Crittografia delle comunicazioni con un certificato e modifica della politica di sicurezza

Requisito:

1. Nella struttura dei dispositivi, fare doppio clic sul controller.

   Si apre l'editor del dispositivo.

2. Clicca il Impostazioni di comunicazione scheda.

3. Nel Dispositivo menu, assicurati di quanto segue:

   • Le Comunicazione crittografata l'impostazione è abilitata.

   • Di conseguenza, il Applica la comunicazione crittografata l'opzione è abilitata su Utente scheda del Schermata di sicurezza.

4. Sul Impostazioni di comunicazione scheda, fai clic su Scansiona la rete pulsante.

5. Seleziona un controller.

   Si apre una finestra di dialogo per notificare che il certificato del dispositivo non ha una firma affidabile per la comunicazione. Ti verrà chiesto se installare questo certificato come attendibile nella gestione locale dei certificati sul tuo computer (Opzione 1) o accettare una sessione solo per questo (Opzione 2)

   Importante

   Un certificato del controller installato in questo modo è valido solo per 30 giorni. In questo modo hai tempo per le seguenti soluzioni a lungo termine:

   • Crea un certificato autofirmato aggiuntivo con un periodo di tempo più lungo (ad esempio 365 giorni). Puoi farlo nella schermata di sicurezza anche se esiste già un certificato. In alternativa, è possibile utilizzare anche i comandi della shell PLC nell'editor dei dispositivi

     Vedi le due sezioni seguenti:

     «Configurazione di un certificato del controller con un periodo di validità più lungo per le comunicazioni crittografate... «

   • Importa un certificato firmato dall'autorità di certificazione. Attualmente ciò è possibile solo tramite i comandi della shell PLC del runtime. Il sistema runtime assicura che almeno un certificato autofirmato sia inizialmente disponibile in modo che la comunicazione crittografata sia possibile sin dall'inizio. Quindi puoi sostituire questo certificato con uno firmato dall'autorità di

6. Se desideri installare il certificato, seleziona l'opzione 1 nel passaggio 5 e fai clic su OK per confermare la finestra di dialogo.

   Il certificato è elencato come affidabile. Dopo aver accettato il certificato autofirmato per la prima volta, è possibile stabilire una connessione crittografata con il controller più e più volte senza ulteriori richieste.

   Si apre una finestra di dialogo con l'avviso che è necessaria una gestione utenti per il dispositivo, ma non è ancora abilitata. Se lo desideri, ti verrà chiesto di abilitare la gestione degli utenti. Viene visualizzato l'avviso che in questo caso è necessario creare un nuovo account amministratore e quindi accedere come questo utente.

7. Clic sì per chiudere la finestra di dialogo.

   Il Aggiungi utente dispositivo si apre la finestra di dialogo per creare un amministratore del dispositivo iniziale.

8. Crea un utente del dispositivo per modificare la gestione degli utenti come utente corrente. In questo caso, solo Amministratore il gruppo è disponibile. Definire un Nome e Password per l'utente del dispositivo. Viene visualizzata la sicurezza della password. Nota anche le opzioni impostate relative alla modifica della password. Per impostazione predefinita, la password può essere modificata dall'utente in qualsiasi momento. Fai clic su OK per confermare.

   Il Accesso utente dispositivo si apre la finestra di dialogo.

9. Specificate le credenziali per il nuovo amministratore del dispositivo definite nel passaggio precedente.

   Hai effettuato l'accesso al controller. Sul Utenti e Gruppi scheda, è possibile fare clic su pulsante per passare alla modalità sincronizzata. La gestione degli utenti del dispositivo viene visualizzata lì ed è possibile modificarla.

   Dopo aver cliccato ok per confermare, nella vista dell'editor viene visualizzata la gestione degli utenti del dispositivo. Contiene l'utente del Amministratore gruppo che hai appena definito. Il nome di questo utente viene visualizzato anche nella barra delle applicazioni della finestra come Utente del dispositivo.

   Suggerimento

   Una volta effettuato l'accesso come utente del dispositivo del gruppo di amministratori appena creato, è possibile creare utenti e gruppi aggiuntivi.

10. Tutti i certificati del controller salvati (dal passaggio 6) vengono archiviati nell'archivio certificati di Windows locale sul computer. È possibile accedere a questa memoria tramite certmgr.msc comando in Windows Esegui dialogo.

    Tutti i certificati registrati per la comunicazione crittografata con i controller sono elencati qui in Certificati del controllore.

Requisito: sei connesso al controller.

1. Per prima cosa, controlli se un certificato qualificato è già sul controller. Se non è disponibile alcun certificato, creare un nuovo certificato.

   Aprire l'editor del dispositivo facendo doppio clic sul controller nella struttura del dispositivo e selezionare il Shell PLC scheda.

   La scheda viene visualizzata con una finestra vuota. Sotto c'è una riga di comando.

2. Specificare la cert-getapplist comando nella riga di comando.

   Vengono elencati tutti i certificati utilizzati. L'elenco include informazioni sul componente di runtime e sulla disponibilità o meno del certificato.

3. Se non esiste ancora un certificato per il componente CmpSecureChannel, quindi digita il seguente comando nella riga di input:

   cert-genselfsigned <number of the component in the applist>

   Altrimenti, vai direttamente al passaggio 5.

4. Clicca il Tronco d'albero scheda e quindi fare clic su pulsante di aggiornamento.

   Il display mostra se il certificato è stato generato correttamente o meno.

5. Torna di nuovo al Shell PLC scheda e digita il comando cert-getapplist.

   Il nuovo certificato per il componente CmpSecureChannel È visualizzato.

6. Nei due passaggi successivi, attiva la comunicazione crittografata nella schermata di sicurezza di CODESYS.

7. Nella barra di stato, fare doppio clic per aprire il Schermo di sicurezza.

8. Sul Utente scheda, selezionare il Applicare la comunicazione crittografata opzione nel Livello di sicurezza gruppo.

   La comunicazione con tutti i controller è crittografata. Se non è presente un certificato su un controller, non è possibile accedervi.

   La linea di collegamento tra il sistema di sviluppo, il gateway e il controller è visualizzata in giallo sul Impostazioni di comunicazione scheda dell'editor del dispositivo del controller.

9. In alternativa al Applicare la comunicazione crittografata opzione che si applica a tutti i controller, è anche possibile definire la comunicazione crittografata solo per controller specifici. Per fare ciò, seleziona il Impostazioni di comunicazione scheda nell'editor del rispettivo controller. Quindi fare clic Comunicazione crittografata nel Dispositivo casella di riepilogo.

   La comunicazione con questo controller è crittografata. Se non è presente un certificato sul controller, non è possibile accedervi.

   La linea di collegamento tra il sistema di sviluppo, il gateway e il controller è visualizzata in giallo sul Impostazioni di comunicazione scheda dell'editor del dispositivo del controller.

10. Quando si accede al controller per la prima volta, si apre una finestra di dialogo con l'informazione che il certificato del controller non è firmato da un'autorità attendibile. Inoltre, nella finestra di dialogo vengono visualizzate le informazioni sul certificato e viene richiesto di installarlo come certificato affidabile in locale Windows Certificate Store nel Certificati del controller cartella.

    Quando si conferma la finestra di dialogo, il certificato viene installato nell'archivio locale e si accede al controller.

    In futuro, la comunicazione con il controller sarà crittografata automaticamente con questo certificato di controllo.

11. Per aumentare la sicurezza per lo scambio di chiavi per i controller < V3.5.13.0, è possibile generare parametri Diffie-Hellman sul controller. Per fare cert-gendhparams nella riga di input.

    Questo non è più necessario per i controller >= V3.5.13.0.

    Importante

    Attenzione: la generazione dei parametri Diffie-Hellman può durare diversi minuti o anche diverse ore. Tuttavia, questo processo deve essere eseguito solo una volta per ogni controller. I parametri Diffie-Hellman aumentano la sicurezza per lo scambio di chiavi e per futuri attacchi contro il campionamento dei dati crittografati.

Requisito: viene stabilita la connessione al dispositivo. Il dispositivo supporta comunicazioni crittografate.

1. Nella struttura dei dispositivi, fare doppio clic sul controller.

   Si apre l'editor del dispositivo.

2. Clicca il Impostazioni di comunicazione scheda.

3. Aprire il Dispositivo menu nell'intestazione dell'editor. Fai clic su Modifica la politica di sicurezza di Runtime comando.

   Le Modifica la politica di sicurezza in fase di esecuzione si apre una finestra di dialogo.

4. Nel Comunicazione area, puoi scegliere tra le impostazioni Crittografia opzionale, Crittografia forzata (consigliato) e Nessuna crittografia.

   Quando il Comunicazione crittografata è selezionata l'opzione, la linea di connessione tra il sistema di sviluppo, il gateway e il dispositivo è evidenziata nell'editor in grassetto e a colori nella rappresentazione grafica.

5. Nella parte inferiore della finestra di dialogo, nella Gestione degli utenti del dispositivo area, puoi alternare tra Gestione utente opzionale e Gestione forzata degli utenti impostazioni.

   Suggerimento

   In alternativa al Modifica la politica di sicurezza in fase di esecuzione finestra di dialogo nell'editor del dispositivo, puoi anche abilitare/disabilitare il Applica la comunicazione crittografata impostazione su Schermata di sicurezza.