Skip to main content

Security für den CODESYS Automation Server

Der CODESYS Automation Server bietet folgende Sicherheitsfunktionalitäten:

  • Kapselung der Geräte nach außen. Die Kommunikation erfolgt ausschließlich über das CODESYS Edge Gateway ("Edge Gateway").

  • Zertifikatsverschlüsselte Kommunikation: Der Datenaustausch zwischen dem CODESYS Automation Server und dem CODESYS Automation Serverund dem Edge Gateway wie auch der Datenaustausch zwischen Edge Gateway und SPS läuft TLS-verschlüsselt auf Basis von X.509-Zertifikaten.

    • Die Konfiguration der Kommunikation zwischen dem CODESYS Automation Server und dem Edge Gateway erfolgt nur autorisiert und in sicherer Umgebung (Einstellungen in der Datei gateway.cfg). Schützen Sie das Edge-Gateway-Gerät gegen unerlaubte Zugriffe, siehe hierzu: Security für Edge Gateway

    • Für die verschlüsselte Verbindung mit dem CODESYS Automation Server benötigt das Edge Gateway das CA-Zertifikat, welches das Zertifikat vom CODESYS Automation Server unterzeichnet hat. Da der CODESYS Automation Server bei AWS läuft und CODESYS das Zertifikat von AWS ausstellen läßt, gibt es 5 mögliche "Amazon Root CA" (Beispiel: CN=Amazon Root CA 1, 0=Amazon, C=US). Diese Zertifikate werden beim Verbinden des Edge Gateways mit dem CODESYS Automation Server über den CODESYS Automation Server Connector oder das CODESYS Service Tool automatisch im .pki-Verzeichnis abgelegt. Damit der Webbrowser die sichere Verbindung akzeptiert, muss das verwendete CA-Zertifikat auch im Browser oder Betriebssystem gültig vorliegen. Dies ist standardmäßig der Fall, weil AWS als vertrauenswürdig eingestuft ist. (Lokaler Windows Certificate Store, Kategorie Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate, Amazon Root CA...). Ansicht SPSen Gateways zeigt den Fingerabdruck des privaten Schlüssels, der im lokalen Zertifikatsstore für das Root-Zertifikat der Steuerung erzeugt wurde

      Falls ein Zertifikat doch abgelaufen sein sollte, können Sie es in der Ansicht Edge-Gateway verbinden oder neu konfigurieren erneuern. Dazu muss das konfigurierte Edge-Gateway mit dem Automation Server verbunden und der Konfigurationsmodus aktiviert sein. Das neue Zertifikat ist 6 Monate gültig. Für weitere Informationen siehe: Edge-Gateway verbinden oder neu konfigurieren

    • Die verschlüsselte Verbindung zwischen dem Edge Gateway und der SPS können Sie vom CODESYS Automation Server aus mit Hilfe eines "Quick Setup" konfiguriert werden. Für weitere Informationen siehe:

    • Eine Übersicht der Zertifikate aller mit dem Automation Server verbundenen Steuerungsgeräte gibt es in der Ansicht Security - Gerätezertifikate Gerätezertifikate auflisten, handhaben

    • Sie können die Signierungsanforderungen (CSR = Certificate Signing Request) einer Steuerung anzeigen lassen oder neue Anforderungen erstellen. Für weitere Informationen siehe: Ansicht: Security - Signierungsanforderungen

    • Für weitere Informationen zur generellen Handhabung von Zertifikaten siehe: Zertifikate für CODESYS und SPS

  • Multi-Faktor-Authentifizierung auf dem Server zur doppelten Zugangsabsicherung.

    Für weitere Informationen siehe: Anmelden auf dem Server mit Multifaktor-Authentifizierung

  • Konfigurierbare Benutzer- und Rechteverwaltung für die Zugriffskontrolle auf den Server und Server-Objekte. Für Anleitungen und Security-Hinweise siehe:

  • Server-Passwort: Das Passwort wird initial nach dem Kauf von CODESYS Automation Server vergeben. Sehen Sie dazu die Anleitung CODESYS Automation Server im CODESYS Store International bestellen. Es kann vom Administrator zurückgesetzt werden. Für weitere Informationen siehe: Server-Passwort zurücksetzen

  • Know-how-Schutz für Quell- und kompilierten Binärcode: Der CODESYS Automation Server benötigt für das Laden des ausführbaren Binärcodes auf die SPS immer eine Bootapplikation. Für den Schutz des Quellcodes gelten die aktuellen Funktionalitäten im CODESYS Development System

  • Timeout für Sessions: Eine Session im CODESYS Automation Server ist 10 Minuten gültig. Eine Session verlängert sich automatisch auf bis zu 24 Stunden Laufzeit, solange der Aktiv-Modus besteht (beispielsweise solange eine Registerkarte mit dem CODESYS Automation Server offen ist) . Spätestens nach 24 Stunden wird die Session ungültig. Natürlich können Sie eine Session durch Ausloggen bewußt beenden.

  • Passwortrichtlinie: Eine Passwortrichtlinie für die Vergabe sicherer Passwörter ist in der Benutzerverwaltung des Servers definiert.

  • Zugriff auf WebVisu-Benutzerkonfiguration im Dialog SPS-Details: Falls eine WebVisu über den Automation Server betrieben werden soll, muss der WebVisu-Benutzer auch in der Benutzerkonfiguration des CODESYS Automation Server eingetragen sein. Siehe hierzu: Visualisierungsbenutzer für Webvisualisierung hinzufügen

AWS als Cloud-Anbieter mit modernsten Security-Funktionalitäten nach internationalen Standards.

Sicherheitshinweise und Anleitungen zum ersten Einrichten der Verbindung des Edge-Gateways mit dem Server finden Sie auf folgender Hilfeseite:

Edge-Gateway mit dem Server verbinden und Steuerungen eintragen