Cifrar la comunicación con un certificado y cambiar la política de seguridad

Requisito:

1. En el árbol de dispositivos, haga doble clic en el controlador.

   Se abre el editor de dispositivos.

2. Haga clic en el Configuración de comunicación pestaña.

3. En el Dispositivo menú, asegúrese de lo siguiente:

   • El Comunicación cifrada la configuración está habilitada.

   • En consecuencia, el Imponga la comunicación cifrada la opción está habilitada en Usuario pestaña del Pantalla de seguridad.

4. En el Configuración de comunicación en la pestaña, haga clic en Escanear red botón.

5. Seleccione un controlador.

   Se abre un cuadro de diálogo para notificarle que el certificado del dispositivo no tiene una firma confiable para la comunicación. Se le preguntará si desea instalar este certificado como de confianza en la administración de certificados local de su ordenador (opción 1) o si desea aceptar una sesión únicamente para este certificado (opción 2).

   Importante

   Un certificado de controlador instalado de esta manera es válido solo durante 30 días. Esto le da tiempo para las siguientes soluciones a largo plazo:

   • Cree un certificado autofirmado adicional con un período de tiempo más largo (por ejemplo, 365 días). Puedes hacerlo en la pantalla de seguridad aunque ya exista un certificado. Como alternativa, también puede utilizar los comandos del shell del PLC en el editor de dispositivos.

     Consulte las dos secciones siguientes:

     «Configurar un certificado de controlador con un período de validez más prolongado para la comunicación cifrada...

   • Importe un certificado firmado por una autoridad certificadora. Actualmente, esto solo es posible mediante los comandos de la consola del PLC del motor de ejecución. El sistema de ejecución se asegura de que al menos un certificado autofirmado esté disponible inicialmente para que la comunicación cifrada sea posible desde el principio. A continuación, puede reemplazar este certificado por uno firmado por una autoridad certificadora

6. Si desea instalar el certificado, seleccione la opción 1 en el paso 5 y haga clic OK para confirmar la línea de diálogo.

   El certificado aparece como de confianza. Tras aceptar el certificado autofirmado por primera vez, puede establecer una conexión cifrada con el controlador una y otra vez sin tener que volver a solicitarlo

   Se abre un cuadro de diálogo con el aviso de que se requiere una gestión de usuarios para el dispositivo, pero aún no está habilitada. Se le pedirá que habilite la administración de usuarios si lo desea. Se muestra el aviso de que, en este caso, debe crear una nueva cuenta de administrador y luego iniciar sesión como este usuario.

7. Hacer clic sí para cerrar el mensaje de diálogo.

   El Agregar usuario de dispositivo Se abre el cuadro de diálogo para crear un administrador de dispositivos inicial.

8. Cree un usuario del dispositivo para editar la administración de usuarios como este usuario. En este caso, solo el Administrador el grupo está disponible. Defina un Nombre y Contraseña para el usuario del dispositivo. Se muestra la seguridad de la contraseña. Tenga en cuenta también las opciones configuradas en relación con el cambio de contraseña. De forma predeterminada, el usuario puede cambiar la contraseña en cualquier momento. Haga clic OK para confirmar.

   El Inicio de sesión de usuario del dispositivo se abre el cuadro de diálogo.

9. Especifique las credenciales del nuevo administrador del dispositivo que definió en el paso anterior.

   Ha iniciado sesión en el controlador. Sobre el Usuarios y Grupos pestaña, puede hacer clic en el para cambiar al modo sincronizado. La gestión de usuarios del dispositivo se muestra allí y puede editarla.

   Después de hacer clic OK para confirmar, la gestión de usuarios del dispositivo se muestra en la vista del editor. Contiene el usuario del Administrador grupo que acaba de definir. El nombre de este usuario también se muestra en la barra de tareas de la ventana como Usuario del dispositivo.

   Sugerencia

   Cuando haya iniciado sesión como usuario del dispositivo del grupo de administradores que acaba de crear, puede crear usuarios y grupos adicionales.

10. Todos los certificados de controlador guardados (del paso 6) se almacenan en el almacén de certificados de Windows local de su equipo. Puede acceder a esta memoria mediante certmgr.msc comando en Windows Ejecute cuadro de diálogo.

    Todos los certificados registrados para la comunicación cifrada con los controladores se enumeran aquí en Certificados de controlador.

Requisito: Está conectado al controlador.

1. Primero, verifica si ya hay un certificado calificado en el controlador. Si no hay ningún certificado disponible, cree uno nuevo.

   Abra el editor de dispositivos haciendo doble clic en el controlador en el árbol de dispositivos y seleccione el Carcasa del PLC pestaña.

   La pestaña se muestra con una ventana vacía. Debajo hay una línea de comando.

2. Especifica el cert-getapplist comando en la línea de comando.

   Se enumeran todos los certificados usados. La lista incluye información sobre el componente de tiempo de ejecución y si el certificado está disponible o no.

3. Si aún no existe un certificado para el componente CmpSecureChannel, luego escriba el siguiente comando en la línea de entrada:

   cert-genselfsigned <number of the component in the applist>

   De lo contrario, vaya directamente al paso 5.

4. Haga clic en el Tronco pestaña y luego haga clic en el botón de actualización.

   La pantalla muestra si el certificado se generó correctamente o no.

5. Cambiar de nuevo a la Carcasa del PLC pestaña y escriba el comando cert-getapplist.

   El nuevo certificado para el componente. CmpSecureChannel se visualiza.

6. En los próximos dos pasos, active la comunicación encriptada en la pantalla de seguridad de CODESYS.

7. En la barra de estado, haga doble clic para abrir el Pantalla de seguridad.

8. Sobre el Usuario pestaña, seleccione la Hacer cumplir la comunicación cifrada opción en el Nivel de seguridad grupo.

   La comunicación con todos los controladores está encriptada. Si no hay un certificado en un controlador, entonces no puede iniciar sesión en él.

   La línea de conexión entre el sistema de desarrollo, la puerta de enlace y el controlador se muestra en amarillo en la Configuración de comunicación pestaña del editor de dispositivos del controlador.

9. Como alternativa a la Hacer cumplir la comunicación cifrada opción que se aplica a todos los controladores, también puede definir la comunicación cifrada solo para controladores específicos. Para hacer esto, seleccione el Configuración de comunicación pestaña en el editor del controlador respectivo. Luego haga clic Comunicación encriptada en el Dispositivo cuadro de lista.

   La comunicación con este controlador está encriptada. Si no hay un certificado en el controlador, no podrá iniciar sesión en él.

   La línea de conexión entre el sistema de desarrollo, la puerta de enlace y el controlador se muestra en amarillo en la Configuración de comunicación pestaña del editor de dispositivos del controlador.

10. Al iniciar sesión en el controlador por primera vez, se abre un cuadro de diálogo con la información de que el certificado del controlador no está firmado por una autoridad de confianza. Además, el cuadro de diálogo muestra información sobre el certificado y le pide que lo instale como certificado de confianza en la versión local Windows Certificate Store en el Certificados de controlador carpeta.

    Cuando confirma el cuadro de diálogo, el certificado se instala en el almacén local y usted inicia sesión en el controlador.

    En el futuro, la comunicación con el controlador se cifrará automáticamente con este certificado de control.

11. Para aumentar la seguridad del intercambio de claves para controladores anteriores a la versión 3.5.13.0, puede generar parámetros Diffie-Hellman en el controlador. cert-gendhparams en la línea de entrada.

    Esto ya no es necesario para los controladores >= V3.5.13.0.

    Importante

    Precaución: la generación de los parámetros Diffie-Hellman puede durar varios minutos o incluso varias horas. Sin embargo, este proceso debe ejecutarse solo una vez para cada controlador. Los parámetros Diffie-Hellman aumentan la seguridad para el intercambio de claves y para futuros ataques contra el muestreo de datos cifrados.

Requisito: La conexión con el dispositivo está establecida. El dispositivo admite la comunicación cifrada.

1. En el árbol de dispositivos, haga doble clic en el controlador.

   Se abre el editor de dispositivos.

2. Haga clic en el Configuración de comunicación pestaña.

3. Abra el Dispositivo menú en la cabecera del editor. Haga clic en Cambiar la política de seguridad en tiempo de ejecución comando.

   El Cambiar la política de seguridad en tiempo de ejecución se abre el cuadro de diálogo.

4. En el Comunicación área, puedes elegir entre los ajustes Cifrado opcional, Cifrado forzado (recomendado) y Sin encriptación.

   Cuando el Comunicación cifrada si se selecciona esta opción, la línea de conexión entre el sistema de desarrollo, la puerta de enlace y el dispositivo se resalta en el editor en negrita y en color en la representación gráfica.

5. En la parte inferior del cuadro de diálogo, en Administración de usuarios del dispositivo área, puede alternar entre Administración de usuarios opcional y Administración de usuarios forzada ajustes.

   Sugerencia

   Como alternativa a la Cambiar la política de seguridad en tiempo de ejecución en el cuadro de diálogo del editor del dispositivo, también puede habilitar/deshabilitar el Imponga la comunicación cifrada configurando el Pantalla de seguridad.