dl-breadcrumbs__homedl-breadcrumb-item__separatorKonfiguration und Programmierungdl-breadcrumb-item__separator...dl-breadcrumb-item__separatorTechnische Schnittstellen und Werkzeugedl-breadcrumb-item__separatorCODESYS Security Agentdl-breadcrumb-item__separatorVerschlüsselte Kommunikation mit Geräten über Controller-Zertifikate
dl-pagination__prev-inactivedl-pagination__prev-activedl-pagination__next-inactivedl-pagination__next-active
Verschlüsselte Kommunikation mit Geräten über Controller-Zertifikate dl-permalink__symbolPermanentlink

Verschlüsselte und signierte Anwendungen

Eine Anwendung kann verschlüsselt und signiert werden, um eine laufende Anwendung in einer SPS zu schützen und ein konfiguriertes Projekt zu schützen. Wie man die Benutzerverwaltung, die Kommunikation und die Boot-Applikation einrichtet, um unbefugten Zugriff zu verhindern, wird in einem ‎⮫ Anwendungshinweis erläutert.

Erfordernis: Eine digitale Signatur für den Zertifikatsaustausch ist konfiguriert.

Keine Verwendung von Zertifikaten im Live-System

Keine Verwendung von Zertifikaten im Live-System

Selbstsignierte Zertifikate sollten niemals auf Produktions- oder öffentlichen Websites verwendet werden. Die Zertifikate, die in den folgenden Schritten erstellt werden, sind selbst signiert.

Wir gehen davon aus, dass sich noch kein Zertifikat auf dem Controller befindet, das für die verschlüsselte Kommunikation vorgesehen ist. In den folgenden Schritten erzeugen Sie diese Art von Zertifikat und verschlüsseln die Kommunikation:

  1. Konfigurieren Sie den aktiven Pfad zum Controller.

  2. Öffnen Sie die Ansicht „Sicherheitsbildschirm“ durch Doppelklicken auf das Symbol _cds_icon_cyber_screen_grey in der Statusleiste oder durch Klicken auf Ansicht  Sicherheitsbildschirm. Wählen Sie die Registerkarte „Geräte“.

  3. Klicken Sie auf die Schaltfläche _cds_icon_update, um die Liste der verfügbaren Geräte und ihrer Zertifikatspeicher zu aktualisieren.

  4. Wählen Sie das entsprechende Gerät auf der linken Seite aus.

    Auf der rechten Seite ist immer noch keine Lizenz für den Anwendungsfall „Verschlüsselte Kommunikation“ aufgeführt.

  5. Wählen Sie auf der rechten Seite „Verschlüsselte Kommunikation“ und klicken Sie auf die Schaltfläche _csa_icon_create_certificate, um ein neues Zertifikat auf dem Gerät zu erstellen.

    Ändern Sie die Standardschlüssellänge auf 4096. Andernfalls tritt ein Fehler auf, der nur im Protokoll der SPS sichtbar ist.

    Das Zertifikat wird generiert und in der Tabelle mit seinen Eigenschaften aufgeführt. Das Symbol vor „Verschlüsselte Kommunikation“ erscheint nun als solches: _csa_icon_create_certificate. Das Feld in der Spalte "Gültig bis" ist grün hinterlegt, weil die verbleibende Zeit noch mindestens zwei Drittel des gesamten Gültigkeitszeitraums beträgt.

  6. In diesem Schritt aktivieren Sie die verschlüsselte Kommunikation mit dem Controller.

    Öffnen Sie die Ansicht „Sicherheitsbildschirm“ von CODESYS (Registerkarte„Benutzer“ ). Wählen Sie in der Gruppe „Security Level“ die Option „Enforce encrypted communication“.

    Ab diesem Zeitpunkt ist die Kommunikation mit allen Controllern nur noch möglich, solange das Zertifikat auf dem Controller gültig ist und Sie einen Schlüssel dafür haben.

    Die Verbindungsleitung zwischen dem Entwicklungssystem, dem Gateway und dem Regler wird auf der Registerkarte „Kommunikationseinstellungen“ des Geräteeditors des Reglers gelb dargestellt.

    Alternativ zu der soeben beschriebenen Option „Verschlüsselte Kommunikation erzwingen“, die für alle Steuerungen gilt, können Sie auch die Kommunikation nur mit einer bestimmten Steuerung verschlüsseln. Öffnen Sie dazu im Geräteeditor des Controllers die Registerkarte „Kommunikation“. Klicken Sie im Listenfeld „Gerät“ auf „Verschlüsselte Kommunikation“.

  7. Melden Sie sich nun wieder am Controller an.

    Es öffnet sich ein Dialog mit der Meldung, dass das Zertifikat des Controllers nicht von einer vertrauenswürdigen Quelle signiert ist. Darüber hinaus zeigt das Dialogfeld Informationen über das Zertifikat an und fordert Sie auf, es als vertrauenswürdiges Zertifikat im lokalen Speicher im Ordner "Controller Certificates" zu installieren.

  8. Bestätigen Sie den Dialog.

    Das Zertifikat ist im lokalen Speicher installiert und Sie sind bei der Steuerung angemeldet.

    In Zukunft wird die Kommunikation mit dem Controller automatisch mit diesem Kontrollzertifikat verschlüsselt.

    Hinweis: Bei der Anmeldung am Kontrollgerät wird das Ablaufdatum des derzeit verwendeten Zertifikats überprüft. Sie erhalten eine Warnung, wenn die verbleibende Zeit nur noch ein Drittel der Gesamtzeit oder weniger beträgt. Dann können Sie das Zertifikat rechtzeitig auf dem Sicherheitsbildschirm erneuern.