre di dialogo e procedure guidate di crittografia.
Suggerimento
Un certificato autofirmato è utile a scopo di test. Può anche servire come soluzione temporanea in attesa di un certificato firmato da un'autorità di certificazione (CA).
Archiviazione dei certificati nell'archivio certificati di Windows.
Gestione dei certificati sul computer Windows locale
Certificati validi per la crittografia di un CODESYS progetto e per lo scambio tra PLC e CODESYS Development System deve essere memorizzato nell'archivio certificati locale di Windows (certmgr ) sul tuo computer.
Suggerimento
Per installare un file di certificato dal file system locale nell'Archivio certificati di Windows, fai doppio clic sul file nella directory dei file. A quel punto, la procedura guidata di importazione appropriata ti guiderà.
Per ulteriori informazioni, consultare quanto segue: Certificati del PLC
Le Schermata di sicurezza fornisce un'interfaccia per la gestione dei certificati per il progetto e per i certificati necessari per la comunicazione con il PLC. Nel caso di comunicazione tra CODESYS e il PLC, Schermata di sicurezza fornisce un'alternativa ai comandi corrispondenti nella PLC Shell dell'editor del dispositivo.
Gestione dei certificati sul PLC è responsabilità dell'operatore di sistema.
Cosa può essere crittografato o firmato con certificati?
Nel CODESYS Package Designer Aggiungi su | |
Tramite il Impostazioni del progetto dialogo | |
Utilizzando le funzioni del | |
Quando si salva come file di libreria compilato | |
Codice applicativo, avvio applicazione, download del codice sorgente, modifica online | Il supporto immediato per la creazione di un certificato è fornito in questo caso da una procedura guidata di crittografia nel Proprietà finestra di dialogo dell'applicazione. |
Il supporto per la creazione di un certificato per la comunicazione crittografata con il controller viene fornito immediatamente al primo collegamento a un controller protetto. Questo certificato è inizialmente valido solo temporaneamente. | |
Riceverai istruzioni per configurare la comunicazione crittografata tramite certificato a partire dalla versione V1.35.0.0 di CODESYS Automation Server supporto nel Configurazione rapida dialogo. | |
Nel Schermata di sicurezza, sul Dispositivi scheda o tramite la Affinché un certificato sia considerato sicuro dal browser, deve essere firmato da un'Autorità di Certificazione (CA) attendibile. | |
Supporto immediato al primo avvio se il sistema in fase di esecuzione richiede comunicazioni crittografate. | |
Nel Schermata di sicurezza Al momento della firma del CSR, è necessario trasferire le seguenti estensioni x509v3 dal CSR:
Ciascuno con il | |
Nel Repository degli elementi di visualizzazione dialogo |
Certificati del PLC
Riservatezza
Nella gestione dei certificati PLC, è necessario differenziare i ruoli degli utenti. L'operatore di sistema deve assicurarsi che solo un utente con il ruolo di amministratore di sistema possa configurare e rinnovare i certificati nell'archivio certificati del PLC. Solo un amministratore di sistema può inoltre modificare l'elenco di revoca dei certificati sul PLC.
Solo l'amministratore di sistema è autorizzato a creare, rinnovare o modificare i certificati presenti nell'elenco di revoca. L'accesso all'archivio certificati del PLC è fondamentale per la sicurezza.
Archiviazione dei certificati PLC nell'archivio certificati di Windows.
La configurazione dell'archivio certificati del PLC definisce i casi d'uso per i quali il PLC richiede certificati validi. I certificati necessari a tale scopo devono essere installati sul computer nell'archivio certificati locale di Windows.
CODESYS semplifica la creazione e la gestione dei certificati PLC necessari utilizzando procedure guidate di crittografia e Schermata di sicurezzavista, Dispositivi scheda. In alternativa, puoi anche usare PLC Shell comandi dell'editor del dispositivo. In entrambe le sedi è possibile visualizzare l'archivio certificati del PLC attualmente connesso e creare certificati. Entrambe le sedi forniscono anche una panoramica di tutti i «casi d'uso» sul PLC per i quali è richiesto un certificato. Mostrano se esiste già un certificato. Esempi di casi d'uso: Comunicazione criptata, Server OPC UA.
In ogni caso d'uso, CODESYS Innanzitutto verifica se i certificati richiesti sono disponibili come certificati attendibili a livello locale. Archivio certificati Windows.
