Einführung in die Zertifikatsverwaltung - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE11000-0 - M4-SNE110L0-0 - M4-SNE22000-0 - Supervisory Device - SNE16 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 10.1

Inbetriebnahmeanleitung SNE

Product
Network Engines > Network Control Engines > SNE22 Network Engine
Document type
Commissioning Guide
Document number
LIT-12013352
Version
10.1
Revision date
2020-11-10

Bei der Zertifikatsverwaltung handelt es sich um eine Option im SCT, die dazu dient, in den Automationsstationen gespeicherte vertrauenswürdige Zertifikate zu verwalten. Metasys Version 8.1 ist mit Verbesserungen ausgestattet, die durch die Aktivierung von verschlüsselter Kommunikation zwischen Metasys Servern und Automationsstationen mehr Sicherheit bieten. Zu diesen Verbesserungen gehört die Option zur Konfiguration von verschlüsselter und vertrauenswürdiger Kommunikation für Automationsstationen. Ab Version 9.0 ist verschlüsselte und vertrauenswürdige Kommunikation zwischen dem Metasys Server und den Automationsstationen verfügbar. Diese Fähigkeit wird über das Attribut Sicherheitsstufe Liegenschaft beim Objekt vom Typ Liegenschaft gesteuert. Weitere Informationen hierzu finden Sie in ADS/ADX Commissioning Guide (LIT-1201645) .

Wenn Sie in einer Metasys Liegenschaft der Version 8.1 oder höher installieren oder per Upgrade aktualisieren, werden für den Metasys Server und die Automationsstationen standardmäßig selbstsignierte Zertifikate installiert. Selbstsignierte Zertifikate für Automationsstationen haben eine Gültigkeit von drei Jahren. Die Kommunikation des Metasys Systems wird nach der Installation oder dem Upgrade der Geräte verschlüsselt. Wenn ein Kunde mit der verschlüsselten Kommunikation zufrieden ist, werden keine Maßnahmen zur Zertifikatsverwaltung benötigt. Die Systemkomponenten werden online geschaltet und kommunizieren, so wie dies mit jeder Version der Metasys Software üblich ist.

Wenn vertrauenswürdige Kommunikation gewünscht wird, kann die IT-Abteilung des Kunden vertrauenswürdige Zertifikate erstellen oder diese für den Metasys Server und die Automationsstationen von einer Zertifizierungsstelle anfordern. Die Verwaltung von vertrauenswürdigen Zertifikaten für Automationsstationen erfolgt über die Option Zertifikatverwaltung im SCT.
Anmerkung: Wenn Sie eine Zertifikatverwaltung in einem bereits vorhandenen Metasys System implementieren, ist dabei zu berücksichtigen, dass das Hinzufügen eines vertrauenswürdigen Zertifikats u. U. erfordert, dass Sie dem ursprünglichen Hostnamen eines Servers oder einer Automationsstation einen Domänennamen hinzufügen müssen. Dies erfordert, dass alle Daten in den historischen Metasys Datenbasen umbenannt werden müssen. Sie können die Umbenennung im SCT durchführen. Es ist jedoch zu beachten, dass dafür intensive Datenbasisoperationen erforderlich sind, die ein Upgrade des Systems deutlich verlängern können. Sie sollten daher zusätzliche Zeit einräumen, wenn Sie im Rahmen eines Upgrades auf Metasys Version 9.0 historische Daten umbenennen müssen. Detaillierte Informationen zur Umbenennung einer Automationsstation finden Sie in Abschnitt Download in Metasys® SCT Help (LIT-12011964) .

Der in einem Computer aktive Verbindungstatus wird durch das Symbol eines Sicherheitsschildes angegeben, das im Metasys Liegenschaftsportal und dem SCT-Anmeldefenster sowie in den Hauptfenstern des Liegenschaftsportals und des SCT angezeigt wird. Wenn die Automationsstation vertrauenswürdige Zertifikate verwendet, wird ein grünes Symbol des Sicherheitsschildes mit einem Kontrollzeichen angezeigt. Wenn die Automationsstation selbstsignierte Zertifikate verwendet, wird ein orangefarbenes Symbol des Sicherheitsschildes mit einem Ausrufezeichen angezeigt. Und wenn die Zertifikatskette zur Automationsstation unterbrochen ist oder das Zertifikat falsch benannt oder abgelaufen ist, wird ein rotes Schildsymbol mit einem X angezeigt. Der aktive Verbindungsstatus wird nicht auf dem Anmeldebildschirm der neuen Metasys Bedienoberfläche angezeigt.

Damit Sie immer genau wissen, wann die in den Automationsstationen installierten Serverzertifikate ablaufen, gibt es für das Liegenschaftsobjekt das Attribut Erinnerung Zertifikat erneuern. Über dieses Attribut wird gesteuert, wann Erinnerungen über den Ablauf von Zertifikaten ausgegeben werden sollen. Es gibt die Anzahl der Tage bis zum Ablauf des Sicherheitszertifikats an. Danach werden Bediener täglich benachrichtigt, dass das Zertifikat einer Automationsstation bald abläuft. Wenn Sie z. B. den Standardzeitraum von 60 Tagen verwenden und ein Serverzertifikat in einer Automationsstation am 1. Januar abläuft, wird ab dem 1. November einmal täglich oder bis zur Erneuerung des selbstsignierten Zertifikats oder der Installation eines neuen vertrauenswürdigen Zertifikats ein Ereignis, das bestätigt werden muss, an die Benutzer gesendet.

In den folgenden Abschnitten ist beschrieben, wie Sicherheitszertifikate für neue Automationsstationen mit dem SCT 12.0 verwaltet werden, einschließlich der Anforderung, des Uploads und Downloads von Zertifikaten. Die Zertifikatsverwaltung wird auch dazu verwendet, das Zertifikat jedes Metasys Servers hinzuzufügen, sodass das SCT das Stammzertifikat des Servers zu den Automationsstationen übertragen kann. Die Kommunikation der Automationsstation mit dem Metasys Server funktioniert zwar ohne das Stammzertifikat, sie ist jedoch nicht vertrauenswürdig. Informationen zur Einrichtung von Stamm-, Zwischen- und Serverzertifikaten im Metasys Server finden Sie im entsprechenden Dokument: Metasys® Server Installation and Upgrade Instructions (LIT-12012162) , ODS Installation and Upgrade Instructions (LIT-12011945) , Open Application Server (OAS) Installation Guide (LIT-12013222) oder NAE85 Installation and Upgrade Instructions (LIT-12011530).

Abbildung 1 zeigt ein Beispiel des Fensters Zertifikatverwaltung im SCT. Öffnen Sie es durch Klicken auf Werkzeuge > Zertifikatverwaltung. Das Fenster enthält die Registerkarte Zertifikate mit detaillierten Informationen über jedes Zertifikat im Archiv. Sie können von diesem Fenster aus ein Zertifikat anfordern, exportieren oder löschen. Darüber hinaus können Sie ein vorhandenes Zertifikat durch ein selbstsigniertes Zertifikat ersetzen.

Abbildung 1. Hauptbildschirm der Zertifikatsverwaltung

Die verschiedene Spalten im Fenster Zertifikate werden in der folgenden Tabelle erläutert. Klicken Sie auf eine Spaltenüberschrift, um die Spalte zu sortieren.

Tabelle 1. Beschreibung der Tabelle Zertifikate
Spaltenname Beschreibung

Status

Ein Sicherheitsschildsymbol, das den vom Zertifikat gewährten Verbindungsstatus angibt.

: verschlüsselt und vertrauenswürdig

: verschlüsselt und selbstsigniert

: verschlüsselt, aber die Zertifikatskette zur Liegenschaft oder Automationsstation ist unterbrochen, der Name des Zertifikats stimmt nicht überein oder das Zertifikat ist abgelaufen.

Kontrollkästchen Symbol

Ein Kontrollkästchen zur Auswahl des Geräts, das verwendet werden soll.

Ausgegeben an

Der Name des Geräts, für das das Zertifikat ausgegeben wurde.

Typ

Der Typ des Zertifikats: Stammzertifikat, Zwischenzertifikat oder Serverzertifikat.

Gerät

Das Gerät, mit dem das Zertifikat verbunden ist (einzelnes Gerät oder mehrere Geräte für Zwischen- und Stammzertifikate).

Ablauf

Datum, an dem das Zertifikat abläuft. In der Zertifikatsverwaltung sind alle Zertifikate markiert, die innerhalb der Anzahl von Tagen, die im Attribut Zertifikat Erneuerungszeitraum des Liegenschaftsobjekts angegeben ist, ablaufen (oder bereits abgelaufen sind). Über das Attribut Zertifikat Erneuerungszeitraum des Liegenschaftsobjekts wird auch gesteuert, wann Erinnerungen über den Ablauf von Zertifikaten ausgegeben werden sollen. Es gibt die Anzahl der Tage bis zum Ablauf des Sicherheitszertifikats an. Danach wird der Bediener täglich benachrichtigt, dass ein Zertifikat bald abläuft. Dieses Attribut wird mit allen untergeordneten Geräten synchronisiert. Das Attribut Zertifikat Erneuerungszeitraum gilt nur für Geräte ab Version 8.1.

Details

Ein Pfeil, auf den geklickt werden kann, um einen erweiterten Bereich mit weiteren detaillierten Informationen zum Zertifikat anzuzeigen.