Einführung in die Zertifikatverwaltung - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE10501-0 - M4-SNE11000-0 - M4-SNE11001-0 - M4-SNE110L0-0 - M4-SNE110L1-0 - M4-SNE22000-0 - M4-SNE22001-0 - Supervisory Device - SNE10 Network Engine - SNE11 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 12.0

Inbetriebnahmeanleitung SNE

Brand
Metasys
Product name
SNE10 Network Engine
SNE11 Network Engine
SNE22 Network Engine
SNE Supervisory Network Engine
Document type
Commissioning Guide
Document number
LIT-12013352
Version
12.0
Revision date
2023-05-31
Product status
Active
Language
Deutsch

Verwenden Sie die Option Zertifikatverwaltung im SCT, um die vertrauenswürdigen Zertifikate zu verwalten, die auf den Automationsstationen gespeichert sind. Metasys Version 8.1 ist mit Verbesserungen ausgestattet, die durch die Aktivierung von verschlüsselter Kommunikation zwischen Metasys Servern und Automationsstationen mehr Sicherheit bieten. Zu diesen Verbesserungen gehört die Option zur Konfiguration von verschlüsselter und vertrauenswürdiger Kommunikation für Automationsstationen. Ab Version 9.0 ist verschlüsselte und vertrauenswürdige Kommunikation zwischen dem Metasys Server und den Automationsstationen verfügbar. Diese Fähigkeit wird über das Attribut Sicherheitsstufe Liegenschaft im Liegenschaftsobjekt gesteuert. Weitere Informationen hierzu finden Sie in ADS/ADX Commissioning Guide (LIT-1201645) .

Wenn Sie in einer Metasys Liegenschaft der Version 8.1 oder höher installieren oder per Upgrade aktualisieren, werden für den Metasys Server und die Automationsstationen standardmäßig selbstsignierte Zertifikate installiert. Selbstsignierte Zertifikate für Automationsstationen haben eine Gültigkeit von drei Jahren. Die Kommunikation des Metasys Systems wird nach der Installation oder dem Upgrade der Geräte verschlüsselt. Wenn ein Kunde mit der verschlüsselten Kommunikation zufrieden ist, werden keine Maßnahmen zur Zertifikatverwaltung benötigt. Die Systemkomponenten werden online geschaltet und kommunizieren, so wie dies mit jeder Version der Metasys Software üblich ist.

Wenn eine vertrauenswürdige Kommunikation erforderlich ist, kann die IT-Abteilung des Kunden vertrauenswürdige Zertifikate erzeugen oder diese für den Metasys Server und die Automationsstationen von einer Zertifizierungsstelle anfordern. Die Verwaltung von vertrauenswürdigen Zertifikaten für Automationsstationen erfolgt über die Option Zertifikatverwaltung im SCT.
Anmerkung: Wenn Sie eine Zertifikatverwaltung in einem bereits vorhandenen Metasys System implementieren, ist dabei zu berücksichtigen, dass das Hinzufügen eines vertrauenswürdigen Zertifikats u. U. erfordert, dass Sie dem ursprünglichen Hostnamen eines Servers oder einer Automationsstation einen Domänennamen hinzufügen müssen. Dies erfordert, dass alle Daten in den historischen Metasys Datenbasen umbenannt werden müssen. Sie können die Umbenennung im SCT durchführen. Es ist jedoch zu beachten, dass dafür intensive Datenbasisoperationen erforderlich sind, die ein Upgrade des Systems deutlich verlängern können. Sie sollten daher zusätzliche Zeit einräumen, wenn Sie im Rahmen eines Upgrades auf Metasys Version 9.0 historische Daten umbenennen müssen. Detaillierte Informationen zur Umbenennung einer Automationsstation finden Sie in Abschnitt Download in SCT: System Configuration Tool Help (LIT-12011964) .

Der in einem Computer aktive Verbindungsstatus wird durch das Symbol eines Sicherheitsschildes angegeben, das im Metasys Liegenschaftsportal und dem SCT-Anmeldefenster sowie in den Hauptfenstern des Liegenschaftsportals und des SCT angezeigt wird. Wenn die Automationsstation vertrauenswürdige Zertifikate verwendet, wird ein grünes Symbol des Sicherheitsschildes mit einem Kontrollzeichen angezeigt. Wenn die Automationsstation selbstsignierte Zertifikate verwendet, wird ein orangefarbenes Symbol des Sicherheitsschildes mit einem Ausrufezeichen angezeigt. Und wenn die Zertifikatskette zur Automationsstation schließlich unterbrochen ist oder das Zertifikat falsch benannt oder abgelaufen ist, wird ein rotes Schildsymbol mit einem X angezeigt. Der aktive Verbindungsstatus wird nicht auf dem Anmeldebildschirm der neuen Metasys Bedienoberfläche angezeigt.

Damit Sie immer genau wissen, wann die in den Automationsstationen installierten Serverzertifikate ablaufen, gibt es für das Liegenschaftsobjekt das Attribut Certificate Renewal Reminder. Über dieses Attribut wird gesteuert, wann Erinnerungen über den Ablauf von Zertifikaten ausgegeben werden sollen. Es gibt die Anzahl der Tage bis zum Ablauf des Sicherheitszertifikats an. Danach werden Bediener täglich benachrichtigt, dass das Zertifikat einer Automationsstation bald abläuft. Wenn Sie z. B. den Standardzeitraum von 60 Tagen verwenden und ein Serverzertifikat in einer Automationsstation am 1. Januar abläuft, wird ab dem 1. November einmal täglich oder bis zur Erneuerung des selbstsignierten Zertifikats oder der Installation eines neuen vertrauenswürdigen Zertifikats ein Ereignis, das bestätigt werden muss, an die Benutzer gesendet.

Wenn Sie die BACnet/SC-Zertifikate ab Version 12.0 verwalten möchten, verwenden Sie die Funktion BACnet/SC Management, die Teil der Metasys Bedienoberfläche oder des JCTs (Johnson Controls System Configuration Tool) ist. Weitere Informationen zu BACnet/SC-Zertifikaten und ihrer Verwaltung finden Sie hier: BACnet/SC Workflow Technical Bulletin (LIT-12013959) .

In den folgenden Abschnitten ist beschrieben, wie Sicherheitszertifikate für neue Automationsstationen mit dem SCT verwaltet werden, einschließlich der Anforderung, des Uploads und Downloads von Zertifikaten. Die Zertifikatverwaltung wird auch dazu verwendet, das Zertifikat jedes Metasys Servers hinzuzufügen, sodass das SCT das Stammzertifikat des Servers zu den Automationsstationen übertragen kann. Die Kommunikation der Automationsstation mit dem Metasys Server funktioniert zwar ohne das Stammzertifikat, sie ist jedoch nicht vertrauenswürdig. Informationen zur Einrichtung von Stamm-, Zwischen- und Serverzertifikaten im Metasys Server finden Sie im entsprechenden Dokument: Metasys Server Installation and Upgrade Instructions (LIT-12012162) , Open Application Server (OAS) Installation Guide (LIT-12013222) oder NAE85 Installation and Upgrade Instructions (LIT-12011530).

Abbildung 1 zeigt ein Beispiel des Fensters Zertifikatverwaltung im SCT. Öffnen Sie es durch Klicken auf Werkzeuge > Zertifikatverwaltung. Das Fenster enthält die Registerkarte Zertifikate mit detaillierten Informationen über jedes Zertifikat im Archiv. Sie können von diesem Fenster aus ein Zertifikat anfordern, exportieren oder löschen. Darüber hinaus können Sie ein vorhandenes Zertifikat durch ein selbstsigniertes Zertifikat ersetzen.

Abbildung 1. Hauptbildschirm der Zertifikatverwaltung

Die verschiedene Spalten im Fenster Zertifikate sind in der folgenden Tabelle erläutert. Klicken Sie auf eine Spaltenüberschrift, um die Spalte zu sortieren.

Tabelle 1. Beschreibung der Tabelle Zertifikate
Spaltenname Beschreibung

Status

Ein Sicherheitsschildsymbol, das den vom Zertifikat gewährten Verbindungsstatus angibt.

: verschlüsselt und vertrauenswürdig

: verschlüsselt und selbstsigniert

: verschlüsselt, aber die Zertifikatskette zur Liegenschaft oder Automationsstation ist unterbrochen, der Name des Zertifikats stimmt nicht überein oder das Zertifikat ist abgelaufen.

Kontrollkästchen Symbol

Ein Kontrollkästchen zur Auswahl des Geräts, das verwendet werden soll.

Ausgegeben an

Der Name des Geräts, für das das Zertifikat ausgegeben wurde.

Typ

Der Typ des Zertifikats: Stammzertifikat, Zwischenzertifikat oder Serverzertifikat.

Gerät

Das Gerät, mit dem das Zertifikat verbunden ist (einzelnes Gerät oder mehrere Geräte für Zwischen- und Stammzertifikate).

Ablaufdatum

Datum, an dem das Zertifikat abläuft. In der Zertifikatverwaltung sind alle Zertifikate markiert, die innerhalb der Anzahl von Tagen, die im Attribut Zertifikat Erneuerungszeitraum des Liegenschaftsobjekts angegeben ist, ablaufen (oder bereits abgelaufen sind). Über das Attribut Zertifikat Erneuerungszeitraum des Liegenschaftsobjekts wird auch gesteuert, wann Erinnerungen über den Ablauf von Zertifikaten ausgegeben werden sollen. Es gibt die Anzahl der Tage bis zum Ablauf des Sicherheitszertifikats an. Danach wird der Bediener täglich benachrichtigt, dass ein Zertifikat bald abläuft. Dieses Attribut wird mit allen untergeordneten Geräten synchronisiert. Das Attribut Zertifikat Erneuerungszeitraum gilt nur für Geräte ab Version 8.1.

Details

Ein Pfeil, auf den geklickt werden kann, um einen erweiterten Bereich mit weiteren detaillierten Informationen zum Zertifikat anzuzeigen.