Zertifikat erneuern
Wenn das Zertifikat der Steuerung für die verschlüsselte Kommunikation abgelaufen ist (Gültigkeitszeitraum von „not before“ bis „not after“), erhalten Sie beim Versuch, auf die Steuerung zuzugreifen, in CODESYS eine entsprechende Meldung. Um beispielsweise das Zertifikat zu erneuern, können Sie das abgelaufene Zertifikat nochmals akzeptieren und sich damit zur Steuerung verbinden.
Tipp
Andere Clients als CODESYS, die mit der Steuerung verschlüsselt kommunizieren (beispielsweise PLCHandler), werden typischerweise ein abgelaufenes Zertifikat nicht akzeptieren. Eine Verbindung ist dann nicht mehr möglich!
Tipp
Im Security-Screen werden Zertifikate abhängig von der Restlaufzeit unterschiedlich farbig dargestellt.
Das Verhalten der Anwendung nach Ablauf eines X.509-Zertifikates hängt von der Verwendung ab:
Kommunikation CODESYS Development System - SPS:
Nach Ablauf des Zertifikats im Laufzeitsystem wird automatisch ein neues selbstsigniertes Zertifikate erzeugt. Somit kann immer sicher mit der Steuerung verschlüsselt kommuniziert werden, um dann nachfolgend beispielsweise dieses oder weitere Zertifikate aktualisieren zu können.
Signiertes und verschlüsseltes Bootprojekt:
Solche Zertifikate behalten auch nach Ablauf ihre Gültigkeit. Voraussetzung dafür ist, dass das Zertifikat zum Zeitpunkt der Signierung/Verschlüsselung gültig war.
WebServer und OPC UA-Server:
Nach Ablauf des Zertifikats stellen diese Server den Betrieb ein. Deshalb muss das Zertifikat zwingend vor Ablauf erneuert werden, um einen durchgängigen Betrieb sicherzustellen. Sehen Sie dazu unten: Zertifikat noch vor Ablauf der Gültigkeit erneuern.
Wenn Sie ein neues Zertifikat auf der Steuerung erzeugt oder eingespielt haben, wird Ihnen beim nächsten Login dieses neue Zertifikat zum Akzeptieren angeboten.
Für weitere Informationen siehe: Kommunikation mit Zertifikat verschlüsseln, Sicherheitsrichtlinie ändern
Zertifikat noch vor Ablauf der Gültigkeit erneuern
Sie können ein neues Zertifikat bereits vor Ablauf des existierenden Zertifikates erzeugen, damit die verschlüsselte Kommunikation nahtlos weiterbetrieben werden kann.
Der Security-Screen des CODESYS Security Agent ermöglicht auf der Registerkarte Geräte das Erzeugen eines neuen Zertifikats. Sobald ein neues Zertifikat parallel zum aktuell verwendeten auf der Steuerung vorliegt, wird das neue Zertifikat beim nächsten Loginversuch von der Steuerung angeboten. Sie müssen es nur noch akzeptieren.
Für eine Anleitung siehe: Mit dem Gerät über ein Steuerungszertifikat verschlüsselt kommunizieren
Falls kein CODESYS Security Agent verfügbar ist: Steuerungszertifikat für die verschlüsselte Kommunikation über die SPS-Shell des Geräteeditors installieren