Skip to main content

PLC シェルによる CA 署名付き証明書の要求と提供

現在、デバイスエディターの PLC シェルを使用してのみ PLC 証明書の CSR を作成できます。

重要

を作成するとき CSR (Certificate Signing Request) の場合、PLC は必要なすべての X509 拡張を証明書署名リクエストに追加します。その結果、証明機関 (CA) は一部の拡張機能を追加しても、既存の拡張を省略できない場合があります。CSR の拡張が署名済み証明書に存在しない場合、PLC はその拡張子を使用できません

CA 署名付き証明書には CSR の次のエントリが適用されていることに注意してください。 Key UsageExtended Key UsageSubject Alternative Name、それぞれ Critical フラグ。CSR には次の拡張機能を含める必要があります。 Key UsageExtended Key UsageSubject Alternative Name、それぞれ Critical フラグ。

  1. まず、必要なすべての証明書またはコンポーネントの証明書リクエストを生成します (CSR = Certificate Signing Request)。これらはクライアント証明書 (OPC UA クライアント用など) にすることもできます。これを実行するには、をクリックします PLC シェル コントローラーのタブ。入力ラインに、次のように入力します。 cert-createcsr コマンド。

    Syntax: cert-createcsr [<number retrieved by \"cert-getapplist\">] [encoding=Base64 | ASN.1]

    <number retrieved by \"cert-getapplist\">

    オプション:の出力から 1 つのコンポーネントの数を指定します。 cert -getapplist。指定しない場合、生成されたすべてのコンポーネントについて証明書が生成されます。

    encoding=Base64 | ASN.1

    オプション: エクスポート形式を指定します (デフォルト設定: ASN.1)。

    ANS.1: 証明書、CSR、および非対称キーのバイナリ ファイル形式。

    Base64: Base64 エンコーディングに基づく ASN.1 データのテキスト表現。

    注記

    ファイル形式は CA によって指定される場合があります。次に、CSR が正しい形式で自動的に生成されます。

    それ以外の場合は、ある形式から別の形式への可逆変換も可能です。たとえば、OpenSSL を使用してこれを行うことができます。

    openssl req -in <file name> -inform <DER|PEM> -out <file name_new> -outform <PEM|DER>

    DER ASN.1に対応。 PEM Base64に対応。

  2. をクリックします [ログ] タブをクリックし、 _cds_icon_update.png [更新] ボタン。

    ログエントリで、CSR ファイルが生成されたことがわかります。

  3. をクリックします [ファイル] [Tab] を押してファイルパスを開きます。 cert/export の右側に ランタイム ダイアログ。

    ザ・ export フォルダには生成された CSR ファイルが含まれます。

    例: 0_CmpsecureChannl.csr, 1_CmpApp.csr, 2_CmpWebServer.csr

  4. の左側にある CSR ファイルを挿入するファイルパスを選択します ホスト ダイアログで、ダイアログの右側にある CSR ファイルにマークを付けてをクリックします _cds_button_double_arrow_left.png

    CSR ファイルは必要なフォルダにコピーされます。

  5. これらの証明書リクエストは、認証局 (CA) が署名できます。その結果、認証局から署名された証明書が発行されます。

  6. 次の手順では、これらの署名付き証明書をコントローラーにインポートします。

    注記

    コントローラを再起動すると、CA 署名付き証明書が自動的に使用されます。

    ヒント

    または、次の方法を使用することもできます 0_Global: Produkt Security Agent 証明書をコントローラに転送します。詳細については、以下を参照してください。CODESYS Security Agent

  7. 選択してください パス cert/import の右側に ランタイム ダイアログ。

  8. の左側には ホスト ダイアログで、署名済み証明書を保存し、証明書を選択したファイルシステム内のパスを選択します。

  9. クリック _cds_button_double_arrow_right.png

    証明書は、にコピーされます。 cert/import フォルダー。

  10. をクリックします PLC シェル タブ。

  11. Type the cert-import own <file name of the certificate.cer> command in the input line of the tab and press the Enter key.

    The signed certificates are available to the runtime servers.

注記

コントローラーの構成ファイルで (たとえば、 CODESYSControl.cfg) の場合、OPC UA サーバーの証明書に次のエントリを使用して組織名を設定できます。

[CmpOPCUAServer]

SECURITY.CompanyOrOrganizationName="<organization name>"

もし CODESYS Security Agent がインストールされている場合は、次の内容を編集することもできます。 コミュニケーション設定 デバイスエディターの通信設定タブにあります。

このセクションの内容: