Skip to main content

操作方法:处理IDE和PLC的证书

加密证书CODESYS Development System或者,用于与PLC通信的证书可以是自签名证书或CA签名证书。所使用的证书级别取决于安全需求。您可以使用专用工具或在……中创建证书。CODESYS环境。

CA签名的证书

由 CA 签名的证书必须由受信任的外部机构创建。认证机构(CA)或由位于运营商设施内的 CA 签发证书。要获得 CA 签名的证书,您可以将自行生成的证书通过以下方式发送给 CA:证书签名请求(CSR),然后将其重新安装到您的计算机或PLC上。

CA 的扩展

CA 使用来自以下来源的数据:证书签名请求使用 CSR 创建 PLC 的 X.509 证书。签署 CSR 时,需要从 CSR 传输以下 x509v3 扩展:

关键用途扩展按键用法学科备选名称,每个都带有批判的旗帜

自签名证书

您可以使用自己的私钥创建自签名证书。这些证书并非由证书颁发机构 (CA) 签名。当您创建自签名证书时,CODESYS在环境中,您可以通过对话框和加密向导获得帮助。

提示

自签名证书可用于测试目的。它也可以作为临时解决方案,直到获得由证书颁发机构 (CA) 签名的证书为止。

将证书存储在 Windows 证书存储区中

本地 Windows 计算机上的证书管理

用于加密的有效证书CODESYS项目以及PLC和CODESYS Development System必须存储在本地 Windows 证书存储中(certmgr在您的电脑上。

提示

要将本地文件系统中的证书文件安装到 Windows 证书存储区,请双击文件目录中的该文件。然后,相应的导入向导将帮助您完成安装。

更多信息请参见以下内容:PLC 证书

这个 安全屏幕 为项目的证书处理以及与 PLC 通信所需的证书提供了接口。如果是两者之间的沟通 CODESYS 还有 PLC, 安全屏幕 提供了中相应命令的替代方案 PLC 外壳 设备编辑器的。

PLC上的证书管理这是系统操作员的责任。

哪些内容可以使用证书进行加密或签名?

1. 参考相关资料CODESYS成分

包裹

CODESYS Package Designer添加在

项目

通过项目设置对话

项目内的各个POU

使用以下功能CmpX509Cert.library图书馆

图书馆

另存为已编译库文件时

应用程序代码、启动应用程序、下载源代码、在线修改

在这种情况下,加密向导会立即提供创建证书的支持。特性应用程序对话框。

编程系统与PLC之间的通信

首次连接到受保护的控制器时,系统会立即提供创建用于与控制器进行加密通信的证书的功能。此证书最初仅具有临时有效期。

自动化服务器连接器通过边缘网关与自动化服务器进行通信

从版本 V1.35.0.0 开始,您将收到有关设置证书加密通信的说明。CODESYS Automation Server支持快速设置对话。

WebVisu 与网络浏览器之间的通信

安全屏幕设备选项卡,或通过CmpOpenSSL运行时系统中的组件

浏览器要将证书视为安全证书,该证书必须由受信任的证书颁发机构 (CA) 签名。

项目与远程 TargetVisu 之间的沟通

如果运行时系统需要加密通信,则在首次启动时立即提供支持。

通过 OPC UA 服务器进行通信

安全屏幕

签署 CSR 时,需要从 CSR 转移以下 x509v3 扩展:

Key Usage

Extended Key Usage

Subject Alternative Name

每个都与Critical旗帜

可视化元素:HTML5

可视化元素库对话



PLC 证书

保密性

在处理PLC证书时,必须区分用户角色。系统操作员需要确保只有系统管理员才能在PLC证书存储区配置和续订证书。也只有系统管理员才能修改PLC上的证书吊销列表。

只有系统管理员才能创建、续订或更改证书吊销列表中的证书。访问PLC证书存储区对于安全至关重要。

将 PLC 证书存储在 Windows 证书存储区中

PLC证书存储的配置定义了PLC需要有效证书的使用场景。所需的证书必须安装在您计算机的本地Windows证书存储中。

CODESYS 使用加密向导和 安全屏幕视图, 设备 选项卡。或者,你也可以使用 PLC 外壳 设备编辑器的命令。在这两个位置,您都可以查看当前连接的 PLC 的证书存储库并创建证书。这两个位置还概述了PLC上所有需要证书的 “用例”。它们显示证书是否已经存在。用例示例: 加密通信OPC UA 服务器

在每个使用场景中,CODESYS首先检查所需的证书是否在本地作为受信任证书提供Windows 证书存储

自签名证书

如果应用程序尚未在 PLC 本地安装有效的证书,则可以在 PLC 上生成自签名证书。安全屏幕或通过PLC外壳在控制器上,您可以立即继续使用它。自签名证书将首先在以下位置创建:My Certificates类别。然后你可以把它移到受信任的证书将其归类,以便 PLC 将来能够信任它。例如,证书由于黑名单而被归类为不受信任,或者由于 PLC 本身无法立即检查它们而被隔离以进行显式验证。检查完成后,您可以将证书移至该类别。受信任的证书类别。您还可以从PLC中删除证书。

更多信息请参见以下内容:生成自签名证书生成自签名证书

CA证书

为了达到更高的安全性,您应该将自签名证书替换为第三方证书。 CA签名的证书如果您还没有 CA 签名的证书,那么您可以向 CA 办事处申请一个(证书签名请求(CSR)。为此,请从以下位置导出相关的PLC证书文件:安全屏幕或通过PLC外壳将其保存到本地文件系统。待签名后的 CA 证书返回后,将其重新导入到 PLC 证书存储区和本地 Windows 证书存储区。

可以直接通过以下方式创建企业社会责任报告 (CSR): PLC外壳并且CODESYS Security Agent V1.4.0.0 及更高版本也来自安全屏幕设备(标签)。

请注意,CA 签名证书应用了 CSR 中的以下条目: Key UsageExtended Key UsageSubject Alternative Name,每个都有 Critical 标志。

更多信息请参见以下内容:

自动扫描证书

同一用例需要多个证书

如果 PLC 上有多个证书可用于一个用例,则系统将使用以下顺序步骤来确定要使用哪个证书:

  1. 使用用户直接创建的证书。(目前暂不考虑!)

  2. 通过以下方式筛选现有证书:

    • 主题(证书的用户)

    • 密钥用法

    • 扩展密钥用法

    • 有效的时间戳

  3. 将检测到的有效证书划分为 “已签名” 和 “自签名”

  4. 首先筛选已签名证书,然后根据以下标准筛选自签名证书:

    • 最长有效期

    • 最强钥匙

证书续期

系统操作员需要确保及时续订证书。有关更多信息,请参阅: 续订证书续订证书

证书吊销列表

目前只能通过PLC Shell更改证书吊销列表。只有系统运营商的系统管理员才能更改此吊销列表。

提示

有关各项功能的参考安全屏幕请参见以下内容:安全屏幕

有关 PLC 外壳函数的参考,请参见: PLC 外壳

证书链

在根 CA 和 OPC UA 服务器或客户端的最终证书之间存在一个或多个中间 CA 证书。如有必要,可以轻松吊销和替换此中间证书层,而无需更改根 CA。

支持证书链是提高用户友好性和简化配置的重要措施。

除了实际使用的 X.509 证书之外,证书链还包含相应的中间 CA 证书和根 CA 证书。这些额外的证书是验证整个证书链直至受信任的根 CA 所必需的。X.509 证书是一种唯一的数字证书,用于标识特定的实体(例如,用户、设备或软件)。

除了实际使用的 X.509 证书之外,证书链还包含相应的中间 CA 证书和根 CA 证书。这些额外的证书是验证整个证书链直至受信任的根 CA 所必需的。X.509 证书是一种唯一的数字证书,用于标识特定的实体(例如,用户、设备或软件)。

  • CA中间证书无需传输到PLC。这减少了配置工作量。

  • 只要在 PLC 上配置受信任的根证书(来自根 CA)即可。

  • 如果链发生变化,例如由于中间证书过期,则无需在验证 PLC 上重新配置中间证书。

本节内容如下: