Zertifikate für CODESYS und SPS
CODESYS unterstützt das Signieren mit X.509-Zertifikaten.
Die Zertifikate für die Verschlüsselung im CODESYS Development System oder für die Kommunikation mit der SPS können selbstsigniert oder CA-signiert sein. Welche Zertifizierungsstufe eingesetzt wird, hängt vom Sicherheitsanspruch ab. Sie können Zertifikate mit speziellen Tools oder in In der CODESYS-Umgebung erstellen.
CA-signierte Zertifikate müssen durch einen vertrauenswürdigen externen Zertifizierungsdienstleister (Certification Authority, „CA“) oder durch eine CA, die in der Anlage des Betreibers untergebracht ist, erstellt werden. Um ein CA-signiertes Zertifikat zu erhalten, können Sie ein selbst erstelltes Zertifikat über einen Certificate Signing Request (CSR) an eine CA senden und hinterher wieder auf Ihrem Computer oder auf der SPS installieren.
Wichtig
Die CA verwendet die Daten aus dem Certificate Signing Request (CSR), um daraus das X.509-Zertifikat für die SPS zu erstellen. Beim Signieren des CSR ist die Übernahme der folgenden "x509v3-Extensions" aus dem CSR zwingend notwendig:
Key Usage
, Extended Key Usage
, Subject Alternative Name
, jeweils mit dem Flag Critical
.
Selbstsignierte Zertifikate können Sie selbst mit dem eigenen privaten Schlüssel signiert erstellen, sie sind nicht durch eine CA signiert! In der CODESYS-Umgebung werden Sie durch Dialoge und Verschlüsselungsassistenten beim Erstellen selbstsignierter Zertifikate unterstützt.
Tipp
Ein selbstsigniertes Zertifikat ist nützlich für Testzwecke, oder als Übergangslösung, bis ein CA-signiertes Zertifikat bereit steht.
Zertifikatsverwaltung auf dem lokalen Windows-Computer: Auf Ihrem Computer müssen gültige Zertifikate für die Verschlüsselung eines CODESYS-Projekts und für den Austausch zwischen der SPS und dem CODESYS Development System im lokalen Windows Certificate Store
(certmgr
) liegen.
Tipp
Um eine Zertifikatsdatei aus dem lokalen Dateisystem in den Windows Certificate Store
zu installieren, doppelklicken Sie auf die Datei im Dateiverzeichnis. Sie erhalten dann den passenden Importassistenten.
Die Zertifikatsverwaltung auf der SPS liegt in der Hand des Anlagenbetreibers. Siehe hierzu: Zertifikate der SPS
Der Security-Screen bietet eine Oberfläche zur Zertifikatshandhabung für das Projekt wie auch für die Zertifikate, die für die Kommunikation mit der SPS nötig sind. Im Fall der Kommunikation zwischen CODESYS und SPS bietet der Security-Screen eine Alternative zu den entsprechenden Kommandos der SPS-Shell des Geräteeditors.
Package: Im CODESYS Package Designer
Projekt: Über den Dialog der Projekteinstellungen
Einzelne Programmiereinheiten im Projekt: Mit Hilfe der Funktionen der Bibliothek
CmpX509Cert.library
Bibliothek: Beim Speichern in CODESYS als übersetzte Bibliotheksdatei
Applikationscode, Bootapplikation, Download Quellcode, Online-Change: Beachten Sie: Eine unmittelbare Unterstützung für das Erstellen eines Zertifikats erhalten Sie in diesem Fall durch einen Verschlüsselungsassistenten im Dialog Eigenschaften der Applikation.
Kommunikation zwischen Programmiersystem und SPS: Beachten Sie: Eine unmittelbare Unterstützung für das Erstellen eines Zertifikats für verschlüsselte Kommunikation mit der Steuerung wird Ihnen direkt beim ersten Verbinden mit einer geschützten Steuerung angeboten. Dieses Zertifikat ist zunächst nur temporär gültig.
Kommunikation zwischen Automation Server Connector über den Edge Gateway mit dem Automation Server: Für das Einrichten der zertifikatsverschlüsselten Kommunikation erhalten Sie ab V1.35.0.0 des CODESYS Automation Server Unterstützung durch den Dialog Quick Setup.
Kommunikation zwischen WebVisu und WebBrowser: Über den Security-Screen, Registerkarte Geräte, (Komponente
CmpOpenSSL
im LaufzeitsystemErweiterte Anforderung in diesem Fall: Damit ein Zertifikat vom Browser als sicher bewertet werden kann, muss dieses von einer CA-Zertifizierungsstelle signiert worden sein.
Kommunikation zwischen Projekt und Remote TargetVisu: Unmittelbare Unterstützung beim ersten Starten, wenn das Laufzeitsystem die verschlüsselte Kommunikation fordert.
Kommunikation über OPC UA-Server: Über den Security-Screen. Beim Signieren des CSR ist die Übernahme der folgenden "x509v3-Extensions" aus dem CSR zwingend notwendig::
Key Usage
,Extended Key Usage
,Subject Alternative Name
, jeweils mit dem FlagCritical
.Visualisierungselement HTML5: Im Dialog Visualisierungselemente-Repository.