Procédure : Gérer les certificats pour l’IDE et l’automate programmable
Les certificats de chiffrement dans CODESYS Development System Pour la communication avec l'automate programmable, le certificat peut être auto-signé ou signé par une autorité de certification. Le niveau de certification utilisé dépend des exigences de sécurité. Vous pouvez créer des certificats avec des outils spécifiques ou dans le système. CODESYS environnement.
Certificats signés par un CA
Les certificats signés par une autorité de certification doivent être créés par un organisme externe de confiance. Autorité de certification (CA) ou par une CA située dans les locaux de l'opérateur. Pour obtenir un certificat signé par une CA, vous pouvez envoyer un certificat auto-généré à une CA via un Demande de signature de certificat (CSR) puis réinstallez-le sur votre ordinateur ou sur l'automate programmable.
Extensions pour les CA
L'autorité de certification utilise les données provenant de Demande de signature de certificat (CSR) pour créer le certificat X.509 pour l'automate programmable. Lors de la signature de la CSR, le transfert des extensions x509v3 suivantes est requis :
Utilisation clé, Utilisation étendue des clés, Nom alternatif du sujet, chacun avec le Critique drapeau
Certificats auto-signés
Vous pouvez créer vous-même des certificats auto-signés avec votre propre clé privée. Ils ne sont pas signés par une autorité de certification. Lorsque vous créez des certificats auto-signés dans le CODESYS Dans cet environnement, vous bénéficiez de l'aide de boîtes de dialogue et d'assistants de chiffrement.
Astuce
Un certificat auto-signé est utile à des fins de test. Il peut également servir de solution temporaire en attendant l'obtention d'un certificat signé par une autorité de certification.
Stockage des certificats dans le magasin de certificats Windows
Gestion des certificats sur l'ordinateur Windows local
Certificats valides pour le chiffrement d'un CODESYS projet et pour l'échange entre le PLC et CODESYS Development System doit être stocké dans le magasin de certificats Windows local (certmgr ) sur votre ordinateur.
Astuce
Pour installer un certificat depuis votre système de fichiers local dans le magasin de certificats Windows, double-cliquez sur le fichier dans son répertoire. L'assistant d'importation vous guidera ensuite.
Pour plus d'informations, consultez les documents suivants : Certificats du PLC
Le Écran de sécurité fournit une interface pour la gestion des certificats pour le projet ainsi que pour les certificats requis pour la communication avec le PLC. Dans le cas d'une communication entre CODESYS et le PLC, le Écran de sécurité fournit une alternative aux commandes correspondantes dans Coque PLC de l'éditeur de périphériques.
Gestion des certificats sur l'automate programmable C'est la responsabilité de l'opérateur du système.
Qu'est-ce qui peut être chiffré ou signé avec des certificats ?
Dans le CODESYS Package Designer Ajouter sur | |
Par le biais du Paramètres du projet dialogue | |
En utilisant les fonctions de | |
Lors de l'enregistrement en tant que fichier de bibliothèque compilé | |
Code d'application, application de démarrage, télécharger le code source, modification en ligne | Dans ce cas, une assistance immédiate pour la création d'un certificat est fournie par un assistant de chiffrement. Propriétés dialogue de l'application. |
Communication entre le système de programmation et l'automate programmable | Une assistance immédiate pour la création d'un certificat permettant une communication chiffrée avec le contrôleur est fournie lors de votre première connexion à un contrôleur protégé. Ce certificat n'est valable que temporairement. |
Vous recevrez des instructions pour configurer la communication chiffrée par certificat à partir de la version V1.35.0.0 de CODESYS Automation Server soutien dans le Configuration rapide dialogue. | |
Dans le Écran de sécurité, sur le Appareils onglet, ou via le Pour qu'un certificat soit considéré comme sécurisé par le navigateur, il doit être signé par une autorité de certification (AC) de confiance. | |
Assistance immédiate dès le premier démarrage si le système d'exécution requiert une communication chiffrée. | |
Dans le Écran de sécurité Lors de la signature de la CSR, le transfert des extensions x509v3 suivantes de la CSR est requis :
Chacun avec le | |
Dans le Référentiel d'éléments de visualisation dialogue |
Certificats du PLC
Confidentialité
Lors de la gestion des certificats d'automate programmable, il est essentiel de bien définir les rôles des utilisateurs. L'opérateur système doit s'assurer que seul un utilisateur disposant des droits d'administrateur système peut configurer et renouveler les certificats dans le magasin de certificats de l'automate. Seul un administrateur système peut également modifier la liste de révocation des certificats de l'automate.
Seul l'administrateur système est autorisé à créer, renouveler ou modifier les certificats figurant dans la liste de révocation des certificats. L'accès au magasin de certificats de l'automate programmable est essentiel à la sécurité.
Stockage des certificats PLC dans le magasin de certificats Windows
La configuration du magasin de certificats de l'automate programmable définit les cas d'utilisation pour lesquels l'automate exige des certificats valides. Ces certificats doivent être installés sur votre ordinateur, dans le magasin de certificats local de Windows.
CODESYS facilite la création et la gestion des certificats PLC nécessaires à l'aide d'assistants de chiffrement et du Écran de sécuritévue, Appareils onglet. Vous pouvez également utiliser le Coque PLC commandes de l'éditeur de périphériques. Sur les deux sites, vous pouvez consulter le magasin de certificats de l'automate actuellement connecté et créer des certificats. Les deux sites fournissent également un aperçu de tous les « cas d'utilisation » de l'automate pour lesquels un certificat est requis. Ils indiquent si un certificat existe déjà. Exemples de cas d'utilisation : Communication cryptée, Serveur OPC UA.
Dans chaque cas d'utilisation, CODESYS vérifie d'abord si les certificats requis sont disponibles en tant que certificats de confiance dans le système local. Magasin de certificats Windows.
Certificats auto-signés
Si aucun certificat valide n'a encore été installé localement sur l'automate programmable pour une application, vous pouvez générer un certificat auto-signé sur le Écran de sécurité ou via le Coque PLC sur le contrôleur afin que vous puissiez continuer à l'utiliser immédiatement. Le certificat auto-signé sera d'abord créé dans le My Certificates catégorie. Ensuite, vous pouvez le déplacer vers la Certificats de confiance classer les certificats afin que l'automate programmable leur fasse confiance ultérieurement. Par exemple, certains certificats sont classés comme non fiables en raison d'une liste noire, ou mis en quarantaine pour vérification explicite car l'automate programmable n'a pas pu les contrôler immédiatement. Une fois la vérification terminée, vous pouvez déplacer les certificats vers la catégorie Certificats de confiance catégorie. Vous pouvez également supprimer des certificats du PLC.
Pour plus d'informations, veuillez consulter les documents suivants : Génération de certificats auto-signés
Certificats CA
Pour atteindre un niveau de sécurité plus élevé, vous devriez remplacer un certificat auto-signé par un certificat. certificat signé par un CA Si vous ne possédez pas encore de certificat signé par une autorité de certification, vous pouvez en demander un auprès d'un bureau d'autorité de certification (Demande de signature de certificat, CSR). Pour ce faire, exportez le fichier de certificat PLC correspondant depuis le Écran de sécurité ou via le Coque PLC sur le système de fichiers local. Une fois le certificat d'autorité de certification signé reçu, importez-le à nouveau dans le magasin de certificats PLC et dans le magasin de certificats Windows local.
La création directe d'une RSE est possible via le Coque PLC et dans CODESYS Security Agent V1.4.0.0 et versions supérieures également disponibles Écran de sécurité (Appareils languette).
Notez que le certificat signé par une autorité de certification a appliqué les entrées suivantes du CSR : Key Usage, Extended Key Usage, Subject Alternative Name, chacune dotée du Critical drapeau.
Pour plus d'informations, consultez les documents suivants :
Numérisation automatique des certificats
Plusieurs certificats pour un même cas d'utilisation
Si plusieurs certificats sont disponibles sur l'automate pour un cas d'utilisation, le système utilise les étapes ordonnées suivantes pour déterminer le certificat à utiliser :
Utilisation du certificat créé directement par l'utilisateur. (Non pris en compte actuellement !)
Filtrage des certificats existants par :
Objet (utilisateur du certificat)
Utilisation des clés
Utilisation étendue des clés
Horodatage valide
Division des certificats valides détectés en deux catégories : « signés » et « auto-signés »
Filtrage des certificats signés, puis des certificats auto-signés, selon les critères suivants :
Période de validité la plus longue
Clé la plus forte
Renouvellement des certificats
L'opérateur du système doit s'assurer qu'un certificat est renouvelé à temps. Pour plus d'informations, voir : Renouveler un certificat
Liste de révocation des certificats
La liste de révocation des certificats ne peut actuellement être modifiée que via l'interface PLC Shell. Seul l'administrateur système de l'opérateur système devrait pouvoir modifier cette liste.
Astuce
Pour une référence des fonctions de Écran de sécurité, voir ce qui suit : Écran de sécurité
Pour une référence des fonctions du shell PLC, voir : Coque PLC
chaînes de certificats
Un ou plusieurs certificats d'autorité de certification intermédiaires existent entre l'autorité de certification racine et le certificat final du serveur ou du client OPC UA. Cette couche intermédiaire de certificats peut être facilement révoquée et remplacée si nécessaire, sans qu'il soit nécessaire de modifier l'autorité de certification racine.
La prise en charge des chaînes de certificats est une mesure importante pour améliorer la convivialité et simplifier la configuration.
Outre le certificat X.509 proprement dit, les chaînes de certificats contiennent également les certificats d'autorité de certification intermédiaires et racine. Ces certificats supplémentaires sont nécessaires pour valider l'ensemble de la chaîne jusqu'aux autorités de certification racine de confiance. Un certificat X.509 est un certificat numérique unique qui identifie une entité spécifique (par exemple, un utilisateur, un appareil ou un logiciel).
Outre le certificat X.509 proprement dit, les chaînes de certificats contiennent également les certificats d'autorité de certification intermédiaires et racine. Ces certificats supplémentaires sont nécessaires pour valider l'ensemble de la chaîne jusqu'aux autorités de certification racine de confiance. Un certificat X.509 est un certificat numérique unique qui identifie une entité spécifique (par exemple, un utilisateur, un appareil ou un logiciel).
Il n'est pas nécessaire de transférer les certificats intermédiaires de l'autorité de certification vers l'automate programmable. Cela simplifie la configuration.
Il suffit que des certificats racine de confiance (provenant d'une autorité de certification racine) soient configurés sur l'automate programmable.
Si une chaîne change, par exemple parce qu'un certificat intermédiaire a expiré, il n'est pas nécessaire de reconfigurer le certificat intermédiaire sur l'automate de validation.