Skip to main content

Demande et fourniture de certificats signés par une autorité de certification via le PLC Shell

Il n'est actuellement possible que via le shell PLC de l'éditeur de périphériques de créer un CSR pour un certificat PLC.

Important

Lors de la création d'un CSR (Certificate Signing Request), l'automate ajoute toutes les extensions X509 requises à la demande de signature de certificat. Par conséquent, une autorité de certification (CA) peut ajouter certaines extensions, mais ne peut pas omettre les extensions existantes. Si les extensions du CSR n'existent pas dans le certificat signé, il ne peut pas être utilisé par le PLC.

Notez que le certificat signé par une autorité de certification a appliqué les entrées suivantes du CSR : Key Usage, Extended Key Usage, Subject Alternative Name, chacune dotée du Critical Drapeau. Les extensions suivantes doivent être incluses dans le CSR : Key Usage, Extended Key Usage, Subject Alternative Name, chacune dotée du Critical drapeau.

  1. Tout d'abord, vous générez une demande de certificat pour tous les certificats ou composants requis (CSR = Certificate Signing Request). Ceux-ci peuvent également devenir des certificats clients (par exemple, pour le client OPC UA). Pour ce faire, cliquez sur Coque PLC onglet du contrôleur. Dans la ligne de saisie, saisissez cert-createcsr commande.

    Syntax: cert-createcsr [<number retrieved by \"cert-getapplist\">] [encoding=Base64 | ASN.1]

    <number retrieved by \"cert-getapplist\">

    Facultatif : Spécifiez le numéro d'un seul composant à partir de la sortie de cert -getapplist. S'il n'est pas spécifié, des certificats sont générés pour tous les composants générés.

    encoding=Base64 | ASN.1

    Facultatif : spécification du format d'exportation, paramètre standard : ASN.1.

    ANS.1: Format de fichier binaire pour les certificats, CRS et clés asymétriques.

    Base64: Représentation textuelle des données ASN.1, basée sur l'encodage Base64.

    Note

    Le format de fichier peut être spécifié par les autorités de certification. Ensuite, le CSR est automatiquement généré dans le format correct.

    Sinon, la conversion sans perte d'un format à l'autre est également possible. Par exemple en utilisant OpenSSL :

    openssl req -in <file name> -inform <DER|PEM> -out <file name_new> -outform <PEM|DER>

    DER correspond à ASN.1 PEM correspond à Base64

  2. Cliquez sur Journal onglet, puis cliquez sur _cds_icon_update.png bouton d'actualisation.

    Dans les entrées du journal, vous pouvez voir que les fichiers CSR ont été générés.

  3. Cliquez sur Dossiers onglet et ouvrez le chemin du fichier cert/export sur le côté droit de Durée d'exécution dialogue.

    Le export le dossier contient les fichiers CSR générés.

    Exemple : 0_CmpsecureChannl.csr, 1_CmpApp.csr, 2_CmpWebServer.csr

  4. Sélectionnez un chemin de fichier dans lequel vous souhaitez insérer les fichiers CSR dans la partie gauche du Hôte boîte de dialogue, marquez les fichiers CSR sur le côté droit de la boîte de dialogue, puis cliquez sur _cds_button_double_arrow_left.png.

    Les fichiers CSR sont copiés dans le dossier requis.

  5. Ces demandes de certificat peuvent être signées par une autorité de certification (CA). En conséquence, vous obtenez un certificat signé par l'autorité de certification.

  6. Dans les étapes qui suivent, vous importez ces certificats signés dans votre contrôleur.

    Note

    Après le redémarrage du contrôleur, les certificats signés par une autorité de certification sont utilisés automatiquement.

    Astuce

    Vous pouvez également utiliser le 0_Global: Produkt Security Agent pour transférer les certificats au contrôleur. Pour plus d'informations, consultez : CODESYS Security Agent

  7. Sélectionnez le Sentier cert/import sur le côté droit de Durée d'exécution dialogue.

  8. Sur le côté gauche de Hôte boîte de dialogue, sélectionnez le chemin dans le système de fichiers où vous avez enregistré les certificats signés et sélectionné les certificats.

  9. Cliquez _cds_button_double_arrow_right.png.

    Les certificats sont copiés sur cert/import dossier.

  10. Cliquez sur Coque PLC onglet.

  11. Type the cert-import own <file name of the certificate.cer> command in the input line of the tab and press the Enter key.

    The signed certificates are available to the runtime servers.

Note

Dans le fichier de configuration du contrôleur (par exemple, CODESYSControl.cfg), le nom de l'organisation peut être défini dans le certificat d'un serveur OPC UA avec l'entrée suivante :

[CmpOPCUAServer]

SECURITY.CompanyOrOrganizationName="<organization name>"

Si le CODESYS Security Agent est installé, il est alors également possible de modifier le Paramètres de communication dans l'onglet des paramètres de communication de l'éditeur d'appareils.

Dans cette section​: