Skip to main content

Dialog: Gerätesicherheitseinstellungen (OPC UA Server)

Funktion: Der Dialog zeigt alle Gerätesicherheitseinstellungen, die von der verbundenen Steuerung zur Verfügung gestellt werden.

Aufruf: Registerkarte Kommunikation, Menübefehl GerätSicherheitseinstelllungen

Voraussetzungen: Sie haben den CODESYS Security Agent installiert und der aktive Pfad zur Steuerung ist konfiguriert.

Nachfolgende Tabelle zeigt die Einstellungen, die den OPC UA Server betreffen.

Einstellung

Beschreibung

CommunicationPolicy

Verwendete OPC UA-Sicherheitsrichtlinie. Verwendet werden die ausgewählte Richtlinie und alle sichereren Möglichkeiten.

  • POLICY_AES256SHA256RSAPSS: Start ab Aes256Sha256RsaPSS

  • POLICY_BASIC256SHA256: Start ab Basic256Sha256

  • POLICY_AES128SHA256RSAOAEP: Start ab Aes128Sha256RSAOAEP (Standardeinstellung)

CommunicationMode

Mode für die Kommunikation

  • SIGNED_AND_ENCRYPTED: Erlaubt nur signierte und verschlüsselte Kommunikation

  • MIN_SIGNED: Erlaubt signierte oder signierte und verschlüsselte Kommunikation

  • SECURE_IF_POSSIBLE: Erlaubt Kommunikation im Klartext, wenn kein X.509-Zertifikat für den OPC UA Server verfügbar ist. Deaktiviert unsichere Mode, sobald ein Zertifikat erzeugt wurde. (Standardeinstellung)

  • ALL: Erlaubt sichere und unsichere Kommunikation

  • ONLY_PLAINTEXT: Erlaubt nur unsichere Kommunikation

Activation

Aktivierung / Deaktivierung OPC UA Server

  • DEACTIVATED: OPC UA Server deaktiviert

  • ACTIVATED: OPC UA Server aktiviert (Standardeinstellung)

UserAuthentication

UserToken des OPC UA Servers

  • ENABLED: Die UserToken werden passend zur Konfiguration der Gerätebenutzerverwaltung erzeugt. (Standardeinstellung)

  • ENFORCED: Das Anonymous UserToken ist deaktiviert. Unabhängig davon, ob in der Gerätebenutzerverwaltung der anonyme Zugang erlaubt ist.

AllowUserPasswordOnPlaintext

Passwörter im Klartext übertragen, falls kein OPC UA Server-Zertifikat verfügbar ist

  • YES: Übertragung von Passwörtern im Klartext erlaubt. Diese Einstellung wird nicht empfohlen.

  • NO: Übertragung von Passwörter im Klartext ist nicht erlaubt. (Standardeinstellung)

EnableCRLChecks

Aktivierung/Deaktivierung Prüfung von Zertifikatssperrlisten (CRLs). CRLs werden für CA-signierte Zertifikate verwendet.

  • YES: Prüfung der CRL aktiv (Standardeinstellung)

  • NO: Prüfung der CRLs nicht aktiv

Für weitere Informationen siehe: Konfiguration der OPC UA Zertifikate

EnableSelfSignedCertBackwardInteroperability

Die OPC UA-Spezifikation verlangt, dass für selbstsignierte Zertifikate das cA-Bit in den Erweiterungen gesetzt wird. Dies ermöglicht es, dass selbst signierte ApplicationInstanceCertificates (Server oder Client Zertifikat) als CA missbraucht werden.

  • YES: Erlaubt diese Zertifikate. Diese Einstellung ist unsicherer, erhöht jedoch die Kompatibilität. (Standardeinstellung)

  • NO: Verbietet, dass ApplicationInstanceZertifikate das cA-Bit in der Erweiterung gesetzt haben. Diese Einstellung ist sicherer, verringert jedoch die Kompatibilität.

DeactivateApplicationAuthentication

Das OPC UA Protokoll fordert, dass beim Verbindungsaufbau eine gegenseitige Authentifizierung der Applikationen durchgeführt wird. Dies wird bei abgesicherten Verbindungen (Signierung oder Signierung+Verschlüsselung) durch die gegenseitige Validierung der Applikationszertifikate (ApplicationInstanceCertificate) erreicht.

Mit der Einstellung DeactivateApplicationAuthentication können Sie die Prüfung des Client-Zertifikats im OPC UA Server deaktivieren. Laut UA-Standard muss in diesem Fall die Authentifizierung auf Benutzerebene durchgeführt werden (Verwendung der Gerätebenutzerverwaltung)

NO: Validierung des Client-Zertifikats deaktiviert

YES: Validierung des Client-Zertifikats aktiviert

DeactivateSecurityPolicy

Deaktiverung von Sicherheitsrichtlinien

Eintragung als Policy-URL (beispielsweise http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256) in einer kommaseparierten Liste

ApplicationName

Legt den gemeinsamen Namen (CN, Common Name) des OPC UA Server-Zertifikats fest. Wenn diese Einstellung nicht gesetzt ist, wird OPCUAServer@<HOSTNAME> verwendet.

CompanyOrOrganizationName

Legt die Abteilung (OU, OrganizationalUnit) des OPC UA Server-Zertifikats fest

City

Legt den Ort (L, Locality) des OPC UA Server-Zertifikats fest

State

Legt den Bundesstaat oder das Bundesland (S, StateOrProvinceName) des OPC UA Server-Zertifikats fest

Country

Legt das Land (C, CountryName) des OPC UA Server-Zertifikats fest

CertificateIPAdresses

Kommaseparierte Liste der IP-Adressen, die im X.509-Zertifikat des OPC UA-Servers eingetragen werden sollen. Folgende Einträge sind möglich:

  • Angabe einer oder mehrerer IP-Adressen. Beispielsweise einer NATs IP-Adresse (NAT = Network Address Translation).

    Beispiele: "1.2.3.4, All", "Static", "1.2.3.4, 7.8.9.10"

  • All: Alle lokalen IP-Adressen sollen dem Zertifikat hinzugefügt werden. Dabei werden nur Netzwerkadapter berücksichtigt, welche zum beim Start oder bei einer Änderung der Sicherheitseinstellungen eine gültige IP-Adresse haben.

  • Static: Wie All, mit der Einschränkung, dass nur IP-Adresse berücksichtigt werden, welche auf dem Gerät statisch eingestellt sind.

In diesem Abschnitt: