Skip to main content

Procédure : Gérer les certificats pour l’IDE et l’automate programmable

Les certificats de chiffrement dans CODESYS Development System Pour la communication avec l'automate programmable, le certificat peut être auto-signé ou signé par une autorité de certification. Le niveau de certification utilisé dépend des exigences de sécurité. Vous pouvez créer des certificats avec des outils spécifiques ou dans le système. CODESYS environnement.

Certificats signés par un CA

Les certificats signés par une autorité de certification doivent être créés par un organisme externe de confiance. Autorité de certification (CA) ou par une CA située dans les locaux de l'opérateur. Pour obtenir un certificat signé par une CA, vous pouvez envoyer un certificat auto-généré à une CA via un Demande de signature de certificat (CSR) puis réinstallez-le sur votre ordinateur ou sur l'automate programmable.

Extensions pour les CA

L'autorité de certification utilise les données provenant de Demande de signature de certificat (CSR) pour créer le certificat X.509 pour l'automate programmable. Lors de la signature de la CSR, le transfert des extensions x509v3 suivantes est requis :

Utilisation clé, Utilisation étendue des clés, Nom alternatif du sujet, chacun avec le Critique drapeau

Certificats auto-signés

Vous pouvez créer vous-même des certificats auto-signés avec votre propre clé privée. Ils ne sont pas signés par une autorité de certification. Lorsque vous créez des certificats auto-signés dans le CODESYS Dans cet environnement, vous bénéficiez de l'aide de boîtes de dialogue et d'assistants de chiffrement.

Astuce

Un certificat auto-signé est utile à des fins de test. Il peut également servir de solution temporaire en attendant l'obtention d'un certificat signé par une autorité de certification.

Stockage des certificats dans le magasin de certificats Windows

Gestion des certificats sur l'ordinateur Windows local

Certificats valides pour le chiffrement d'un CODESYS projet et pour l'échange entre le PLC et CODESYS Development System doit être stocké dans le magasin de certificats Windows local (certmgr ) sur votre ordinateur.

Astuce

Pour installer un certificat depuis votre système de fichiers local dans le magasin de certificats Windows, double-cliquez sur le fichier dans son répertoire. L'assistant d'importation vous guidera ensuite.

Pour plus d'informations, consultez les documents suivants : Certificats du PLC

Le Écran de sécurité fournit une interface pour la gestion des certificats pour le projet ainsi que pour les certificats requis pour la communication avec le PLC. Dans le cas d'une communication entre CODESYS et le PLC, le Écran de sécurité fournit une alternative aux commandes correspondantes dans Coque PLC de l'éditeur de périphériques.

Gestion des certificats sur l'automate programmable C'est la responsabilité de l'opérateur du système.

Qu'est-ce qui peut être chiffré ou signé avec des certificats ?

Tableau 1. Avec références aux éléments de soutien CODESYS composants

Emballer

Dans le CODESYS Package Designer Ajouter sur

Projet

Par le biais du Paramètres du projet dialogue

Points d'utilisation individuels dans le projet

En utilisant les fonctions de CmpX509Cert.library bibliothèque

Bibliothèque

Lors de l'enregistrement en tant que fichier de bibliothèque compilé

Code d'application, application de démarrage, télécharger le code source, modification en ligne

Dans ce cas, une assistance immédiate pour la création d'un certificat est fournie par un assistant de chiffrement. Propriétés dialogue de l'application.

Communication entre le système de programmation et l'automate programmable

Une assistance immédiate pour la création d'un certificat permettant une communication chiffrée avec le contrôleur est fournie lors de votre première connexion à un contrôleur protégé. Ce certificat n'est valable que temporairement.

Communication entre le connecteur du serveur d'automatisation via la passerelle Edge et le serveur d'automatisation

Vous recevrez des instructions pour configurer la communication chiffrée par certificat à partir de la version V1.35.0.0 de CODESYS Automation Server soutien dans le Configuration rapide dialogue.

Communication entre WebVisu et le navigateur web

Dans le Écran de sécurité, sur le Appareils onglet, ou via le CmpOpenSSL composant du système d'exécution

Pour qu'un certificat soit considéré comme sécurisé par le navigateur, il doit être signé par une autorité de certification (AC) de confiance.

Communication entre un projet et un TargetVisu distant

Assistance immédiate dès le premier démarrage si le système d'exécution requiert une communication chiffrée.

Communication via serveur OPC UA

Dans le Écran de sécurité

Lors de la signature de la CSR, le transfert des extensions x509v3 suivantes de la CSR est requis :

Key Usage

Extended Key Usage

Subject Alternative Name

Chacun avec le Critical drapeau

Élément de visualisation : HTML5

Dans le Référentiel d'éléments de visualisation dialogue



Certificats du PLC

Confidentialité

Lors de la gestion des certificats PLC, le rôle de l'utilisateur doit être différencié. L'opérateur du système doit s'assurer que seul un utilisateur ayant le rôle d'administrateur système peut configurer et renouveler les certificats dans le magasin de certificats PLC.

Seul l'administrateur système est autorisé à créer, renouveler ou modifier les certificats figurant dans la liste de révocation des certificats. L'accès au magasin de certificats de l'automate programmable est essentiel à la sécurité.

Stockage des certificats PLC dans le magasin de certificats Windows

La configuration du magasin de certificats PLC définit les cas d'utilisation pour lesquels l'API attend des certificats valides. Installez les certificats nécessaires à cette fin sur votre ordinateur dans le magasin de certificats Windows local.

CODESYS simplifie la délivrance et la gestion des certificats PLC nécessaires. Pour ce faire, utilisez les assistants de chiffrement et le Appareils onglet dans Écran de sécurité voir. Alternativement, vous pouvez également utiliser le Coque PLC commandes de l'éditeur de périphériques pour ce faire. Sur les deux sites, vous verrez le magasin de certificats de l'automate actuellement connecté et pourrez y émettre des certificats. Les deux sites fournissent également un aperçu de tous les « cas d'utilisation » de l'automate pour lesquels un certificat est requis. Ils indiquent si un certificat existe déjà. Voici des exemples de cas d'utilisation Communication cryptée et Serveur OPC UA.

Dans chaque cas d'utilisation, CODESYS vérifie d'abord si les certificats requis sont disponibles en tant que certificats de confiance dans le système local. Magasin de certificats Windows.

Certificats auto-signés

Si vous ne possédez pas d'autorité de certification (CA), vous pouvez signer les certificats vous-même. Si aucun certificat valide n'est installé sur l'automate pour un cas d'utilisation, par exemple pour le serveur OPC UA, vous pouvez émettre un certificat auto-signé. Pour ce faire, utilisez soit le Écran de sécurité ou le Coque PLC dans CODESYS. Le certificat auto-signé sera émis dans le Cas d'utilisation catégorie.

Un cas d'utilisation courant pour les applications serveur/client consiste à émettre une demande de signature de certificat (CSR) ou un certificat auto-signé sur l'automate agissant en tant que serveur. Ensuite, le certificat est téléchargé par l'automate agissant en tant que serveur sur le PC avec CODESYS et téléchargé de là sur l'automate agissant en tant que client. Pour que le client fasse confiance au serveur, le certificat doit être déplacé au niveau de confiance Fiable Notez que les certificats peuvent également être déplacés vers d'autres niveaux de confiance.

Par exemple, les certificats sont classés comme non fiables en raison d'une CRL, ou ils sont en quarantaine pour une vérification explicite car l'automate lui-même n'a pas pu les vérifier immédiatement. Une fois la vérification terminée, vous pouvez déplacer les certificats vers Certificats fiables catégorie. Vous pouvez également supprimer des certificats de l'automate programmable.

Pour plus d'informations, veuillez consulter les documents suivants : Procédure : générer des certificats auto-signés

Certificats signés par une autorité de certification

Pour atteindre un niveau de sécurité plus élevé, vous devez remplacer un certificat auto-signé par un Certificat signé par une autorité de certification. Si vous ne possédez pas encore de certificat signé par une autorité de certification, vous pouvez en demander un auprès d'une autorité de certification. Pour ce faire, exportez les RSE à partir du Écran de sécurité ou via Coque PLC vers le système de fichiers local. Une fois le certificat signé par une autorité de certification renvoyé, réimportez-le dans le magasin de certificats PLC et dans le magasin de certificats Windows local

La création directe d'une RSE est possible via le Coque PLC et dans CODESYS Security Agent V1.4.0.0 et versions supérieures également disponibles Écran de sécurité (Appareils languette).

Note

Au cours du processus de signature, l'autorité de certification applique toutes les extensions du CSR au certificat sans aucune modification. Utilisation des clés, Utilisation étendue des clés, et Nom alternatif du sujet les champs doivent être conservés avec leurs Critique drapeau. L'autorité de certification ne doit supprimer aucun de ces champs.

Numérisation automatique des certificats

Plusieurs certificats pour un même cas d'utilisation

Si plusieurs certificats sont disponibles sur l'automate pour un cas d'utilisation, le système utilise les étapes ordonnées suivantes pour déterminer le certificat à utiliser :

  1. Utilisation du certificat créé directement par l'utilisateur. (Non pris en compte actuellement !)

  2. Filtrage des certificats existants par :

    • Objet (utilisateur du certificat)

    • Utilisation des clés

    • Utilisation étendue des clés

    • Horodatage valide

  3. Division des certificats valides détectés en deux catégories : « signés » et « auto-signés »

  4. Filtrage des certificats signés, puis des certificats auto-signés, selon les critères suivants :

    • Période de validité la plus longue

    • Clé la plus forte

Renouvellement des certificats

L'opérateur du système doit s'assurer qu'un certificat est renouvelé à temps. Pour plus d'informations, voir : Comment : renouveler un certificat

Liste de révocation des certificats

La liste de révocation des certificats ne peut actuellement être modifiée que via l'interface PLC Shell. Seul l'administrateur système de l'opérateur système devrait pouvoir modifier cette liste.

Astuce

Pour une référence des fonctions de Écran de sécurité, voir ce qui suit : Écran de sécurité

Pour une référence des fonctions du shell PLC, voir : Coque PLC

chaînes de certificats

Un ou plusieurs certificats d'autorité de certification intermédiaires existent entre l'autorité de certification racine et le certificat final du serveur ou du client OPC UA. Cette couche intermédiaire de certificats peut être facilement révoquée et remplacée si nécessaire, sans qu'il soit nécessaire de modifier l'autorité de certification racine.

La prise en charge des chaînes de certificats est une mesure importante pour améliorer la convivialité et simplifier la configuration.

Outre le certificat X.509 proprement dit, les chaînes de certificats contiennent également les certificats d'autorité de certification intermédiaires et racine. Ces certificats supplémentaires sont nécessaires pour valider l'ensemble de la chaîne jusqu'aux autorités de certification racine de confiance. Un certificat X.509 est un certificat numérique unique qui identifie une entité spécifique (par exemple, un utilisateur, un appareil ou un logiciel).

Outre le certificat X.509 proprement dit, les chaînes de certificats contiennent également les certificats d'autorité de certification intermédiaires et racine. Ces certificats supplémentaires sont nécessaires pour valider l'ensemble de la chaîne jusqu'aux autorités de certification racine de confiance. Un certificat X.509 est un certificat numérique unique qui identifie une entité spécifique (par exemple, un utilisateur, un appareil ou un logiciel).

  • Il n'est pas nécessaire de transférer les certificats intermédiaires de l'autorité de certification vers l'automate programmable. Cela simplifie la configuration.

  • Il suffit que des certificats racine de confiance (provenant d'une autorité de certification racine) soient configurés sur l'automate programmable.

  • Si une chaîne change, par exemple parce qu'un certificat intermédiaire a expiré, il n'est pas nécessaire de reconfigurer le certificat intermédiaire sur l'automate de validation.