Certificati autofirmati
Se un certificato valido non è ancora stato installato localmente sul PLC per un'applicazione, è possibile generare un certificato autofirmato sul Schermata di sicurezza o tramite il Conchiglia PLC sul controller in modo da poter continuare a lavorare immediatamente. Il certificato autofirmato verrà creato prima nel My Certificates categoria. Quindi puoi spostarlo nella Certificati affidabili categoria in modo che il PLC si fidi di essa in futuro. Ad esempio, i certificati sono classificati come non attendibili a causa di una blacklist oppure sono in quarantena per una verifica esplicita perché il PLC stesso non è stato in grado di controllarli immediatamente. Dopo che il controllo è completato, è possibile spostare i certificati nella Certificati affidabili categoria. È anche possibile eliminare i certificati dal PLC.
Per ulteriori informazioni, consultare quanto segue: Generazione di certificati autofirmati
Certificati CA
Per ottenere un livello di sicurezza più elevato, dovresti sostituire un certificato autofirmato con un Certificato firmato da CA. Se non hai ancora un certificato firmato da una CA, puoi richiederne uno presso un ufficio CA (Richiesta di firma del certificato, CSR). Per fare ciò, esportare il file del certificato PLC pertinente dal Schermata di sicurezza o tramite il Conchiglia PLC nel file system locale. Dopo aver ricevuto il certificato CA firmato, importarlo nuovamente nell'archivio certificati del PLC e nell'archivio certificati di Windows locale.
La creazione diretta di un CSR è possibile tramite il Conchiglia PLC E in CODESYS Security Agent V1.4.0.0 e superiori anche da Schermata di sicurezzaDispositivi scheda).
Tieni presente che il certificato firmato dall'autorità di certificazione ha applicato le seguenti voci del CSR: Key Usage, Extended Key Usage, Subject Alternative Name, ognuno con il Critical bandiera.
Per ulteriori informazioni, consultare quanto segue:
Scansione automatica dei certificati
Certificati multipli per lo stesso caso d'uso
Se sul PLC sono disponibili più certificati per un caso d'uso, il sistema utilizza i seguenti passaggi ordinati per determinare quale certificato utilizzare:
Utilizzo del certificato creato direttamente dall'utente. (Attualmente non preso in considerazione!)
Filtraggio dei certificati esistenti per:
Oggetto (utente del certificato)
Utilizzo delle chiavi
Utilizzo esteso delle chiavi
Timestamp valido
Divisione dei certificati validi rilevati come «firmati» e «autofirmati»
Filtraggio dei certificati firmati e successivamente dei certificati autofirmati in base ai seguenti criteri:
Periodo di validità più lungo
Chiave più forte
Rinnovo dei certificati
L'operatore del sistema deve assicurarsi che il certificato venga rinnovato in tempo utile. Per ulteriori informazioni, vedere: Rinnovo di un certificato
Elenco delle revoche dei certificati
Attualmente, l'elenco di revoca dei certificati può essere modificato solo tramite la shell PLC. Solo l'amministratore di sistema dell'operatore del sistema dovrebbe essere autorizzato a modificare tale elenco.
Suggerimento
Per un riferimento delle funzioni del Schermata di sicurezza, vedi quanto segue: Schermata di sicurezza
Per un riferimento alle funzioni della shell del PLC, vedere: PLC Shell
Catene di certificati
Tra la CA radice e il certificato finale del server o client OPC UA esistono uno o più certificati CA intermedi. Questo livello intermedio di certificati può essere facilmente revocato e sostituito, se necessario, senza dover modificare la CA radice.
Il supporto delle catene di certificati è una misura importante per aumentare la facilità d'uso e semplificare la configurazione.
Oltre al certificato X.509 effettivamente utilizzato, le catene di certificati contengono anche i rispettivi certificati CA intermedi e radice. Questi certificati aggiuntivi sono necessari per convalidare l'intera catena fino alle CA radice attendibili. Un certificato X.509 è un certificato digitale univoco che identifica un'entità specifica (ad esempio, un utente, un dispositivo o un software).
Oltre al certificato X.509 effettivamente utilizzato, le catene di certificati contengono anche i rispettivi certificati CA intermedi e radice. Questi certificati aggiuntivi sono necessari per convalidare l'intera catena fino alle CA radice attendibili. Un certificato X.509 è un certificato digitale univoco che identifica un'entità specifica (ad esempio, un utente, un dispositivo o un software).
Non è necessario trasferire i certificati intermedi della CA al PLC. Ciò si traduce in un minor lavoro di configurazione.
È sufficiente che sul PLC siano configurati certificati radice attendibili (provenienti da un'autorità di certificazione radice).
Se una catena subisce delle modifiche, ad esempio a causa della scadenza di un certificato intermedio, non è necessario riconfigurare il certificato intermedio sul PLC di convalida.