Zertifikate OPC UA Server PFC200

tafti
2020-11-23
2020-11-23
  • tafti

    tafti - 2020-11-23

    Hallo zusammen,

    wir arbeiten zur Zeit im Rahmen eines studentischen Projekts an der Realisierung einer OPC UA-Kommunikation zwischen dem OPC UA-Server der PFC200 und einem OPC UA-Client (der z.B. auf einer anderen PFC200 oder auf einem Raspberry Pi läuft). Die Kommunikation funktioniert auch soweit. Jetzt sind wir bei dem Thema Verschlüsselung angelangt. Hierfür wird ja der Security Agent von Codesys, welcher die Zertifikate der SPS verwaltet, benötigt. Wir haben es auch schon geschafft mit Hilfe des Security Agents ein Zertfikat für den OPC UA-Server der PFC200 zu erstellen und das Zertifikat des anfragenden OPC UA-Clients in den Ordner der vertrauenswürdigen Zertifikate zu verschieben. Für diese Konfiguration können wir jetzt eine Verbindung mit der Security-Policy "Basic256Sha256" und dem Message Security Mode "Sign & Encrypt" aufbauen. Das funktioniert soweit wunderbar. Wir haben nun das Problem, dass die aktuellen Zertfikate keiner Trust-Chain entsprechen, da das Zertfikat des OPC UA-Servers der PFC200 selbst signiert worden ist und von keinem Root-Zertifikat.
    Unsere Frage ist jetzt, ist es prinzipiell überhaupt möglich eine solche Trust-Chain auf der PFC200 aufzubauen, weil wir bisher keinerlei Informationen zu dem Thema gefunden haben? Und wenn ja wie?

    Schon einmal vielen Dank und freundliche Grüße

     
  • i-campbell

    i-campbell - 2020-11-23

    Hallo euch,
    Ihr müsst eine CSR bauen, exportieren, signieren, und importieren.
    1. Device > PLC Shell
    2. Typ cert-getapplist. Speichern Sie die App Number des CmpOPCUAServer.
    3. Typ cert-createcsr 0. Tauschen 0 für die App Number aus cert-getapplist.
    4. Device > Files
    5. An der rechts, navigieren nach cert/export und nehmen die 0_CmpOPCUAServer.csr
    6. Signieren das csr wie Sie wollen. z.B. schicken nach Ihren CA.
    7. Leigen die signierte Zertifikat unter Device > Files > cert/import
    8. In Device > PLC Shell, typ cert-import own filename-of-signed-cert.cer

    7 + 8 kann auch über Security Screen gemacht sein.
    Ian

     
    👍
    1
  • hschloemer

    hschloemer - 2020-11-23

    Hallo,

    ich habe das selbe Problem und bleibe als stiller Mitleser dabei :-)
    Gruß

     
  • tafti

    tafti - 2020-11-23

    Ok besten Dank, wir versuchen das mal.

     

Log in to post a comment.