Zertifikate der SPS

Für allgemeine Informationen zu Zertifikaten in der CODESYS Development System-Umgebung siehe: Zertifikate für CODESYS und SPS

Bei der Handhabung von SPS-Zertifikaten muss die Rolle des "Anwenders" differenziert werden. Der Anlagenbetreiber muss sicherstellen, dass nur ein Anwender in der Rolle des Systemadministrators im SPS-Zertifikatsspeicher konfigurieren und Zertifikate erneuern kann. Nur ein Systemadministrator darf auch die Zertifikatssperrliste auf der SPS anpassen.

Zertifikatsspeicher der SPS, Windows Certificate Store

In der Konfiguration des SPS-Zertifikatsspeichers ist festgelegt, für welche Anwendungsfälle die SPS vom CODESYS Development System gültige Zertifikate erwartet. Diese müssen dann auf Ihrem Computer im lokalen Windows Certificate Store installiert sein.

CODESYS erleichtert das Erstellen und Verwalten der nötigen SPS-Zertifikate durch Verschlüsselungsassistenten und die Ansicht Security-Screen, Registerkarte Geräte. Alternativ können Sie die Kommandos der Registerkarte SPS-Shell des Geräteeditors nutzen. An beiden Stellen können Sie den Zertifikatsspeicher der aktuell verbundenen SPS einsehen und Zertifikate erstellen lassen. Beide Stellen bieten auch eine Übersicht aller "Anwendungsfälle" auf der SPS, für die ein Zertifikat nötig ist. Sie zeigen, ob bereits ein Zertifikat dafür vorliegt. Beispiele für Anwendungsfälle: Verschlüsselte Kommunikation, OPC UA-Server.

Im Anwendungsfall prüft CODESYS zunächst, ob die benötigten Zertifikate im lokalen Windows Certificate Store) als Vertrauenswürdige Zertifikate vorliegen.

Selbstsignierte Zertifikate

Wenn für einen Anwendungsfall auf der SPS lokal noch kein gültiges Zertifikat installiert ist, können Sie im Security-Screen oder über die SPS-Shell auf der Steuerung ein selbstsigniertes Zertifikat erzeugen lassen, um damit unmittelbar weiterarbeiten zu können. Das selbstsignierte Zertifikat wird zunächst in der Kategorie Eigene Zertifikate angelegt, Sie können es dann in die Kategorie Vertrauenswürdige Zertifikate verschieben, damit die SPS ihm künftig vertraut. Zertifikate sind beispielsweise aufgrund einer "blacklist" als nicht vertrauenswürdig eingestuft, oder sie sind zur expliziten Prüfung in Quarantäne, weil die SPS selbst nicht direkt prüfen konnte. Nach Prüfung können Sie Zertifikate in die Kategorie Vertrauenswürdige Zertifikate verschieben. Sie können Zertifikate auch wieder von der SPS löschen. Siehe hierzu: Selbstsignierte Zertifikate erzeugen

CA-signierte Zertifikate

Um einen höheren Sicherheitslevel zu erreichen, sollten Sie ein selbstsigniertes Zertifikat durch ein CA-signiertes Zertifikat ersetzen. Wenn Sie noch kein CA-signiertes Zertifikat haben, können Sie es bei einer CA-Stelle anfordern (Certificate Signing Request, CSR). Exportieren Sie dazu aus dem Security-Screen oder über die SPS-Shell die betreffende SPS-Zertifikatsdatei ins lokale Dateisystem. Importieren Sie nach Rücksendung des signierten CA-Zertifikats dieses wieder in den SPS-Zertifkatsspeicher und den lokalen Windows Certificate Store.

Das direkte Erzeugen eines CSR ist über die SPS-Shell und ab CODESYS Security Agent V1.4.0.0 auch aus dem Security-Screen (Registerkarte Geräte) möglich. Siehe hierzu:

Beachten Sie unbedingt, dass das CA-signierte Zertifikat folgende Einträge vom CSR übernommen hat: Key Usage, Extended Key Usage, Subject Alternative Name, jeweils mit dem Flag Critical.

Siehe hierzu: CA-signierte Zertifikate über die SPS-Shell anfordern und bereitstellen

Mehrere Zertifikate für denselben Anwendungsfall

Wenn für einen Anwendungsfall auf der SPS mehrere Zertifikate vorliegen, bestimmt das System mit folgenden nacheinander durchgeführten Auswahlschritten, welches Zertifikat verwendet wird:

Erneuern von Zertifikaten

Der Anlagenbetreiber muss dafür sorgen, dass ein Zertifikat rechtzeitig erneuert wird. Siehe hierzu: Zertifikat erneuern

Zertifikatssperrliste

Die Zertifikatssperrliste kann aktuell nur über die SPS-Shell ausgetauscht werden. Nur der Systemadministrator des Anlagenbetreibers sollte die Sperrliste austauchen können.