Skip to main content

Ansicht: Security-Screen: Geräte

Symbol: _cds_icon_cyber_screen_grey.png

Tipp

Sehen Sie zum Thema Security, Zertifikate, Verschlüsselung in CODESYS: CODESYS Security.

Funktion: Die Registerkarte erlaubt die Konfiguration und den Transfer von Steuerungszertifikaten für eine verschlüsselte Kommunikation mit der Steuerung. Für eigene Zertifikate können CSR-Dateien für Zertifikatsignierungsanfragen erstellt werden.

Aufruf: Menü Ansicht

Voraussetzung: Das Zusatzprodukt CODESYS Security Agent ist installiert.

Für weitere Informationen siehe:

Die Registerkarte Geräte zeigt alle im Projekt konfigurierten SPS-Geräte und ihre Zertifikatsspeicher. Wenn der Kommunikationspfad zur Steuerung konfiguriert ist, sehen Sie die in den Speichern liegenden Zertifikate. Sie können hier neue Zertifikate auf der Steuerung erstellen und konfigurieren. Wenn ein aktuell verwendetes Zertifikat am Ablaufen ist, werden Sie beim Einloggen auf das Gerät gewarnt und können ebenfalls direkt in den Security-Screen wechseln, um das Zertifikat zu erneuern.

Linke Seite: Information

Geräte und Zertifikatsspeicher

Zeigt die einzelnen Geräte _csa_icon_device.png als aufklappbare Knoten und jeweils darunter die steuerungsspezifischen _csa_icon_cert_store_open.png Zertifikatsspeicher.

Beispielsweise gibt es für die CODESYS Control Win folgende Kategorien:

  • Eigene Zertifikate mit dem zugeordneten privaten Schlüssel, auf die Sie Zugriff haben

  • Vertrauenswürdige Zertifikate, die von einer vertrauenswürdigen Zertifikatsstelle erstellt wurden

  • Nicht vertrauenswürdige Zertifikate, die Sie explizit als nicht vertrauenswürdig definiert haben

  • Zertifikate in Quarantäne, die nicht die Kriterien für die oben genannten Kategorien erfüllen

Werkzeugleiste links

_csa_icon_refresh.png: Aktualisieren der Anzeige

_csa_icon_download_cert.png: Zertifikat auswählen und vom PC zur SPS übertragen (Download). Der Standarddialog zum Auswählen einer Datei aus dem lokalen Dateisystem öffnet sich. Dateityp: *.cer, *.crt, *.der. Das Zertifikat wird auf der SPS in den Speicher Nicht vertrauenswürdige Zertifikate gelegt.

Ab CODESYS Control Version 3.5.18.0 für die Kategorie Eigene Zertifikate außerdem möglich: Importieren einer PKCS#12-Containerdatei (Zertifikat + Schlüssel), Dateityp: *.p12, *.pfx. Nach Auswahl der Containerdatei aus dem Dateisystem öffnet sich der Dialog Zertifikatscontainer importieren, in dem Sie das beim Erstellen der Datei vergebene Passwort eingeben müssen. Standardmäßig kann dieser Container danach nicht wieder von der SPS exportiert werden. Wenn Sie dies erlauben wollen, aktivieren Sie die Option Der Container kann vom Gerät erneut exportiert werden.

Rechte Seite:

Information

Wenn der aktive Pfad zur Steuerung gesetzt ist und ein Geräteknoten selektiert ist, erscheinen auf der rechten Seite alle Anwendungsfälle für Steuerungszertifikate.

  • OPC UA-Server: Verschlüsselte Kommunikation über einen OPC UA-Server

  • Verschlüsselte Kommunikation: Verschlüsselte Kommunikation zwischen Entwicklungssystem und Steuerungsgerät

  • Verschlüsselte Applikation: Verschlüsselung der Bootapplikation

  • Webserver: Verschlüsselte Kommunikation mit dem Webserver

Solange kein Zertifikat für einen dieser Anwendungsfälle vorliegt, erscheint er mit dem Icon _csa_icon_certificate_not_available.png und dem Zusatz (nicht verfügbar).

Wenn links ein Zertifikatsspeicher selektiert ist, erscheinen auf der rechten Seite alle darin liegenden Zertifikate mit folgenden Angaben:

Information: Anwendungsfall (momentan wird die betroffene Steuerungskomponente angezeigt), Beispiel: CmpSecureChannel

Erstellt für: Name des Computers, für den das Zertifikat erstellt wurde, Beispiel: MyLocalPC

Erstellt von: Name des Computers, auf dem das Zertifikat erstellt wurde, Beispiel: MyLocalPC

Gültig ab: Datum, Beispiel: 20.07.2017 15:09:29

Gültig bis: Datum: Beispiel: 20.07.2022 00:00:00; Abhängig von der Restlaufzeit des Zertifikats ändert sich die farbliche Hinterlegung des Felds: Grün -> Gelb (zwei Drittel abgelaufen) -> Orange (neun Zehntel abgelaufen) -> Rot (abgelaufen). Hinweis: Beim Einloggen auf die Steuerung erhalten Sie eine Warnung, wenn zwei Drittel oder mehr der Gültigkeitsdauer abgelaufen sind. Sie können dann hier im Security Screen das Zertifikat erneuern.

Daumenabdruck: Hash-Wert aus bestimmten Eigenschaften des Zertifikats zur Identifizierung, Beispiel: 279e1a46b86bd636c8e6f19fd51c222469ec49a8

Ein Doppelklick auf einen Zertifikatseintrag öffnet den Windows-Standarddialog Zertifikat. Damit können Sie beispielsweise ein Steuerungszertifikat im Windows Certificate Store in den Ordner Controller Certificates importieren, damit es zur Verschlüsselung von Download, Online-Change und Bootapplikation zur Verfügung steht.

Wenn für einen Anwendungsfall mehrere Zertifikate vorliegen, bestimmt das System mit folgenden Auswahlschritten, welches Zertifikat verwendet wird:

  • Zertifikat, das vom Anwender direkt erstellt wurde (Wird derzeit noch nicht berücksichtigt!)

  • Filtern der bereits vorhandenen Zertifikate nach:

    1. Subjekt (Verwender des Zertifikats)

    2. Schlüsselverwendung

    3. erweiterter Schlüsselverwendung

    4. gültiger Zeitstempel

  • Aufteilen der bisher gefundenen gültigen Zertifikate in „signiert“ und „selbstsigniert“.

  • Filtern der signierten Zertifikate, danach der selbstsignierten Zertifikate nach folgenden Kriterien:

    1. Längste Gültigkeitsdauer

    2. Stärkster Schlüssel

Drag&Drop: Verschieben des Zertifikats in einen anderen Zertifikatsspeicher des gleichen Geräts

Ein Doppelklick auf einen Zertifikatseintrag öffnet den Windows-Standarddialog zur Anzeige aller Zertifikatsinformationen.

Werkzeugleiste rechts

_csa_icon_create_cert.png: Erzeugen eines neuen Zertifikats für einen bestimmten Anwendungsfall:

Der Dialog Zertifikatseinstellungen erscheint zur Konfiguration der Gültigkeitsdauer des Zertifikats und der Schlüssellänge für den Privaten Schlüssel. OK speichert die eingegeben Werte in den CODESYS-Optionen. Sie werden bei der nächsten Operation zunächst wieder als Wert gesetzt.

Solange die Erstellung des Zertifikats läuft, steht hinter dem Anwendungsfall „(rechnet)„. Sie können die Erstellung nicht abbrechen, sie können jedoch den Security-Screen schließen und weiterarbeiten.

_csa_icon_delete_cert.png: Löschen des selektierten Zertifikats

Wenn es sich um ein eigenes Zertifikat handelt, öffnet die Schaltfläche ein Dialogfenster mit der Frage, ob Sie den mit dem Zertifikat verbundenen privaten Schlüssel behalten wollen. Standardmäßig ist die Antwort Ja eingestellt. Beachten Sie, dass das Löschen des privaten Schlüssels nicht rückgängig gemacht werden kann.

_csa_icon_upload_cert.png: Ausgewähltes Zertifikat vom Gerät hochladen und auf dem PC speichern.

Für CODESYS Control ab Version 3.5.18.0 können Sie PKCS#12-Containerdateien (Zertifikat + Schlüssel) aus der Steuerung exportieren, falls dies für den Container erlaubt wurde. In diesem Fall wählen Sie für die zu erstellende Containerdatei einen Ablageort, Namen und Dateityp (*.p12 oder *.pfx) im lokalen Dateisystem. Der Dialog Zertifikatscontainer exportieren öffnet sich, in dem Sie ein Passwort für die Containerdatei festlegen. Ein solcher Container kann dann beispielsweise auf einer anderen Steuerung in die Kategorie Eigene Zertifikate importiert werden (siehe oben, Werkzeugleiste links, _csa_icon_download_cert.png).

_csa_icon_details_certificate.png: Details zum selektierten Zertifikat: Öffnet den Dialog Zertifikat mit den Registerkarten Allgemein, Details und Zertifizierungspfad

_csa_icon_recreate_certificate.png: Erneuern des selektierten Zertifikats. Öffnet den Dialog Zertifikatseinstellungen, um für ein bald ablaufendes Zertifikat ein zusätzliches neues Zertifikat mit dem gleichen Verwendungszweck und der angegebenen Schlüssellänge zu erstellen. Die vorbelegten Werte im Dialog werden gegebenenfalls abhängig vom selektierten Zertifikat angepasst.

_csa_icon_create_csr.png: Erzeugen von Dateien <component>.csr für einen CSR (Certificate Signing Request, Zertifikatsignierungsanfrage), der an eine CA (Certificate Authority, Zertifizierungsstelle) geschickt werden soll. Es handelt sich um eine Alternative zur Erzeugung von CSRs über die SPS-Shell und erfordert die entsprechenden Rechte und mindestens CODESYS V3.5 SP17. Die Schaltfläche öffnet den Dialog Zertifikatsignierungsanforderung Einstellungen. Sie können angeben, für welche Komponente(n) CSR-Dateien erzeugt werden sollen und wie die Kodierung sein soll: ASN.1 oder Base64 sein soll. Nach Bestätigen mit OK erscheint die Meldung, dass die Dateien erstellt werden. Im Geräte-Log sehen Sie den Status der Erstellung. Um die Dateien auf Ihrem Computer zu speichern, verwenden Sie die Schaltfläche _csa_icon_upload_csr.png.

Sehen Sie für weitere Informationen:

_csa_icon_upload_csr.png: CSR-Dateien <component.csr> vom Gerät hochladen, um sie auf dem PC zu speichern.

In diesem Abschnitt: