Chiffrement des communications à l'aide d'un certificat et modification de la politique de sécurité
Astuce
Pour crypter et/ou signer d'abord le code de l'application, consultez les instructions suivantes : Chiffrer l'application.
Les instructions suivantes concernent la configuration et la gestion des communications cryptées entre le système de programmation et l'automate programmable.
Exigence :
La communication cryptée avec le contrôleur et la gestion des utilisateurs sont appliquées au contrôleur.
Il n'existe pas encore de mot de passe individuel.
Aucun certificat n'a été installé sur votre ordinateur et la connexion au contrôleur n'a pas encore été configurée. CODESYS Security Agent est installé.
Dans l'arborescence des appareils, double-cliquez sur le contrôleur.
L'éditeur d'appareils s'ouvre.
Clique le Paramètres de communication languette.
Dans le Appareil menu, assurez-vous des points suivants :
Le Communication cryptée le réglage est activé.
En conséquence, le Renforcez les communications cryptées l'option est activée sur le Utilisateur onglet du Écran de sécurité.
Sur le Paramètres de communication onglet, cliquez sur le Réseau de numérisation bouton.
Sélectionnez un contrôleur.
Une boîte de dialogue s'ouvre pour vous informer que le certificat de l'appareil ne possède pas de signature fiable pour la communication. Il vous sera demandé si vous souhaitez installer ce certificat comme étant fiable dans la gestion des certificats locale de votre ordinateur (Option 1) ou accepter une session uniquement pour celui-ci (Option 2).
Important
Un certificat de contrôleur installé de cette manière n'est valide que pendant 30 jours. Cela vous laisse le temps de vous consacrer aux solutions à long terme suivantes :
Créez un certificat auto-signé supplémentaire d'une durée plus longue (par exemple, 365 jours). Vous pouvez le faire sur l'écran de sécurité même si un certificat existe déjà. Vous pouvez également utiliser les commandes du shell PLC dans l'éditeur de périphériques.
Consultez les deux sections ci-dessous :
« Configuration d'un certificat de contrôleur avec une période de validité plus longue pour les communications cryptées...
Importez un certificat signé par une autorité de certification. Cela n'est actuellement possible que via les commandes du shell PLC du moteur d'exécution. Le système d'exécution s'assure qu'au moins un certificat auto-signé est initialement disponible afin que la communication cryptée soit possible dès le départ. Vous pouvez ensuite remplacer ce certificat par un certificat signé par une autorité de certification
Si vous souhaitez installer le certificat, sélectionnez l'option 1 à l'étape 5 et cliquez sur OK pour confirmer l'invite de dialogue.
Le certificat est répertorié comme fiable. Après avoir accepté le certificat auto-signé pour la première fois, vous pouvez établir une connexion cryptée avec le contrôleur encore et encore sans autre invite
Une invite de dialogue s'ouvre avec l'avis qu'une gestion des utilisateurs est requise pour l'appareil, mais qu'elle n'est pas encore activée. Vous êtes invité à activer la gestion des utilisateurs si vous le souhaitez. L'avis s'affiche indiquant que dans ce cas, vous devez créer un nouveau compte administrateur, puis vous connecter en tant que cet utilisateur.
Cliquez sur Oui pour fermer l'invite de dialogue.
le Ajouter un utilisateur de périphérique La boîte de dialogue s'ouvre pour créer un administrateur de périphérique initial.
Créez un utilisateur de l'appareil afin de modifier la gestion des utilisateurs en tant que cet utilisateur. Dans ce cas, seul le Administrateur le groupe est disponible. Définissez un Nom et Mot de passe pour l'utilisateur de l'appareil. Le niveau de sécurité du mot de passe est affiché. Notez également les options définies concernant un changement de mot de passe. Par défaut, le mot de passe peut être modifié par l'utilisateur à tout moment. OK pour confirmer.
le Connexion de l'utilisateur de l'appareil la boîte de dialogue s'ouvre.
Spécifiez les informations d'identification du nouvel administrateur de l'appareil que vous avez défini à l'étape précédente.
Vous êtes connecté sur le contrôleur. Sur le Utilisateurs et groupes onglet, vous pouvez cliquer sur l'onglet
bouton pour passer en mode synchronisé. La gestion des utilisateurs de l'appareil y est affichée et vous pouvez la modifier.Après avoir cliqué d'accord pour confirmer, la gestion des utilisateurs de l'appareil s'affiche dans la vue de l'éditeur. Il contient l'utilisateur du Administrateur groupe que vous venez de définir. Le nom de cet utilisateur est également affiché dans la barre des tâches de la fenêtre sous la forme Utilisateur de l'appareil.
Astuce
Lorsque vous êtes connecté en tant qu'utilisateur de l'appareil au groupe d'administrateurs que vous venez de créer, vous pouvez créer des utilisateurs et des groupes supplémentaires.
Tous les certificats de contrôleur enregistrés (à partir de l'étape 6) sont stockés dans le magasin de certificats Windows local de votre ordinateur. Vous pouvez accéder à cette mémoire à l'aide du
certmgr.msccommande dans Windows Courez dialogue.Tous les certificats enregistrés pour la communication cryptée avec les contrôleurs sont répertoriés ici dans Certificats de contrôleur.
Exigences : Vous avez installé le CODESYS Security Agent. Vous souhaitez remplacer un certificat temporaire que vous avez créé lors de votre première connexion au contrôleur protégé par un certificat dont la durée de validité est plus longue.
Dans ce cas, le Écran de sécurité La vue fournit un onglet supplémentaire : Appareils. Cela permet de configurer simplement les certificats pour la communication cryptée avec les contrôleurs. Consultez l'aide sur CODESYS Security Agent: Communication cryptée avec les appareils via des certificats de contrôleur.
Choisissez cette méthode moins pratique si vous n'avez pas CODESYS Security Agent. Dans ce cas, vous pouvez configurer un certificat avec une période de validité plus longue pour le cryptage des communications sur le Coque PLC onglet dans l'éditeur de périphériques.
Condition préalable : vous êtes connecté au contrôleur.
Dans un premier temps, vous vérifiez si un certificat qualifié est déjà sur le contrôleur. Si aucun certificat n'est disponible, vous créez un nouveau certificat.
Ouvrez l'éditeur d'appareils en double-cliquant sur le contrôleur dans l'arborescence des appareils et sélectionnez le Coque API languette.
L'onglet s'affiche avec une fenêtre vide. En dessous se trouve une ligne de commande.
Spécifie le
cert-getapplistcommande dans la ligne de commande.Tous les certificats utilisés sont répertoriés. La liste comprend des informations sur le composant d'exécution et indique si le certificat est disponible ou non.
Si un certificat n'existe toujours pas pour le composant
CmpSecureChannel, puis saisissez la commande suivante dans la ligne de saisie :cert-genselfsigned <number of the component in the applist>Sinon, passez directement à l'étape 5.
Clique le Enregistrer puis cliquez sur l'onglet
bouton de rafraîchissement.L'écran indique si le certificat a été généré avec succès ou non.
Revenez à la Coque API onglet et tapez la commande
cert-getapplist.Le nouveau certificat du composant
CmpSecureChannelest affiché.Dans les deux étapes suivantes, activez la communication cryptée dans l'écran de sécurité de CODESYS.
Dans la barre d'état, double-cliquez sur
pour ouvrir le Écran de sécurité.Sur le Utilisateur onglet, sélectionnez l'onglet Appliquer une communication cryptée possibilité dans le Niveau de sécurité grouper.
La communication avec tous les contrôleurs est cryptée. S'il n'y a pas de certificat sur un contrôleur, vous ne pouvez pas vous y connecter.
La ligne de liaison entre le système de développement, la passerelle et le contrôleur s'affiche en jaune sur le Paramètres de communication de l'éditeur d'appareils du contrôleur.
Comme alternative à la Appliquer une communication cryptée option qui s'applique à tous les contrôleurs, vous pouvez également définir une communication cryptée pour des contrôleurs spécifiques uniquement. Pour ce faire, sélectionnez le Paramètres de communication onglet dans l'éditeur du contrôleur respectif. Puis clique Communication cryptée dans le Appareil zone de liste.
La communication avec ce contrôleur est cryptée. S'il n'y a pas de certificat sur le contrôleur, vous ne pouvez pas vous y connecter.
La ligne de liaison entre le système de développement, la passerelle et le contrôleur s'affiche en jaune sur le Paramètres de communication de l'éditeur d'appareils du contrôleur.
Lorsque vous vous connectez au contrôleur pour la première fois, une boîte de dialogue s'ouvre avec des informations indiquant que le certificat du contrôleur n'est pas signé par une autorité de confiance. En outre, la boîte de dialogue affiche des informations sur le certificat et vous invite à l'installer en tant que certificat sécurisé dans le répertoire local
Windows Certificate Storedans le Certificats de contrôleur dossier.Lorsque vous confirmez la boîte de dialogue, le certificat est installé dans le magasin local et vous êtes connecté au contrôleur.
À l'avenir, la communication avec le contrôleur sera automatiquement cryptée avec ce certificat de contrôle.
Pour renforcer la sécurité lors de l'échange de clés pour les contrôleurs < V3.5.13.0, vous pouvez générer des paramètres Diffie-Hellman sur le contrôleur. Pour ce faire, tapez la commande
cert-gendhparamsdans la ligne de saisie.Ceci n'est plus nécessaire pour les contrôleurs >= V3.5.13.0.
Important
Attention : La génération des paramètres Diffie-Hellman peut durer plusieurs minutes voire plusieurs heures. Cependant, ce processus ne doit être exécuté qu'une seule fois pour chaque contrôleur. Les paramètres Diffie-Hellman augmentent la sécurité pour l'échange de clés et pour les futures attaques contre l'échantillonnage de données chiffrées.
Astuce
N'oubliez pas que tous les contrôleurs ne prennent pas en charge la désactivation des communications cryptées.
Important
Nous vous déconseillons vivement de désactiver les communications cryptées. En particulier dans le cadre d'une gestion des utilisateurs activée, les communications cryptées doivent être activées afin que les informations d'identification ne tombent pas entre de mauvaises mains.
Exigence : la connexion à l'appareil est établie. L'appareil prend en charge les communications cryptées.
Dans l'arborescence des appareils, double-cliquez sur le contrôleur.
L'éditeur d'appareils s'ouvre.
Clique le Paramètres de communication languette.
Ouvrez le Appareil menu dans l'en-tête de l'éditeur. Cliquez sur le Modifier la politique de sécurité d'exécution commande.
Le Modifier la politique de sécurité d'exécution une boîte de dialogue s'ouvre.
Dans le Communiquer zone, vous pouvez choisir entre les paramètres Chiffrement en option, Chiffrement forcé (recommandé), et Pas de cryptage.
Quand le Communication cryptée Si l'option est sélectionnée, la ligne de connexion entre le système de développement, la passerelle et le périphérique est surlignée dans l'éditeur en gras et en couleur dans la représentation graphique.
Dans la partie inférieure de la boîte de dialogue, Gestion des utilisateurs des appareils zone, vous pouvez basculer entre Gestion des utilisateurs en option et Gestion forcée des utilisateurs paramètres.
Astuce
Comme alternative au Modifier la politique de sécurité d'exécution boîte de dialogue dans l'éditeur de périphériques, vous pouvez également activer/désactiver Renforcez les communications cryptées réglage sur Écran de sécurité.