Alle Metasys Server-basierten Geräte (ADS, ADX und OAS) und Automationsstationen werden in einem sicheren Modus mit selbstsignierten Zertifikaten installiert und betrieben. Selbstsignierte Zertifikate ermöglichen eine sichere, verschlüsselte Verbindung zum Metasys Webserver und verbessern so die Systemsicherheit. Alle Daten im Netzwerk werden über eine HTTPS-Verbindung mit TLS 1.2 übertragen, sodass ein Auslesen durch eine Fremdanwendung nicht möglich ist. Selbstsignierte Zertifikate signalisieren dem Metasys Webserver, dass die Anwendung authentifiziert und vertrauenswürdig ist. Selbstsignierte Zertifikate sind kostenlos verfügbar.
Falls der Kunde ein höheres Sicherheitsniveau wünscht, kann er die auf dem Metasys Server und den Automationsstationen installierten selbstsignierten Zertifikate durch von einer Zertifizierungsstelle ausgestellte Zertifikate ersetzen. Solche vertrauenswürdigen Zertifikate können von der internen IT-Abteilung des Kunden erstellt oder von einer Zertifizierungsstelle wie Verisign oder GoDaddy erworben werden. Vertrauenswürdige Zertifikate signalisieren dem Metasys Webserver, dass eine Authentifizierung durch eine Zertifizierungsstelle erfolgt ist.
Die Schritte zur Installation vertrauenswürdiger Zertifikate auf einem Metasys Server werden in den entsprechenden Installationsdokumenten: Metasys Server Installation and Upgrade Instructions (LIT-12012162) oder Open Application Server (OAS) Installation and Upgrade Guide (LIT-12013222) . Eine Anleitung zur Installation vertrauenswürdiger Zertifikate auf Automationsstationen finden Sie in SCT: System Configuration Tool Help (LIT-12011964) .
Beachten Sie bei der Verwendung von Zertifikaten Folgendes:
- Die Einrichtung vertrauenswürdiger Zertifikate ist mitunter recht kompliziert. Bitten Sie die IT-Abteilung des Kunden um Hilfe.
- Die sichere und verschlüsselte Kommunikation hat die höchste Bedeutung zwischen dem Liegenschaftsleiter und einem Client, der sich am Liegenschaftsleiter anmeldet. In vielen Fällen ist es ratsam, auf dem Liegenschaftsleiter (ADS, ADX oder OAS) ein vertrauenswürdiges Zertifikat und auf jeder Automationsstation, die auf Version 8.1 oder höher aktualisiert wurde, jeweils ein selbstsigniertes Zertifikat zu installieren. Ist der Liegenschaftsleiter eine Automationsstation, ist es mitunter sinnvoll, nur auf dem NAE-Liegenschaftsleiter ein vertrauenswürdiges Zertifikat und auf den untergeordneten Geräten jeweils selbstsignierte Zertifikate zu installieren.
- Der Name der Automationsstation im SCT-Archiv und der allgemeine Name des Geräts (oder der mit dem Zertifikat verbundene Hostname) im Zertifikat müssen genau übereinstimmen, damit das Zertifikat importiert und mit IIS verbunden werden kann.
- Einige Zertifizierungsstellen verlangen, dass der allgemeine Name des Geräts (oder der mit dem Zertifikat verbundene Hostname) im Zertifikat einen Domänennamen enthält. Wenn Sie eine Zertifikatverwaltung in einem bereits vorhandenen Metasys System implementieren, ist dabei zu berücksichtigen, dass das Hinzufügen eines vertrauenswürdigen Zertifikats u. U. erfordert, dass Sie dem ursprünglichen Hostnamen eines Servers oder einer Automationsstation einen Domänennamen hinzufügen müssen. Dies erfordert, dass alle Daten in den historischen Metasys Datenbasen umbenannt werden müssen. Es ist zu beachten, dass dafür intensive Datenbasisoperationen erforderlich sind, die ein Upgrade des Systems deutlich verlangsamen können. Sie sollten daher zusätzliche Zeit einräumen, wenn Sie im Rahmen eines Upgrades auf die neueste Metasys Version historische Daten umbenennen müssen.