加密和签名应用程序
可以对应用程序进行加密和签名,以保护 PLC 中正在运行的应用程序和已配置的项目。如何设置用户管理、通信和启动应用程序以防止未经授权的访问,请参阅⮫ 应用说明 。
要求:已配置用于证书交换的数字签名。
⮫ “保护应用程序”
实时系统中不使用证书
实时系统中不使用证书
自签名证书应,决不能 用于生产或公共网站。在以下步骤中创建的证书是自签名的。
我们假设控制器上仍然没有用于加密通信的证书。在以下步骤中,您将生成此类证书并对通信进行加密:
-
配置到控制器的活动路径。
-
双击状态栏中的
符号或单击“查看 安全屏幕”,打开“安全屏幕” 视图。选择“Devices” 选项卡。 -
单击
按钮,刷新可用设备及其证书存储的列表。 -
在左侧选择相应设备。
在右侧,仍然没有列出“Encrypted communication” 用例的许可证。
-
在右侧,选择“Encrypted Communication” 并单击
按钮,在设备上创建新证书。 将默认密钥长度改为 4096。否则会出现错误,只能在 PLC 的日志中看到。
证书已生成,并在表中列出其属性。“加密通信” 前的符号现在显示为这样:
.有效期至 "一栏中的字段以绿色高亮显示,因为剩余时间仍至少是整个有效期的三分之二。 -
在此步骤中,您将激活与控制器的加密通信。
打开CODESYS 的“安全屏幕” 视图(“用户” 选项卡)。在“安全级别” 组中,选择“Enforce encrypted communication” 选项。
至此,只要证书在控制器上有效,并且您有密钥,就可以与所有控制器进行通信。
开发系统、网关和控制器之间的连接线在控制器设备编辑器的“通讯设置” 选项卡上显示为黄色。
“强制加密通信” 选项适用于所有控制器,作为上述选项的替代,您也可以只加密与特定控制器的通信。为此,请在控制器的设备编辑器中打开“Communication” 选项卡。在“设备” 列表框中单击“加密通信” 。
-
现在再次登录控制器。
打开一个对话框,通知控制器的证书不是由可信来源签署的。此外,对话框还会显示证书的相关信息,并提示您将其作为可信证书安装到 "控制器证书 "文件夹中的本地存储区。
-
确认对话框。
证书已安装在本地存储中,您已登录控制器。
今后,与控制器的通信将通过该控制证书自动加密。
请注意:登录控制器时,会检查当前使用的证书的过期日期。如果剩余时间仅为整个时间的三分之一或更少,您将收到警告。然后就可以在安全界面及时更新证书。