Comment : gérer les listes de révocation de certificats (CRL)
Liste de révocation des certificats (CRL)
Une liste de révocation de certificats (CRL) est une liste noire de certificats signés par l'émetteur (CA). L'émetteur a déclaré ces certificats non valides avant leur date d'expiration normale. Cela peut être dû à une clé privée compromise ou à un certificat remplacé, par exemple. Lorsqu'une connexion cryptée est établie, le système d'exécution vérifie le certificat croisé non seulement pour sa période de validité, mais également par rapport à la CRL de l'émetteur concerné. Si le certificat croisé figure dans la liste, le système d'exécution le rejettera. Chaque CRL possède une « Dernière mise à jour » et une « Mise à jour suivante ». La dernière mise à jour est la date de publication. La prochaine mise à jour correspond à l'heure que l'émetteur a indiquée pour la prochaine mise à jour de la liste. Passé ce délai, la CRL est considérée comme obsolète et doit être renouvelée
La source des CRL est l'émetteur concerné (CA). Les CRL sont fournies par l'émetteur et gérées dans le Security Agent
Indicateurs d'état
L'agent de sécurité met en évidence les CRL existantes en fonction de leur statut en couleur :
Vert : la CRL est valide (moins des 2/3 de l'intervalle de mise à jour se sont écoulés).
Jaune : il est recommandé de mettre à jour la CRL (au moins les 2/3 de l'intervalle de mise à jour sont écoulés).
Orange : la mise à jour de la CRL est urgente (au moins 90 % ou plus de l'intervalle de mise à jour est écoulé).
Rouge : la CRL est obsolète (la Prochaine mise à jour appartient au passé).
Chargement de la CRL sur l'appareil
Le projet est connecté au contrôleur avec un système d'exécution ≥ V3.5 SP22.
Le CODESYS Security Agent le module complémentaire est installé.
Cliquez sur Afficher → Écran de sécurité commande.
Cliquez sur Appareils onglet, puis cliquez sur le bouton d'actualisation (
).Sur le côté gauche, sélectionnez l'appareil correspondant.
Sélectionnez le Listes de révocation dossier.
Cliquez sur
bouton. Sélectionnez le .crlliste des certificats révoqués depuis le système de fichiers que vous souhaitez importer et cliquez sur Ouvrir.La CRL sera chargée dans le contrôleur et affichée dans la partie droite de l'éditeur ouvert. Toutes les CRL importées précédemment sont affichées sur le côté droit.
Sauvegarde d'une CRL depuis l'appareil
Sur le côté droit, sélectionnez la CRL souhaitée.
Cliquez sur
icône pour enregistrer la CRL sélectionnée sur le PC.In the Save As dialog, select the path and file name (default:
<issuer>.crl) and click OK to confirm.
Supprimer une CRL de l'appareil
Sur le côté droit, sélectionnez la CRL souhaitée.
Cliquez sur
icône pour supprimer la CRL sélectionnée.Pour des raisons de sécurité, confirmez les instructions.