Introduzione alla gestione dei certificati - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE10501-0 - M4-SNE11000-0 - M4-SNE11001-0 - M4-SNE110L0-0 - M4-SNE110L1-0 - M4-SNE22000-0 - M4-SNE22001-0 - Supervisory Device - SNE10 Network Engine - SNE11 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 12.0

Guida al commissioning degli SNE

Product name
SNE10 Network Engine
SNE11 Network Engine
SNE22 Network Engine
SNE Supervisory Network Engine
Document type
Commissioning Guide
Document number
LIT-12013352
Version
12.0
Revision date
2023-05-16
Product status
Active

Per gestire i certificati attendibili per i controllori di rete si utilizzare l'opzione Gestione dei certificati di SCT. I miglioramenti della Release 8.1 di Metasys hanno fornito una maggiore sicurezza consentendo la comunicazione crittografata tra i server Metasys e i controllori di rete. Tra questi miglioramenti vi era la possibilità di configurare una comunicazione crittografata e attendibile per i controllori di rete. A partire dalla Release 9.0, tra il server Metasys e i controllori di rete è possibile una comunicazione crittografata e sicura. Questa capacità è controllata dall'attributo Site Security Level nell'oggetto Sito. Per ulteriori dettagli, vedere ADS/ADX Commissioning Guide (LIT-1201645) .

Quando si installa o aggiorna un sito Metasys alla Release 8.1 o successiva, come impostazione predefinita vengono installati certificati autofirmati per il server Metasys e i controllori di rete. I certificati autofirmati per i controllori di rete hanno una durata di tre anni. Una volta che i dispositivi sono installati o aggiornati, la comunicazione del sistema Metasys è crittografata. Se il cliente è soddisfatto della comunicazione crittografata, non è richiesta alcuna procedura di gestione dei certificati. I componenti del sistema entrano in linea e comunicano come farebbero in qualsiasi release del software Metasys.

Come opzione, se si richiede una comunicazione affidabile, il reparto IT del cliente può generare certificati affidabili o ottenere certificati affidabili da un'autorità di certificazione (CA) per il server Metasys e i controllori di rete. Per gestire i certificati attendibili per i controllori di rete si utilizza l'opzione Gestione dei certificati di SCT.
Nota: Se si sta implementando la gestione dei certificati su un sistema Metasys esistente, tenere presente che l'integrazione di un certificato affidabile potrebbe richiedere di aggiungere un nome di dominio al nome host originale di un server o controllore. A tale scopo è necessario rinominare tutti i dati nei database storici di Metasys. L'operazione di rinomina può essere eseguita in SCT, ma occorre osservare che questa procedura richiede operazioni intensive sui database, che prolungano sensibilmente gli aggiornamenti del sistema. Pertanto, occorre prevedere tempi più lunghi se si rinominano i dati storici nell'ambito di un aggiornamento alla Release 9.0 di Metasys. Per informazioni dettagliate sulla rinomina dei controllori di rete, vedere la sezione Download in SCT: System Configuration Tool Help (LIT-12011964) .

Lo stato di connessione attualmente attivo sul computer è indicato da un'icona a forma di scudo di sicurezza che appare nelle finestre di login di Metasys SMP e SCT e nelle schermate principali dell'interfaccia utente di SMP e SCT. Se il controllore utilizza certificati attendibili, compare un'icona a forma di scudo di colore verde con un segno di spunta. Se il controllore utilizza certificati autofirmati, compare un'icona a forma di scudo di colore arancione con un punto esclamativo. Infine, se la catena di certificati del controllore è interrotta, oppure il certificato ha un nome non corretto o è scaduto, compare un'icona a forma di scudo di colore rosso con una X. La schermata di accesso a Metasys UI non indica lo stato di connessione attiva.

Per ricordare la scadenza dei certificati del server installati sui controllori di rete, l'oggetto Sito contiene un attributo denominato Certificate Renewal Reminder. Questo attributo offre la possibilità di stabilire quando iniziare l'invio dei promemoria sulla scadenza dei certificati. Esso specifica il numero di giorni di anticipo sulla scadenza dei certificati di sicurezza con cui gli operatori riceveranno un promemoria quotidiano sull'imminente scadenza del certificato di un controllore. Se ad esempio si utilizza il periodo predefinito di 60 giorni, e il certificato server di un controllore di rete scade il 1° gennaio, a partire dal 1° novembre gli operatori riceveranno un evento con richiesta di accettazione una volta al giorno, oppure fino a quando il certificato autofirmato non sarà rinnovato o sarà installato un nuovo certificato attendibile.

Per le versioni 12.0 o successive, se si desidera gestire i certificati BACnet/SC, utilizzare la funzione BACnet/SC Management che fa parte di Metasys UI o di Johnson Controls System Configuration Tool (JCT). Per ulteriori informazioni sulla Certificati BACnet/SC e BACnet/SC più in generale, fare riferimento a BACnet/SC Workflow Technical Bulletin (LIT-12013959)

Le sezioni seguenti descrivono come gestire i certificati di sicurezza per controllori di rete con SCT, incluso come richiedere, caricare e scaricare i certificati. Si può utilizzare la Gestione dei certificati anche per aggiungere ogni certificato del server Metasys in modo che SCT possa inviare il certificato radice del server ai controllori di rete. Senza certificato radice, la comunicazione del controllore di rete con il server Metasys funziona ma non è affidabile. Per impostare i certificati radice, intermedio e del server in un server Metasys, fare riferimento al rispettivo documento: Metasys Server Installation and Upgrade Instructions (LIT-12012162) , Open Application Server (OAS) Installation Guide (LIT-12013222), o NAE85 Installation and Upgrade Instructions (LIT-12011530).

Figura 1 mostra un esempio della finestra di gestione dei certificati in SCT. Per aprirla, fare clic su Strumenti > Gestione dei certificati. La finestra comprende una scheda Certificati contenente informazioni aggiornate su ogni certificato presente nell'archivio. Da questa finestra è possibile richiedere, esportare o eliminare un certificato. È anche possibile sostituire un certificato esistente con un certificato autofirmato.

Figura 1. Schermata principale della Gestione dei certificati

La tabella seguente descrive le colonne della finestra dei certificati. Fare clic sull'intestazione di una colonna per ordinare i dati secondo quel criterio.

Tabella 1. Descrizione della tabella dei certificati
Nome colonna Descrizione

Stato

Icona a forma di scudo che indica lo stato di connessione abilitato dal certificato.

: crittografato e attendibile

: crittografato e autofirmato

: crittografato, ma la catena di certificati del sito o del controllore è interrotta, il nome del certificato non corrisponde o il certificato è scaduto.

Casella di selezione

Casella che permette di selezione il dispositivo con cui si desidera operare.

Inviato a

Nome del dispositivo per il quale è emesso il certificato.

Tipo

Tipo di certificato: radice, intermedio o server.

Dispositivo

Dispositivo a cui è associato il certificato (singolo o multiplo per certificati intermedi e radice).

Scadenza

Data di scadenza del certificato. Lo strumento di gestione dei certificati evidenzia tutti i certificati che scadranno entro il numero di giorni specificato nell'attributo Periodo rinnovo certificato dell'oggetto sito (o che sono già scaduti). Inoltre, l'attributo Periodo rinnovo certificato dell'oggetto sito controlla l'inizio dell'invio dei promemoria sulla scadenza dei certificati. Esso specifica il numero di giorni di anticipo sulla scadenza dei certificati di sicurezza con cui l'operatore riceverà un promemoria quotidiano sull'imminente scadenza di un certificato. Questo attributo è sincronizzato per tutti i dispositivi child. L'attributo Periodo rinnovo certificato si applica solo ai dispositivi che utilizzano la Release 8.1 o successiva.

Dettagli

Facendo clic sulla freccia in questo campo viene aperto un riquadro contenente informazioni più dettagliate sul certificato.