Skip to main content

Certificats du PLC

Pour des informations générales sur les certificats figurant dans CODESYS Development System environnement, voir : Certificats pour CODESYS et PLC

Lors de la gestion des certificats PLC, le rôle de « l'utilisateur » doit être différencié. L'opérateur du système doit s'assurer que seul un utilisateur ayant le rôle d'administrateur système peut configurer et renouveler les certificats dans le magasin de certificats PLC. Seul un administrateur système peut également modifier la liste de révocation des certificats sur l'automate

Magasin de certificats de l'automate, Boutique de certificats Windows

La configuration du magasin de certificats PLC définit les cas d'utilisation pour lesquels l'API attend des certificats valides de la part de CODESYS Development System. Ils doivent ensuite être installés sur votre ordinateur en local Windows Certificate Store.

CODESYS facilite la création et la gestion des certificats PLC nécessaires à l'aide d'assistants de chiffrement et du Écran de sécuritévue, Appareils onglet. Vous pouvez également utiliser le Coque PLC commandes de l'éditeur de périphériques. Sur les deux sites, vous pouvez consulter le magasin de certificats de l'automate actuellement connecté et créer des certificats. Les deux sites fournissent également un aperçu de tous les « cas d'utilisation » de l'automate pour lesquels un certificat est requis. Ils indiquent si un certificat existe déjà. Exemples de cas d'utilisation : Communication cryptée, Serveur OPC UA.

Dans le cas d'utilisation, CODESYS vérifie d'abord si les certificats requis sont disponibles en tant que Certificats fiables au niveau local Windows Certificate Store.

Certificats auto-signés

Si aucun certificat valide n'a encore été installé localement sur l'automate pour une application, vous pouvez générer un certificat auto-signé sur le Écran de sécurité ou via le Coque PLC sur la manette afin que vous puissiez continuer à l'utiliser immédiatement. Le certificat auto-signé est initialement créé dans Own Certificates catégorie. Vous pouvez le déplacer ultérieurement vers le Trusted Certificates catégorie afin que le PLC lui fasse confiance à l'avenir. Par exemple, les certificats sont classés comme non fiables en raison d'une liste noire, ou ils sont placés en quarantaine pour une vérification explicite car l'automate lui-même n'a pas pu les vérifier immédiatement. Une fois la vérification terminée, vous pouvez déplacer les certificats vers Trusted Certificates catégorie. Vous pouvez également supprimer des certificats de l'automate programmable. Pour plus d'informations, voir : Génération de certificats auto-signés

Certificats signés par une autorité de certification

Pour atteindre un niveau de sécurité supérieur, vous devez remplacer un certificat auto-signé par un Certificat signé par une autorité de certification. Si vous ne possédez pas encore de certificat signé par une autorité de certification, vous pouvez en demander un auprès d'un bureau de l'autorité de certification (Certificate Signing Request, RSE). Pour ce faire, exportez le fichier de certificat PLC correspondant depuis le Écran de sécurité ou via le Coque PLC au système de fichiers local. Une fois le certificat CA signé renvoyé, réimportez-le dans le magasin de certificats PLC et dans le répertoire local Windows Certificate Store.

La génération directe d'un CSR est possible via le Coque SPS , et avec CODESYS Security Agent V1.4.0.0 ou supérieur également à partir de Écran de sécurité (onglet appareils). Pour plus d'informations, voir :

Notez que le certificat signé par une autorité de certification a appliqué les entrées suivantes du CSR : Key Usage, Extended Key Usage, Subject Alternative Name, chacune dotée du Critical drapeau.

Pour plus d'informations, voir : Demande et fourniture de certificats signés par une autorité de certification via le PLC Shell

Plusieurs certificats pour le même cas d'utilisation

Si plusieurs certificats sont disponibles sur l'automate pour un cas d'utilisation, le système utilise les étapes ordonnées suivantes pour déterminer le certificat à utiliser :

  • Certificat créé directement par l'utilisateur (actuellement non pris en charge)

  • Filtrage des certificats existants par :

    • Objet (utilisateur du certificat)

    • Utilisation des clés

    • Utilisation étendue des clés

    • Horodatage valide

  • Division des certificats valides détectés en deux catégories : « signés » et « auto-signés »

  • Filtrage des certificats signés et des certificats auto-signés selon les critères suivants :

    • Période de validité la plus longue

    • Clé la plus puissante

Renouvellement des certificats

L'opérateur du système doit s'assurer qu'un certificat est renouvelé à temps. Pour plus d'informations, voir : Renouveler un certificat

Liste des certificats révoqués

La liste des certificats révoqués ne peut actuellement être échangée que via le Coque PLC. Seul l'administrateur système de l'opérateur du système doit être en mesure d'échanger la liste noire

Astuce

Pour une référence des fonctions du Écran de sécurité, voir : Écran de sécurité

Pour une référence des fonctions du shell PLC, voir : Coque PLC

Dans cette section​: