Skip to main content

Certificati del PLC

Per informazioni generali sui certificati nel CODESYS Development System ambiente, vedere: Certificati per CODESYS e PLC

Nella gestione dei certificati PLC, il ruolo dell' "utente» deve essere differenziato. L'operatore di sistema deve assicurarsi che solo un utente nel ruolo di amministratore di sistema possa configurare e rinnovare i certificati nell'archivio certificati PLC. Solo un amministratore di sistema può inoltre modificare l'elenco delle revoche dei certificati sul PLC

Archivio certificati del PLC, Archivio certificati Windows

La configurazione dell'archivio certificati PLC definisce i casi d'uso per i quali il PLC si aspetta certificati validi da CODESYS Development System. Questi devono quindi essere installati sul computer in locale Windows Certificate Store.

CODESYS semplifica la creazione e la gestione dei certificati PLC necessari utilizzando procedure guidate di crittografia e Schermata di sicurezzavista, Dispositivi scheda. In alternativa, puoi anche usare PLC Shell comandi dell'editor del dispositivo. In entrambe le sedi è possibile visualizzare l'archivio certificati del PLC attualmente connesso e creare certificati. Entrambe le sedi forniscono anche una panoramica di tutti i «casi d'uso» sul PLC per i quali è richiesto un certificato. Mostrano se esiste già un certificato. Esempi di casi d'uso: Comunicazione criptata, Server OPC UA.

Nel caso d'uso, CODESYS verifica innanzitutto se i certificati richiesti sono disponibili come Certificati affidabili nel locale Windows Certificate Store.

Certificati autofirmati

Se un certificato valido non è stato ancora installato localmente sul PLC per un'applicazione, è possibile generare un certificato autofirmato sul Schermata di sicurezza o tramite PLC Shell sul controller in modo da poter continuare a utilizzarlo immediatamente. Il certificato autofirmato viene inizialmente creato nel Own Certificates categoria. Puoi spostarlo in un secondo momento in Trusted Certificates categoria in modo che il PLC si fidi di essa in futuro. Ad esempio, i certificati sono classificati come non attendibili a causa di una lista nera o sono in quarantena per una verifica esplicita perché il PLC stesso non è stato in grado di controllarli immediatamente. Una volta completato il controllo, è possibile spostare i certificati Trusted Certificates categoria. È inoltre possibile eliminare i certificati dal PLC. Per ulteriori informazioni, vedere Generazione di certificati autofirmati

Certificati firmati dalla CA

Per ottenere un livello di sicurezza più elevato, è necessario sostituire un certificato autofirmato con un Certificato firmato dall'autorità di certificazione. Se non disponi ancora di un certificato firmato dall'autorità di certificazione, puoi richiederlo a un ufficio CA (Certificate Signing Request, CSR). A tale scopo, esportare il file del certificato PLC pertinente Schermata di sicurezza o tramite PLC Shell al file system locale. Dopo aver restituito il certificato CA firmato, importalo nuovamente nell'archivio certificati PLC e in quello Windows Certificate Store.

La generazione diretta di una CSR è possibile tramite Shell SPS e con CODESYS Security Agent V1.4.0.0 o versioni successive anche da Schermata di sicurezza (scheda dispositivi). Per ulteriori informazioni, vedere:

Tieni presente che il certificato firmato dall'autorità di certificazione ha applicato le seguenti voci del CSR: Key Usage, Extended Key Usage, Subject Alternative Name, ognuno con il Critical bandiera.

Per ulteriori informazioni, vedere: Richiesta e fornitura di certificati firmati dall'autorità di certificazione tramite PLC Shell

Certificati multipli per lo stesso caso d'uso

Se sul PLC sono disponibili più certificati per un caso d'uso, il sistema utilizza i seguenti passaggi ordinati per determinare quale certificato utilizzare:

  • Certificato creato direttamente dall'utente (attualmente non supportato)

  • Filtraggio dei certificati esistenti per:

    • Oggetto (utente del certificato)

    • Utilizzo delle chiavi

    • Utilizzo esteso delle chiavi

    • Timestamp valido

  • Divisione dei certificati validi rilevati come «firmati» e «autofirmati»

  • Filtraggio dei certificati firmati e dei certificati autofirmati in base ai seguenti criteri:

    • Periodo di validità più lungo

    • La chiave più potente

Rinnovo dei certificati

L'operatore del sistema deve assicurarsi che il certificato venga rinnovato in tempo utile. Per ulteriori informazioni, vedere: Rinnovo di un certificato

Elenco delle revoce dei certificati

L'elenco delle revoche dei certificati può attualmente essere scambiato solo tramite PLC Shell. Solo l'amministratore di sistema dell'operatore di sistema dovrebbe essere in grado di scambiare la lista nera

Suggerimento

Per un riferimento alle funzioni del Schermata di sicurezza, vedi: Schermata di sicurezza

Per un riferimento alle funzioni della shell del PLC, vedere: PLC Shell

In questa sezione: