Das SCT kann im Namen einer Automationsstation eine Zertifikatssignieranforderung erzeugen. Das SCT kann jedoch nicht als Zertifizierungsstelle zum Signieren von Zertifikaten agieren. Die Anforderung eines Zertifikats beinhaltet mehrere Schritte, bei denen die folgenden Informationen angegeben werden müssen:
- Allgemeiner Name
- E-Mail-Adresse
- Name der Organisation
- Name der Organisationseinheit
- Stadt
- Bundesland oder Provinz
- Name des Landes
Zusammenfassung der Schritte für Automationsstationen:
- Stellen Sie sicher, dass der Name des Geräts im SCT-Archiv mit dem allgemeinen Namen des Geräts übereinstimmt.
- Erzeugen Sie mit dem SCT eine Zertifikatssignieranforderung und einen zugehörigen privaten Schlüssel für jede Automationsstation. Siehe Anfordern eines Zertifikats.
- Senden Sie für jede Automationsstation eine Zertifikatssignieranforderung zur internen IT-Abteilung oder zur Zertifizierungsstelle. Die interne IT-Abteilung oder die Zertifizierungsstelle sendet die signierten Zertifikatsdateien zurück.
- Importieren Sie die signierten Zertifikatsdateien für jede Automationsstation in das SCT-Archiv. Siehe Importieren eines Zertifikats. Anmerkung: Sie müssen das Stammzertifikat, das Serverzertifikat und eine Zwischenzertifikatsdatei (sofern vorhanden) importieren. Die Kombination aus einem Stammzertifikat, einem oder mehreren Zwischenzertifikaten und einem Serverzertifikat wird als Zertifikatskette bezeichnet. Die Zertifikatskette muss sowohl für den Server als auch für jede Automationsstation vollständig sein, um eine Liegenschaft erfolgreich konfigurieren zu können.
Die Zertifikatssignieranforderung ist abgeschlossen und die Zertifikatsanforderung wird vom SCT aus der Anforderungstabelle entfernt. Der private Schlüssel, der vom SCT zuvor erzeugt wurde, wird mit dem importierten Zertifikat verbunden.
- Exportieren Sie alle Zertifikatsdateien und bewahren Sie sie für den Fall, dass sie erneut importiert werden müssen, an einem sicheren Ort auf. Siehe Exportieren eines Zertifikats.
Anmerkung: Sie können für ein Gerät keine Zertifikatssignieranforderung ausgeben, wenn eine vorhandene Zertifikatssignieranforderung noch aussteht. Sie müssen zuerst die vorhandene Zertifikatssignieranforderung löschen.
Wichtig: Der private Schlüssel, der bei der Erstellung der Zertifikatssignieranforderung erstellt wird, kann nur dann mit dem neuen Zertifikat verbunden werden, wenn der Gerätename im SCT-Archiv mit dem allgemeinen Namen des Geräts übereinstimmt. Stellen Sie daher vor der Ausgabe einer Zertifikatssignieranforderung für ein Gerät sicher, dass der Gerätename korrekt ist. Geschieht dies nicht, ist das neu erworbene Zertifikat u. U. unbrauchbar, weil der Gerätename nicht übereinstimmt. Ein häufiger Fehler besteht darin, dass der Domänenname des Unternehmens in der Zertifikatssignieranforderung nicht angegeben wird. Für dieses Problem gibt es keine Lösung.