Process Historian 2014: Administration Sicherheitskonzept von OPC UA Sicherheitskonzept von OPC UA Das Sicherheitskonzept von OPC UA basiert im Wesentlichen: • • Auf der Authentifizierung und Autorisierung der beteiligten Anwendungen und Benutzer Auf der Sicherstellung der Integrität und Vertraulichkeit der zwischen den Anwendungen ausgetauschten Nachrichten Technische Details dazu finden Sie in der OPC UA-Spezifikation, "Part 2". Zertifikate Zertifikate stellen den Mechanismus zur Authentifizierung der OPC UA Anwendungen dar. Jede Anwendung hat ihr eigenes Instanz-Zertifikat und weist sich damit innerhalb der PublicKey-Infrastruktur aus (PKI). Die vom PH-OPC-UA-Server verwendeten Zertifikate werden über die Einstellungen in der Konfigurationsdatei "OpcUaServerPH.xml" abgelegt: Instanz-Zertifikat des PH-OPC-UA-Servers Jeder PH-OPC-UA-Server benötigt zum sicheren Betrieb ein eigenes Instanz-Zertifikat mit einem privaten Schlüssel. Das Zertifikat ist nur auf dem jeweiligen Rechner gültig und darf nur vom dort installierten PH-OPC-UA-Server verwendet werden. Bei der Installation des Servers wird ein selbstsigniertes Instanz-Zertifikat des Servers erzeugt. Das Instanz-Zertifikat wird sowohl im Zertifikat-Ordner des Servers als auch im Zertifikatspeicher des OPC UA Local Discovery Server abgelegt. Der private Schlüssel zu diesem Zertifikat wird nur im Zertifikat-Ordner abgelegt. Den Zugriff auf den Ordner des privaten Schlüssels müssen Sie beschränken auf: • • Den Server selbst Den Administrator der Anlage This document constitutes a free excerpt compiled by the user himself/herself from the documentation provided by Siemens for this product. Siemens disclaims all liability for the completeness of this document. It shall only be used for the user's own internal purposes. It shall not be passed on to third parties. The complete documentation can be found at: /dokumentation/default.aspx?DocVersionId=71421817611&Language=de-DE&TopicId=71270508299 04.07.2016 Process Historian 2014: Administration Sicherheitskonzept von OPC UA Achtung Zugriff auf den Ordner des privaten Schlüssels Neben dem Server selbst und dem Administrator der Anlage dürfen aus Sicherheitsgründen alle anderen Benutzer und Anwendungen keinen Zugriff auf den privaten Schlüssel des PHOPC-UA-Servers haben. Das bei der Installation erzeugte Instanz-Zertifikat und der dazugehörende private Schlüssel kann der Verwalter der Anlage ersetzen. Entsprechend dem jeweiligen Sicherheitskonzept der Anlage kann das neue Instanz-Zertifikat selbstsigniert sein oder von einer Zertifizierungsstelle erstellt werden. Den Ablageort für das Instanz-Zertifikat des PH-OPC-UA-Servers bestimmen Sie über die Konfigurationsdatei des Servers. Bei Bedarf kann der Ablageort von der Verwaltung der Anlage angepasst werden: Parameter Wert Bedeutung StoreType Directory Art der Zertifikat-Ablage. Die Ablage muss "Directory" sein StorePath [ApplicationPath]\PKI\CA Das Zertifikat und der private Schlüssel werden unterhalb dieses Ordners abgelegt Beispiel einer Konfiguration des Instanz-Zertifikats Das Instanz-Zertifikat des Servers liegt in diesem Fall im Verzeichnis "PKI\CA\Certs". Der private Schlüssel liegt im Verzeichnis "PKI\CA\Private". Vertrauenswürdige Client-Zertifikate Der PH-OPC-UA-Server unterstützt die gesicherte Kommunikation ausschließlich mit vertrauenswürdigen Clients. Ein Client ist unter folgenden Bedingungen vertrauenswürdig: • • Der Client hat ein gültiges selbstsigniertes Zertifikat, das im Zertifikat-Speicher der vertrauenswürdigen Zertifikate des PH-OPC-UA-Servers liegt. Das gültige Zertifikat des Clients wurde von einer Zertifizierungsstelle ausgestellt. Das gültige Zertifikat der Zertifizierungsstelle muss im Zertifikat-Speicher der vertrauenswürdigen Zertifikate des PH-OPC-UA-Servers liegen. In diesem Fall muss nur das Zertifikat der Zertifizierungsstelle vorliegen. Das Instanz-Zertifikat des Clients muss nicht im Zertifikatspeicher der vertrauenswürdigen Zertifikate liegen. Die Ablage der vertrauenswürdigen Zertifikate bestimmen Sie über die Konfigurationsdatei des PH-OPC-UA-Servers: This document constitutes a free excerpt compiled by the user himself/herself from the documentation provided by Siemens for this product. Siemens disclaims all liability for the completeness of this document. It shall only be used for the user's own internal purposes. It shall not be passed on to third parties. The complete documentation can be found at: /dokumentation/default.aspx?DocVersionId=71421817611&Language=de-DE&TopicId=71270508299 04.07.2016 Process Historian 2014: Administration Sicherheitskonzept von OPC UA Parameter Bedeutung StoreType Art der Zertifikat-Ablage. Die Ablage kann "Directory" oder "Windows" sein StorePath Die Zertifikate der vertrauenswürdigen Clients werden unterhalb dieses Ordners abgelegt Beispiel einer Konfiguration mit Ablage "Directory" In diesem Fall vertraut der PH-OPC-UA-Server allen Clients, deren Instanz-Zertifikat im Ordner "PKI\TrustList\Certs" liegt. Beispiel einer Konfiguration mit Ablage "Windows" Hierfür müssen die Instanz-Zertifikate der Clients im Zertifikatspeicher des Betriebssystems unter "<Lokaler Computer>\UA Applications" liegen. Von einer Zertifizierungsstelle ausgestellte Zertifikate Die Zertifikate von Zertifizierungsstellen, die für die Überprüfung einer Clientzertifikat-Kette erforderlich sind, werden im Zertifikat-Speicher der Zertifizierungsstellen abgelegt. Die Ablage bestimmen Sie über die Konfigurationsdatei des PH-OPC-UA-Servers: Parameter Bedeutung StoreType Art der Zertifikat-Ablage. Die Ablage kann "Directory" oder "Windows" sein StorePath Die Zertifikate der vertrauenswürdigen Zertifizierungsstellen werden unterhalb dieses Ordners abgelegt Hinweis Vertrauenswürdigkeit der Zertifikate von Zertifizierungsstellen Die Zertifikate aus dem Speicher der Zertifizierungsstellen gelten nicht automatisch als vertrauenswürdig Damit einer Zertifizierungsstelle vertraut wird, muss ihr Zertifikat im Speicher der vertrauenswürdigen Zertifikate liegen. Beispiel einer Konfiguration mit Ablage "Directory" This document constitutes a free excerpt compiled by the user himself/herself from the documentation provided by Siemens for this product. Siemens disclaims all liability for the completeness of this document. It shall only be used for the user's own internal purposes. It shall not be passed on to third parties. The complete documentation can be found at: /dokumentation/default.aspx?DocVersionId=71421817611&Language=de-DE&TopicId=71270508299 04.07.2016 Process Historian 2014: Administration Sicherheitskonzept von OPC UA Die Zertifikate der vertrauenswürdigen Zertifizierungsstellen liegen in diesem Fall im Ordner "PKI\CA\Certs". Beispiel einer Konfiguration mit Ablage "Windows" Der Parameter "StorePath" spielt in diesem Fall keine Rolle. Die Zertifikate der Zertifizierungsstellen müssen Sie entsprechend den Vorgaben des Betriebssystems im Windows–Zertifikatspeicher ablegen. Den Zertifikaten wird vertraut, wenn sie in einem dieser Pfade liegen: • • <Lokaler Computer>\Vertrauenswürdige Stammzertifizierungsstellen <Lokaler Computer>\Drittanbieter-Stamm-Zertifizierungsstellen Hinweis Zertifikate von Zertifizierungsstellen: Voraussetzungen • • Der Typ der Ablage des Server-Zertifikats muss "Directory" sein. Die beiden Ablagen für vertrauenswürdige Client-Zertifikate und für die Zertifikate der Zertifizierungsstellen müssen denselben StoreType haben, also beide entweder "Directory" oder beide "Windows". Abgelehnte Client-Zertifikate Wenn auf den PH-OPC-UA-Server ein UA-Client zugreift, dessen Zertifikat nicht vertrauenswürdig ist, lehnt der PH-OPC-UA-Server die gesicherte Kommunikation ab. Der PHOPC-UA-Server kopiert das Zertifikat des Clients in den Ordner für abgelehnte Zertifikate. Die Ablage der abgelehnten Zertifikate bestimmen Sie über die Konfigurationsdatei des PHOPC-UA-Servers: Hinweis Nur der StoreType "Directory" wird unterstützt. Um die gesicherte Kommunikation mit diesem Client zu ermöglichen, verschieben Sie das abgelehnte Zertifikat in den Zertifikatspeicher der vertrauenswürdigen Zertifikate. This document constitutes a free excerpt compiled by the user himself/herself from the documentation provided by Siemens for this product. Siemens disclaims all liability for the completeness of this document. It shall only be used for the user's own internal purposes. It shall not be passed on to third parties. The complete documentation can be found at: /dokumentation/default.aspx?DocVersionId=71421817611&Language=de-DE&TopicId=71270508299 04.07.2016
© Copyright 2024 ExpyDoc
