Skip to main content

Dialog: Gerätesicherheitseinstellungen (OPC UA Server)

Funktion: Der Dialog zeigt alle Gerätesicherheitseinstellungen, die von der verbundenen Steuerung zur Verfügung gestellt werden.

Aufruf: Registerkarte Kommunikation, Menübefehl GerätSicherheitseinstelllungen

Voraussetzungen: Sie haben den CODESYS Security Agent installiert und der aktive Pfad zur Steuerung ist konfiguriert.

Nachfolgende Tabelle zeigt die Einstellungen, die den OPC UA Server betreffen.

Tabelle 13. Alle den OPC UA Server betreffenden Einstellungen mit den möglichen Werten

CommunicationPolicy

Verwendete OPC UA-Sicherheitsrichtlinie

Die hier ausgewählte Sicherheitsrichtlinie ist eine Mindestsicherheitsrichtlinie. Die Kommunikation darf mit dieser oder mit höherer Sicherheitsstufe erfolgen.

  • POLICY_AES256SHA256RSAPSS: Start ab Aes256Sha256RsaPSS

  • POLICY_BASIC256SHA256: Start ab Basic256Sha256

  • POLICY_AES128SHA256RSAOAEP: Start ab Aes128Sha256RSAOAEP (Standardeinstellung)

CommunicationMode

Betriebsmodus der Kommunikation

  • SIGNED_AND_ENCRYPTED: Erlaubt nur signierte und verschlüsselte Kommunikation

  • MIN_SIGNED: Erlaubt signierte oder signierte und verschlüsselte Kommunikation

  • SECURE_IF_POSSIBLE

    Erlaubt vorübergehend eine unverschlüsselte Kommunikation im Klartext, wenn noch kein X.509‑Zertifikat für den OPC UA Server vorhanden ist. Sobald ein Zertifikat erstellt wurde, wird der unsichere Modus automatisch deaktiviert. (Standardeinstellung)

  • ALL: Erlaubt sichere und unsichere Kommunikation

  • ONLY_PLAINTEXT: Erlaubt nur unsichere Kommunikation

Activation

Aktivierung / Deaktivierung OPC UA Server

  • DEACTIVATED: OPC UA Server deaktiviert

  • ACTIVATED: OPC UA Server aktiviert (Standardeinstellung)

UserAuthentication

UserToken des OPC UA Servers

Der UserToken legt fest, wie sich ein Benutzer oder Client gegenüber dem Server ausweist und bestimmt damit den verwendeten Authentifizierungsmechanismus.

  • ENABLED: Die UserToken werden passend zur Konfiguration der Gerätebenutzerverwaltung erzeugt. (Standardeinstellung)

  • ENFORCED: Das Anonymous UserToken ist deaktiviert. Unabhängig davon, ob in der Gerätebenutzerverwaltung der anonyme Zugang erlaubt ist.

AllowUserPasswordOnPlaintext

Passwörter im Klartext übertragen, falls kein OPC UA Server-Zertifikat verfügbar ist

  • YES: Übertragung von Passwörtern im Klartext erlaubt. Diese Einstellung wird nicht empfohlen.

  • NO: Übertragung von Passwörter im Klartext ist nicht erlaubt. (Standardeinstellung)

EnableCRLChecks

Aktivierung/Deaktivierung der Prüfung von Zertifikatssperrlisten (CRLs). CRLs werden für CA-signierte Zertifikate verwendet.

  • YES: Prüfung der CRL aktiv (Standardeinstellung)

  • NO: Prüfung der CRLs nicht aktiv

Für weitere Informationen siehe: Zertifikate verwalten

EnableSelfSignedCertBackwardInteroperability

Die OPC UA-Spezifikation verlangt, dass für selbstsignierte Zertifikate das cA-Bit in den Erweiterungen gesetzt wird. Dies ermöglicht es, dass selbst signierte ApplicationInstanceCertificates (Server oder Client Zertifikat) als CA missbraucht werden.

  • YES: Erlaubt diese Zertifikate. Diese Einstellung ist unsicherer, erhöht jedoch die Kompatibilität. (Standardeinstellung)

  • NO: Verbietet, dass ApplicationInstanceZertifikate das cA-Bit in der Erweiterung gesetzt haben. Diese Einstellung ist sicherer, verringert jedoch die Kompatibilität.

DeactivateApplicationAuthentication

Das OPC UA Protokoll fordert, dass beim Verbindungsaufbau eine gegenseitige Authentifizierung der Applikationen durchgeführt wird. Dies wird bei abgesicherten Verbindungen (Signierung oder Signierung+Verschlüsselung) durch die gegenseitige Validierung der Applikationszertifikate (ApplicationInstanceCertificate) erreicht.

Mit der Einstellung DeactivateApplicationAuthentication können Sie die Prüfung des Client-Zertifikats im OPC UA Server deaktivieren. Laut UA-Standard muss in diesem Fall die Authentifizierung auf Benutzerebene durchgeführt werden (Verwendung der Gerätebenutzerverwaltung)

NO: Validierung des Client-Zertifikats deaktiviert

YES: Validierung des Client-Zertifikats aktiviert

DeactivateSecurityPolicy

Deaktivierung von Sicherheitsrichtlinien

Eintragung als Policy-URL (beispielsweise http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256) in einer kommaseparierten Liste

ApplicationName

Legt den gemeinsamen Namen (CN, Common Name) des OPC UA Server-Zertifikats fest. Wenn diese Einstellung nicht gesetzt ist, wird OPCUAServer@<HOSTNAME> verwendet.

CompanyOrOrganizationName

Legt die Abteilung (OU, OrganizationalUnit) des OPC UA Server-Zertifikats fest

City

Legt den Ort (L, Locality) des OPC UA Server-Zertifikats fest

State

Legt den Bundesstaat oder das Bundesland (S, StateOrProvinceName) des OPC UA Server-Zertifikats fest

Country

Legt das Land (C, CountryName) des OPC UA Server-Zertifikats fest

CertificateIPAdresses

Kommaseparierte Liste der IP-Adressen, die im X.509-Zertifikat des OPC UA-Servers eingetragen werden sollen. Folgende Einträge sind möglich:

  • Angabe einer oder mehrerer IP-Adressen. Beispielsweise einer NATs IP-Adresse (NAT = Network Address Translation).

    Beispiele: "1.2.3.4, All", "Static", "1.2.3.4, 7.8.9.10"

  • All: Alle lokalen IP-Adressen sollen dem Zertifikat hinzugefügt werden. Dabei werden nur Netzwerkadapter berücksichtigt, welche zum beim Start oder bei einer Änderung der Sicherheitseinstellungen eine gültige IP-Adresse haben.

  • Static: Wie All, mit der Einschränkung, dass nur IP-Adresse berücksichtigt werden, welche auf dem Gerät statisch eingestellt sind.

AdditionalCertDnsNames=<comma seperated list>

Definiert zusätzliche DNS‑Namen für das vom OPC UA Server verwendete X.509‑Zertifikat oder den Certificate Signing Request (CSR)

SendCertificateChains

Aktiviert das Senden von Zertifikatsketten beim OPC UA Verbindungsaufbau.

YES: Mit Zertifikatskette

NO: Ohne



In diesem Abschnitt: