PLCの証明書

の証明書に関する一般的な情報については CODESYS Development System 環境については、以下を参照してください。 の証明書 CODESYS および PLC

PLC証明書を扱うときは、「ユーザー」の役割を区別する必要があります。システムオペレータは、システム管理者の役割を持つユーザーだけが PLC 証明書ストア内の証明書を設定および更新できるようにする必要があります。PLC の証明書失効リストを変更できるのはシステム管理者のみです。

PLC の証明書ストア、 Windows 証明書ストア

PLC 証明書ストアの構成は、PLC が有効な証明書を期待するユースケースを定義します。 CODESYS Development System。次に、これらをローカルコンピューターのコンピューターにインストールする必要があります Windows Certificate Store。

CODESYS 暗号化ウィザードと、必要な PLC 証明書の作成と管理が容易になります。 セキュリティ画面ビュー、 デバイス タブ。別の方法として、を使用することもできます。 PLC シェル デバイスエディターのコマンド。どちらの場所でも、現在接続されている PLC の証明書ストアを表示し、証明書を作成できます。どちらのサイトでも、証明書が必要な PLC のすべての「ユースケース」の概要も確認できます。証明書が既に存在するかどうかが表示されます。ユースケースの例: 暗号化された通信、 OPC ユーザーサーバー。

ユースケースでは、 CODESYS まず、必要な証明書が入手可能かどうかを次のように確認します。 信頼できる証明書 ローカルで Windows Certificate Store。

自己署名証明書

アプリケーション用の有効な証明書がPLCにまだローカルにインストールされていない場合は、PLCで自己署名証明書を生成できます セキュリティ画面 または PLC シェル コントローラーに接続して、すぐに操作を続けることができます。自己署名証明書は最初にで作成されます。 Own Certificates カテゴリー。後で、に移動できます。 Trusted Certificates PLCが将来的に信頼できるようにするためのカテゴリ。たとえば、ブラックリストに載っているために証明書が信頼できないと分類されたり、PLC 自体がすぐに確認できなかったために明示的な検証のため隔離されたりします。確認が完了したら、証明書をに移動できます Trusted Certificates カテゴリ。PLC から証明書を削除することもできます。詳細については、以下を参照してください。 自己署名証明書の生成

CA 署名証明書

より高いレベルのセキュリティを実現するには、自己署名証明書を自己署名証明書に置き換える必要があります CA 署名付き証明書。CA 署名証明書をまだお持ちでない場合は、CA オフィスにリクエストできますCertificate Signing Request、CSR)。そのためには、関連する PLC 証明書ファイルをからエクスポートします。 セキュリティ画面 または PLC シェル ローカルファイルシステムへ。署名された CA 証明書が返却されたら、それを PLC 証明書ストアとローカルにインポートし直します Windows Certificate Store。

CSR を直接生成するには、 SPS シェル 、および CODESYS Security Agent V1.4.0.0 またはそれ以降のバージョンも提供されています セキュリティ画面 (タブ) デバイス)。詳細については、以下を参照してください。

CA 署名付き証明書には CSR の次のエントリが適用されていることに注意してください。 Key Usage、 Extended Key Usage、 Subject Alternative Name、それぞれ Critical フラグ。

詳細については、以下を参照してください。 PLC シェルによる CA 署名付き証明書の要求と提供

同じユースケースの複数の証明書

1つのユースケースでPLCに複数の証明書がある場合、システムは次の順序に従ってどの証明書を使用するかを決定します。

証明書の更新

システムオペレーターは、証明書が期限内に更新されることを確認する必要があります。詳細については、以下を参照してください 証明書の更新

証明書失効リスト

証明書失効リストは現在、次の方法でしか交換できません PLC シェル。ブラックリストを交換できるのは、システムオペレーターのシステム管理者だけです