Verwaltung von Zertifikaten für den OPC UA Client
Der mit dem Modicon M262 Logic/Motion Controller bereitgestellte OPC UA Client unterstützt eine sichere Kommunikation mit TLS (Transport Layer Security).
Im Kontext von TLS können Zertifikate verwendet werden, um die Identität der Kommunikationspartner zu überprüfen. Zertifikate werden beim Aufbau einer Verbindung gesendet. Dieser Vorgang wird als TLS Handshake bezeichnet. Nur wenn das Ergebnis der Zertifikatsüberprüfung positiv ist, kann eine Verbindung zum Kommunikationspartner hergestellt werden.
Wenn keine Verbindung zum OPC UA Server hergestellt werden kann, kann das darauf zurückzuführen sein, dass die Zertifikatsüberprüfung nicht erfolgreich war.
Zur Behebung dieses Problems sollten folgende Punkte geprüft werden:
oPrüfen, ob der OPC UA Server nur Verbindungen mit vertrauenswürdigen Zertifikaten annimmt. Ist das der Fall, dann muss sichergestellt werden, dass das Zertifikat der Steuerung der Liste vertrauenswürdiger Zertifikate hinzugefügt wurde.
oPrüfen, ob Ihre Anwendung konfiguriert wurde, um ausschließlich Verbindungen mit vertrauenswürdigen Zertifikaten anzunehmen. In diesem Fall ist sicherzustellen, dass das empfangene Zertifikat der Liste vertrauenswürdiger Zertifikate hinzugefügt wurde.
Das Zertifikat des Kommunikationspartners sollte immer auf Authentizität überprüft werden. Dadurch lässt sich verhindern, dass eine Verbindung mit einer nicht autorisierten Gerät oder Dienst angenommen wird. Zu diesem Zweck muss das Zertifikat des Kommunikationspartners bzw. des Ausstellers zuvor als vertrauenswürdig eingestuft werden.
In diesem Dokument sollen in erster Linie folgende zwei Punkte beschrieben werden:
oEinstufen eines digitalen Serverzertifikats als vertrauenswürdig für den mit dem M262 Controller bereitgestellten OPC UA Client
oAbrufen des digitalen Zertifikats der Steuerung zur manuellen Übertragung an den M262 Server
Im Folgenden wird der konkrete Ablauf der Zertifikatsverwaltung für den OPC UA Client anhand des manuellen Austauschs von Zertifikaten zwischen Client und Server beschrieben:
|
Schritt |
Aktion |
|---|---|
|
1 |
Rufen Sie das Client-Zertifikat für den Modicon M262 Logic/Motion Controller ab. Siehe den nachstehenden Abschnitt. |
|
2 |
Übertragen Sie das Zertifikat des Modicon M262 Logic/Motion Controllers an den Server. |
|
3 |
Vergewissern Sie sich, dass der Server das Zertifikat des M262 OPC UA Clients als vertrauenswürdig einstuft. |
|
4 |
Rufen Sie das Server-Zertifikat ab. |
|
5 |
Laden Sie das Server-Zertifikat in den Modicon M262 Logic/Motion Controller herunter. Siehe den nachstehenden Abschnitt. |
|
6 |
Stufen Sie das empfangene Server-Zertifikat als vertrauenswürdiges Zertifikat ein. Siehe den nachstehenden Abschnitt. |
|
7 |
Verbinden Sie den M262 OPC UA Client mit dem Server. |
Nachstehend der Ablauf der Zertifikatsverwaltung für den OPC UA Client anhand des automatischen Austauschs von Zertifikaten zwischen Client und Server:
|
Schritt |
Aktion |
|---|---|
|
1 |
Versuchen Sie, eine Verbindung zwischen M262 OPC UA Client und Server herzustellen. (Ohne das vertrauenswürdige Server-Zertifikat dürfte dieser erste Verbindungsaufbau scheitern, allerdings kann der M262 OPC UA Client dadurch automatisch Zertifikate mit dem Server austauschen). |
|
2 |
Vergewissern Sie sich, dass der Server das Zertifikat des M262 OPC UA Clients als vertrauenswürdig einstuft. |
|
3 |
Stufen Sie das empfangene Server-Zertifikat als vertrauenswürdiges Zertifikat ein. Siehe den nachstehenden Abschnitt. |
|
4 |
Stellen Sie eine Verbindung zwischen M262 OPC UA Client und Server her. |
Einstufen eines digitalen Zertifikats als vertrauenswürdig
Für den M262 Controller wird jedes bei der Initialisierung einer OPC UA-Verbindung über den TLS Handshake empfangene unbekannte oder nicht vertrauenswürdige Zertifikat in einem dedizierten Ordner in der Steuerung gespeichert. Dieser Ordner sowie der Ordner mit den vertrauenswürdigen Zertifikaten ist über den Webserver der Steuerung zugänglich. Dort können Sie die zurückgewiesenen/nicht vertrauenswürdigen und die vertrauenswürdigen Zertifikate einsehen. Darüber hinaus können Sie bestimmen, ob ein Zertifikat als vertrauenswürdig eingestuft werden soll.
Auf der Webseite Certificates auf dem Webserver der Steuerung können Sie die (von OPC UA Servern oder Clients) empfangenen Zertifikate aus dem Ordner Rejected (Zurückgewiesen) in den Ordner Trusted (Vertrauenswürdig) verschieben. Desgleichen können als 'vertrauenswürdig' eingestufte Zertifikate zu 'zurückgewiesen' herabgestuft werden.
HINWEIS: Für die Verwaltung der Zertifikate ist ein sichere Verbindung zum Webserver der Steuerung erforderlich (über https://).
Weitere Informationen zum Webserver finden Sie im Modicon M262 Logic/Motion Controller - Programmierhandbuch\...\Maintenance: Certificates Submenu.
Abrufen des Zertifikats der Steuerung
Unter Umständen müssen Sie das digitale Zertifikat der Steuerung manuell an den OPC UA Server übertragen. Der M262 Controller verfügt über ein eigenes eigensigniertes Zertifikat, das beim ersten Einschalten der Steuerung erstellt wird. Dieses Zertifikat kann über den Security-Screen in EcoStruxure Machine Expert Logic Builder abgerufen werden. Gehen Sie dazu vor wie folgt:
|
Schritt |
Aktion |
Beschreibung/Kommentar |
|---|---|---|
|
1 |
Öffnen Sie EcoStruxure Machine Expert Logic Builder und erstellen Sie ein Projekt mit dem betroffenen M262 Controller. |
- |
|
2 |
Führen Sie in EcoStruxure Machine Expert Logic Builder den Editor Security-Screen ausgehend vom Menü Ansicht aus. |
- |
|
3 |
Wechseln Sie zur Registerkarte Geräte im Security-Screen. |
- |
|
4 |
Klicken Sie auf die Schaltfläche Liste der verfügbaren Geräte und ihrer Zertifikatspeicher aktualisieren. |
Ergebnis: Die Anzeige wird gemäß den von der verbundenen Steuerung erhaltenen Informationen aktualisiert. |
|
5 |
Wählen Sie die Registerkarte Eigene Zertifikate aus. |
- |
|
6 |
Wählen Sie das Zertifikat in der Liste auf der rechten Seite des Editors Security-Screen aus und klicken Sie auf die Schaltfläche Ausgewähltes Zertifikat vom Gerät hochladen und auf PC speichern. |
Siehe Abbildung unten. |
|
7 |
Navigieren Sie im Dialogfeld Speichern unter zu einem Ordner auf dem PC, in dem die Zertifikatsdatei gespeichert werden soll, und klicken Sie dann auf die Schaltfläche Speichern. |
- |
Siehe auch das Kapitel Security Screen Editor im Benutzerhandbuch „Verwalten von Zertifikaten“.
Herunterladen des Server-Zertifikats in den Modicon M262 Logic/Motion Controller
|
Schritt |
Aktion |
Beschreibung/Kommentar |
|---|---|---|
|
1 |
Öffnen Sie EcoStruxure Machine Expert. |
- |
|
2 |
Erstellen Sie ein Ihrem Modicon M262 Logic/Motion Controller entsprechendes Projekt. |
- |
|
3 |
Konfigurieren Sie die Kommunikationsparameter der Steuerung. |
- |
|
4 |
Öffnen Sie den Security-Screen. Siehe auch das Kapitel Security Screen Editor im Benutzerhandbuch zur Zertifikatsverwaltung. |
HINWEIS: Der Security-Screen wird durch ein Schildsymbol in der unteren rechten Ecke des Fensters von EcoStruxure Machine Expert ausgewiesen. |
|
5 |
Öffnen Sie die Registerkarte Geräte im Security-Screen. |
- |
|
6 |
Klicken Sie auf die Schaltfläche Aktualisieren. |
- |
|
7 |
Wählen Sie Ihren M262 Controller aus. |
- |
|
8 |
Wählen Sie die Registerkarte Nicht vertrauenswürdige Zertifikate aus. |
- |
|
9 |
Klicken Sie auf die Schaltfläche Zertifikat herunterladen (am linken Rand). |
- |
|
10 |
Wählen Sie den Ordner auf Ihrem Computer aus, in dem sich das Server-Zertifikat befindet, und wählen Sie die herunterzuladene Zertifikatsdatei aus. |
- |
|
11 |
Klicken Sie auf die Schaltfläche Öffnen. |
HINWEIS: Um die im Security-Screen angezeigten Zertifikatslisten zu aktualisieren, muss die Steuerung neu gestartet werden. |
Einstufen eines empfangenen Zertifikats als vertrauenswürdig
|
Schritt |
Aktion |
Beschreibung/Kommentar |
|---|---|---|
|
1 |
Melden Sie sich beim Webserver Ihrer Steuerung an. Starten Sie dazu einen Webbrowser und geben Sie folgende Adresse ein: https://<ip_adresse_ihrer_steuerung>/ |
- |
|
2 |
Geben Sie Ihre Anmeldedaten ein. |
- |
|
3 |
Wählen Sie die Registerkarte Maintenance aus. |
- |
|
4 |
Wählen Sie das Untermenü Certificates auf der linken Seite aus. |
- |
|
5 |
Wählen Sie das OPC UA-Zertifikat in der Liste Rejected (zurückgewiesen bzw. nicht vertrauenswürdig) aus. |
HINWEIS: Vergewissern Sie sich, dass Sie das gewünschte Zertifikat (über den Security-Screen von EcoStruxure Machine Expert) hochgeladen oder bereits versucht haben, eine Verbindung zu diesem OPC UA Server herzustellen. |
|
6 |
Klicken Sie auf die Schaltfläche >>, um das Zertifikat in die Liste Trusted zu verschieben. |
- |
Einstufen eines empfangenen Zertifikats als nicht vertrauenswürdig
|
Schritt |
Aktion |
Beschreibung/Kommentar |
|---|---|---|
|
1 |
Melden Sie sich beim Webserver Ihrer Steuerung an. Starten Sie dazu einen Webbrowser und geben Sie folgende Adresse ein: https://<ip_adresse_ihrer_steuerung>/ |
- |
|
2 |
Geben Sie Ihre Anmeldedaten ein. |
- |
|
3 |
Wählen Sie die Registerkarte Maintenance aus. |
- |
|
4 |
Wählen Sie das Untermenü Certificates auf der linken Seite aus. |
- |
|
5 |
Wählen Sie das OPC UA-Zertifikat in der Liste Trusted (vertrauenswürdig) aus. |
HINWEIS: Vergewissern Sie sich, dass Sie das gewünschte Zertifikat (über den Security-Screen von EcoStruxure Machine Expert) hochgeladen oder bereits versucht haben, eine Verbindung zu diesem OPC UA Server herzustellen. |
|
6 |
Klicken Sie auf die Schaltfläche <<, um das Zertifikat in die Liste Rejected (zurückgewiesen bzw. nicht vertrauenswürdig) zu verschieben. |
- |
HINWEIS: Verschieben Sie alle Zertifikate, die nicht mehr aktiv bzw. benötigt werden, in die Liste Rejected. Auf diese Weise werden unbeabsichtigte Verbindungen zum OPC UA Server vermieden.
