Skip to main content

方法:IDEとPLCの証明書の取り扱い

暗号化用の証明書CODESYS Development Systemまたは PLC との通信用には、自己署名または CA 署名の証明書を使用できます。使用される認証レベルは、セキュリティ要件によって異なります。特別なツールまたはCODESYS環境。

CA署名証明書

CA署名付き証明書は、信頼できる外部機関によって作成されなければならない。認証機関(CA)またはオペレーターの施設にあるCAによって署名されます。CA署名付き証明書を取得するには、自己生成証明書をCAに送信します。証明書署名依頼 (CSR) を実行してから、コンピュータまたは PLC に再インストールしてください。

CA向けの拡張機能

CAは、証明書署名依頼 PLC用のX.509証明書を作成するために、CSR(証明書署名要求)を使用します。CSRに署名する際には、CSRから以下のx509v3拡張機能を転送する必要があります。

キーの使い方拡張キー使用法主題の別名それぞれ致命的フラグ

自己署名証明書

自分の秘密鍵を使って、自分で自己署名証明書を作成できます。これらは認証局によって署名されていません。CODESYS環境によっては、ダイアログや暗号化ウィザードによるサポートを受けることができます。

ヒント

自己署名証明書はテスト目的で役立ちます。また、認証局(CA)が署名した証明書が入手可能になるまでの暫定的な解決策としても利用できます。

Windows証明書ストアへの証明書の保存

ローカルのWindowsコンピューターでの証明書管理

暗号化用の有効な証明書CODESYSプロジェクトおよびPLCとCODESYS Development Systemローカルの Windows 証明書ストアに保存する必要があります ( certmgr ) をコンピュータ上で実行します。

ヒント

ローカルファイルシステムから証明書ファイルをWindows証明書ストアにインストールするには、ファイルディレクトリ内のファイルをダブルクリックします。すると、適切なインポートウィザードが表示されます。

詳細については、以下を参照してください。PLCの証明書

ザ・ セキュリティ画面 プロジェクトの証明書処理や PLC との通信に必要な証明書を処理するためのインターフェースを提供します。間の通信の場合 CODESYS そしてPLCは セキュリティ画面 の対応するコマンドの代わりになります。 PLC シェル デバイスエディターの。

PLCにおける証明書管理それはシステム運用者の責任である。

証明書で暗号化または署名できるものは何ですか?

1. 参考文献を参照CODESYSコンポーネント

パッケージ

ではCODESYS Package Designerアドオン

プロジェクト

経由プロジェクト設定ダイアログ

プロジェクト内の個々のPOU

の機能を使用してCmpX509Cert.library図書館

図書館

コンパイル済みライブラリファイルとして保存する場合

アプリケーションコード、ブートアプリケーション、ソースコードのダウンロード、オンライン変更

この場合、証明書の作成に対する即時サポートは暗号化ウィザードによって提供されます。物件アプリケーションのダイアログ。

プログラミングシステムとPLC間の通信

保護されたコントローラに初めて接続すると、コントローラとの暗号化通信用の証明書を作成するためのサポートがすぐに提供されます。この証明書は、最初は一時的にのみ有効です。

エッジゲートウェイを介したオートメーションサーバーコネクタとオートメーションサーバー間の通信

バージョン V1.35.0.0 以降では、証明書暗号化通信の設定手順が表示されます。CODESYS Automation Server支援クイックセットアップダイアログ。

WebVisuとWebブラウザ間の通信

ではセキュリティ画面デバイスタブ、またはCmpOpenSSLランタイムシステム内のコンポーネント

ブラウザが証明書を安全とみなすためには、信頼できる認証局(CA)によって署名されている必要があります。

プロジェクトとリモートの TargetVisu 間のコミュニケーション

ランタイムシステムが暗号化通信を必要とする場合、初回起動時に即座にサポートを提供します。

OPC UAサーバーを介した通信

ではセキュリティ画面

CSRに署名する際には、CSRから以下のx509v3拡張機能を転送する必要があります。

Key Usage

Extended Key Usage

Subject Alternative Name

それぞれCriticalフラグ

視覚化要素: HTML5

では視覚化要素リポジトリダイアログ



PLCの証明書

機密保持

PLC証明書を扱う際には、ユーザーの役割を明確に区別する必要があります。システム管理者のみがPLC証明書ストア内の証明書の設定と更新を行えるように、システムオペレーターは適切な措置を講じる必要があります。また、PLC上の証明書失効リストを変更できるのもシステム管理者のみです。

証明書失効リスト内の証明書の作成、更新、変更は、システム管理者のみが行うことができます。PLC証明書ストアへのアクセスは、セキュリティ上非常に重要です。

PLC証明書をWindows証明書ストアに保存する

PLC証明書ストアの設定は、PLCが有効な証明書を必要とする使用事例を定義します。このために必要な証明書は、ローカルのWindows証明書ストアにインストールしておく必要があります。

