How To: Security beim CODESYS Automation Server

Die Geräte werden nach außen vollständig gekapselt. Die gesamte externe Kommunikation erfolgt ausschließlich über das CODESYS Edge Gateway („Edge Gateway“). Direkte Zugriffe auf die Geräte selbst sind damit ausgeschlossen.

Der Datenaustausch zwischen dem CODESYS Automation Server, dem CODESYS Automation Server Connector und dem Edge Gateway, sowie zwischen den SPSen und dem Edge Gateway erfolgt TLS-verschlüsselt auf Basis von X.509-Zertifikaten. Die Konfiguration der Kommunikation zwischen dem CODESYS Automation Server und dem Edge Gateway erfolgt nur autorisiert und in sicherer Umgebung über Einstellungen in der Datei gateway.cfg.

Für die verschlüsselte Verbindung mit dem CODESYS Automation Server benötigt das Edge Gateway das CA-Zertifikat, welches das Zertifikat vom CODESYS Automation Server unterzeichnet hat. Da der CODESYS Automation Server bei AWS läuft und CODESYS das Zertifikat von AWS ausstellen lässt, gibt es 5 mögliche "Amazon Root CA" (Beispiel: CN=Amazon Root CA 1, 0=Amazon, C=US). Diese Zertifikate werden beim Verbinden des Edge Gateways mit dem CODESYS Automation Server über den CODESYS Automation Server Connector oder das CODESYS Service Tool automatisch im .pki-Verzeichnis abgelegt. Damit der Webbrowser die sichere Verbindung akzeptiert, muss das verwendete CA-Zertifikat auch im Browser oder Betriebssystem gültig vorliegen. Dies ist standardmäßig der Fall, weil AWS als vertrauenswürdig eingestuft ist. (Lokaler Windows Certificate Store, Kategorie Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate, Amazon Root CA...).

Die Ansicht SPSen - Gateways zeigt den Fingerabdruck des privaten Schlüssels, der im lokalen Zertifikatstore für das Root-Zertifikat der Steuerung erzeugt wurde.

Falls ein Zertifikat doch abgelaufen sein sollte, können Sie es in der Ansicht Edge-Gateway verbinden oder neu konfigurieren erneuern. Dazu muss das konfigurierte Edge-Gateway mit dem Automation Server verbunden und der Konfigurationsmodus aktiviert sein. Das neue Zertifikat ist 6 Monate gültig. Für weitere Informationen siehe: Edge-Gateway verbinden oder neu konfigurieren

Die verschlüsselte Verbindung zwischen dem Edge Gateway und der SPS kann direkt vom CODESYS Automation Server aus über die Quick Setup-Funktionalität eingerichtet werden. Das Quick Setup führt Sie Schritt für Schritt durch die erforderlichen Einstellungen und erzeugt dabei automatisch die notwendige TLS‑Konfiguration auf Basis von X.509‑Zertifikaten.

Eine Übersicht der Zertifikate aller mit dem Automation Server verbundenen Steuerungsgeräte gibt es in der Ansicht Security - Gerätezertifikate Gerätezertifikate auflisten, handhaben

Sie können die Signierungsanforderungen (CSR = Certificate Signing Request) einer Steuerung anzeigen lassen oder neue Anforderungen erstellen. Für weitere Informationen siehe: Ansicht: Security - Signierungsanforderungen

Für weitere Informationen zur generellen Handhabung von Zertifikaten siehe: How To: Zertifikate für IDE und SPS handhaben

Multi-Faktor-Authentifizierung auf dem Server zur doppelten Zugangsabsicherung.

Für weitere Informationen siehe: Anmelden auf dem Server mit Multifaktor-Authentifizierung

Konfigurierbare Benutzer- und Rechteverwaltung für die Zugriffskontrolle auf den Server und Server-Objekte.

Das Server-Passwort wird initial nach dem Kauf von CODESYS Automation Server vergeben. Sehen Sie dazu die Anleitung CODESYS Automation Server im CODESYS Store International bestellen.

Es kann vom Administrator zurückgesetzt werden. Für weitere Informationen siehe: Server-Passwort zurücksetzen

Das CODESYS Automation Server -Add-on benötigt für das Laden des ausführbaren Binärcodes auf die SPS immer eine Bootapplikation. Für den Schutz des Quellcodes gelten die aktuellen Funktionalitäten im CODESYS Development System

Eine Session im CODESYS Automation Server ist 10 Minuten gültig. Eine Session verlängert sich automatisch auf bis zu 24 Stunden Laufzeit, solange der Aktiv-Modus besteht (beispielsweise solange eine Registerkarte mit dem CODESYS Automation Server offen ist). Spätestens nach 24 Stunden wird die Session ungültig. Natürlich können Sie eine Session durch Ausloggen bewusst beenden.

Eine Passwortrichtlinie für die Vergabe sicherer Passwörter ist in der Benutzerverwaltung des Servers definiert.

Zugriff auf WebVisu-Benutzerkonfiguration im Dialog SPS-Details

Falls eine WebVisu über den Automation Server betrieben werden soll, muss der WebVisu-Benutzer auch in der Benutzerkonfiguration des CODESYS Automation Server eingetragen sein.

Für weitere Informationen siehe: Visualisierungsbenutzer für Webvisualisierung hinzufügen

AWS als Cloud-Anbieter mit modernsten Security-Funktionalitäten nach internationalen Standards

Sicherheitshinweise und Anleitungen zum ersten Einrichten der Verbindung des Edge-Gateways mit dem Server finden Sie auf folgender Hilfeseite:

Edge-Gateway mit dem Server verbinden und Steuerungen eintragen

Verschlüsselte Kommunikation zwischen Automation Server, Edge Gateway und Automation Connector

Das Zertifikat, das für die verschlüsselte Kommunikation zwischen dem Automation Server und dem Automation Connector (über das Edge-Gateway) benötigt wird, wurde bei der Installation des CODESYS Automation Server automatisch im lokalen PKI-Verzeichnis abgelegt. Üblicherweise ist es auch im benötigten Browser oder lokalen Zertifikatsspeicher gültig vorhanden, da AWS als vertrauenswürdiger Aussteller eingestuft ist.

Für weitere Informationen siehe: Edge-Gateway verbinden oder neu konfigurieren. Dort finden Sie Informationen zum Zertifikatsstatus und zur Funktion Zertifikat erneuern.

Für weitere Informationen siehe: Verschlüsselte Kommunikation mit dem Automation Server einrichten