CODESYS 暗号化ウィザードと、必要な PLC 証明書の作成と管理が容易になります。 セキュリティ画面ビュー、 デバイス タブ。別の方法として、を使用することもできます。 PLC シェル デバイスエディターのコマンド。どちらの場所でも、現在接続されている PLC の証明書ストアを表示し、証明書を作成できます。どちらのサイトでも、証明書が必要な PLC のすべての「ユースケース」の概要も確認できます。証明書が既に存在するかどうかが表示されます。ユースケースの例: 暗号化された通信OPC ユーザーサーバー

各使用例において、CODESYSまず、必要な証明書がローカルで信頼できる証明書として利用可能かどうかを確認します。 Windows証明書ストア

自己署名証明書

アプリケーション用の有効な証明書がまだ PLC にローカルにインストールされていない場合は、自己署名証明書を生成できます。セキュリティ画面またはPLCシェルコントローラー上で、すぐに作業を続けられるようにします。自己署名証明書は最初に作成されます。My Certificatesカテゴリ。その後、信頼できる証明書 PLCが将来的に信頼できるように、証明書をカテゴリに移動できます。たとえば、証明書はブラックリストのために信頼できないと分類されるか、PLC自体がすぐにチェックできなかったため、明示的な検証のために隔離されます。チェックが完了したら、証明書をカテゴリに移動できます。信頼できる証明書カテゴリ。PLCから証明書を削除することもできます。

詳細については、以下を参照してください。自己署名証明書の生成自己署名証明書の生成

CA証明書

より高いレベルのセキュリティを実現するには、自己署名証明書をCA署名証明書 CA署名証明書をまだお持ちでない場合は、CAオフィスにリクエストすることができます(証明書署名依頼、CSR)。これを行うには、関連するPLC証明書ファイルをエクスポートします。セキュリティ画面またはPLCシェルローカルファイルシステムに書き込みます。署名済みのCA証明書が返送されたら、それをPLC証明書ストアとローカルのWindows証明書ストアにインポートします。

CSRの直接作成は、 PLCシェルそしてCODESYS Security Agent V1.4.0.0以降もセキュリティ画面デバイスタブ)。

CA 署名付き証明書には CSR の次のエントリが適用されていることに注意してください。 Key UsageExtended Key UsageSubject Alternative Name、それぞれ Critical フラグ。

詳細については、以下を参照してください。

証明書の自動スキャン

同じユースケースに対する複数の証明書

1つのユースケースでPLCに複数の証明書がある場合、システムは次の順序に従ってどの証明書を使用するかを決定します。

  1. ユーザーが直接作成した証明書を使用します。(現在は考慮されていません!)

  2. 既存の証明書を次の方法でフィルタリングします。

    • 件名 (証明書のユーザー)

    • 主な使用法

    • 拡張キー使用法

    • 有効なタイムスタンプ

  3. 検出された有効な証明書を「署名済み」と「自己署名」に分ける

  4. 署名済み証明書、そして自己署名証明書を以下の基準でフィルタリングします。

    • 最長の有効期間

    • 最強の鍵

証明書の更新

システムオペレーターは、証明書が期限内に更新されることを確認する必要があります。詳細については、以下を参照してください 証明書の更新証明書の更新

証明書失効リスト

証明書の失効リストは、現在PLCシェル経由でのみ変更可能です。この失効リストを変更できるのは、システムオペレーターのシステム管理者のみです。

ヒント

機能の参考については、セキュリティ画面以下を参照してください。セキュリティ画面

PLC シェル機能のリファレンスについては、以下を参照してください。 PLC シェル

証明書チェーン

OPC UAサーバーまたはクライアントのルートCAと最終証明書の間には、1つ以上の中間CA証明書が存在します。この中間証明書層は、ルートCAを変更することなく、必要に応じて容易に失効および置換できます。

証明書チェーンのサポートは、ユーザーフレンドリー性を高め、設定を簡素化するための重要な手段です。

実際に使用される X.509 証明書に加えて、証明書チェーンには、それぞれの中間 CA 証明書とルート CA 証明書も含まれます。これらの追加証明書は、チェーン全体を信頼できるルート CA まで検証するために必要です。X.509 証明書は、特定のエンティティ (ユーザー、デバイス、ソフトウェアなど) を識別する一意のデジタル証明書です。

実際に使用される X.509 証明書に加えて、証明書チェーンには、それぞれの中間 CA 証明書とルート CA 証明書も含まれます。これらの追加証明書は、チェーン全体を信頼できるルート CA まで検証するために必要です。X.509 証明書は、特定のエンティティ (ユーザー、デバイス、ソフトウェアなど) を識別する一意のデジタル証明書です。

  • CA中間証明書をPLCに転送する必要はありません。これにより、設定作業が軽減されます。

  • PLC上に信頼できるルート証明書(ルート認証局発行のもの)が設定されていれば十分です。

  • 例えば中間証明書の有効期限が切れたなど、チェーンに変更が生じた場合でも、検証を行うPLC上で中間証明書を再設定する必要はありません。

このセクションの内容: