Beruflich Dokumente
Kultur Dokumente
Rechtliche Hinweise
Nutzung der Anwendungsbeispiele
In den Anwendungsbeispielen wird die Lösung von Automatisierungsaufgaben im Zusammen-
spiel mehrerer Komponenten in Form von Text, Grafiken und/oder Software-Bausteinen
beispielhaft dargestellt. Die Anwendungsbeispiele sind ein kostenloser Service der Siemens AG
und/oder einer Tochtergesellschaft der Siemens AG („Siemens“). Sie sind unverbindlich und
erheben keinen Anspruch auf Vollständigkeit und Funktionsfähigkeit hinsichtlich Konfiguration
und Ausstattung. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar,
sondern bieten lediglich Hilfestellung bei typischen Aufgabenstellungen. Sie sind selbst für den
sachgemäßen und sicheren Betrieb der Produkte innerhalb der geltenden Vorschriften
verantwortlich und müssen dazu die Funktion des jeweiligen Anwendungsbeispiels überprüfen
und auf Ihre Anlage individuell anpassen.
Sie erhalten von Siemens das nicht ausschließliche, nicht unterlizenzierbare und nicht
übertragbare Recht, die Anwendungsbeispiele durch fachlich geschultes Personal zu nutzen.
Jede Änderung an den Anwendungsbeispielen erfolgt auf Ihre Verantwortung. Die Weitergabe an
Dritte oder Vervielfältigung der Anwendungsbeispiele oder von Auszügen daraus ist nur in
Kombination mit Ihren eigenen Produkten gestattet. Die Anwendungsbeispiele unterliegen nicht
zwingend den üblichen Tests und Qualitätsprüfungen eines kostenpflichtigen Produkts, können
Funktions- und Leistungsmängel enthalten und mit Fehlern behaftet sein. Sie sind verpflichtet, die
Nutzung so zu gestalten, dass eventuelle Fehlfunktionen nicht zu Sachschäden oder der
Verletzung von Personen führen.
Haftungsausschluss
Siemens schließt seine Haftung, gleich aus welchem Rechtsgrund, insbesondere für die
Verwendbarkeit, Verfügbarkeit, Vollständigkeit und Mangelfreiheit der Anwendungsbeispiele,
sowie dazugehöriger Hinweise, Projektierungs- und Leistungsdaten und dadurch verursachte
Schäden aus. Dies gilt nicht, soweit Siemens zwingend haftet, z.B. nach dem Produkthaftungs-
gesetz, in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der schuldhaften Verletzung
des Lebens, des Körpers oder der Gesundheit, bei Nichteinhaltung einer übernommenen
© Siemens AG 2019 All rights reserved
Garantie, wegen des arglistigen Verschweigens eines Mangels oder wegen der schuldhaften
Verletzung wesentlicher Vertragspflichten. Der Schadensersatzanspruch für die Verletzung
wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden
begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegen oder wegen der Verletzung
des Lebens, des Körpers oder der Gesundheit gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist mit den vorstehenden Regelungen nicht verbunden. Von in diesem Zusammen-
hang bestehenden oder entstehenden Ansprüchen Dritter stellen Sie Siemens frei, soweit
Siemens nicht gesetzlich zwingend haftet.
Durch Nutzung der Anwendungsbeispiele erkennen Sie an, dass Siemens über die beschriebene
Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann.
Weitere Hinweise
Siemens behält sich das Recht vor, Änderungen an den Anwendungsbeispielen jederzeit ohne
Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in den Anwendungs-
beispielen und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Ergänzend gelten die Siemens Nutzungsbedingungen (https://support.industry.siemens.com).
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren
Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es
erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich
aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen
von Siemens formen nur einen Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen
und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem
Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig
ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerk-
segmentierung) ergriffen wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen
beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter:
https://www.siemens.com/industrialsecurity.
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer
zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die
entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu
verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko
von Cyber-Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial
Security RSS Feed unter: https://www.siemens.com/industrialsecurity.
Inhaltsverzeichnis
Rechtliche Hinweise .................................................................................................... 2
1 Einführung .......................................................................................................... 4
1.1 Überblick............................................................................................... 4
1.2 Funktionsweise ..................................................................................... 5
1.2.1 Allgemeines zu Zertifikaten .................................................................. 5
1.2.2 Zertifikatsmanager von TIA Portal ........................................................ 6
1.2.3 Selbstsigniertes Gerätezertifikat .......................................................... 8
1.2.4 Zertifikat signiert über eine Zertifizierungsstelle ................................... 9
1.2.5 Entscheidungshilfe ............................................................................. 10
2 Zertifikatsmanager nutzen .............................................................................. 11
2.1 Aktivieren und verstehen .................................................................... 11
2.2 Zertifikate direkt installieren................................................................ 15
2.3 Zertifikate exportieren......................................................................... 18
3 Sichere Webserver-Verbindung ..................................................................... 20
3.1 Webserver und Webserver-Zertifikate ............................................... 20
3.2 Browser einrichten und testen ............................................................ 26
3.2.1 Internet Explorer oder Edge ............................................................... 27
3.2.2 Google Chrome .................................................................................. 35
3.2.3 Firefox................................................................................................. 46
3.2.4 Betriebssystem Android ..................................................................... 51
© Siemens AG 2019 All rights reserved
1 Einführung
1.1 Überblick
Inhalt des Dokuments
Dieses Dokument beschreibt die Handhabung von Webserver- und OPC UA-
Zertifikaten im SPS-Umfeld. Sie erfahren, welche Möglichkeiten TIA Portal derzeit
anbietet bzw. wie die Handhabung verläuft.
Sie erhalten eine Anleitung für die folgenden Punkte:
• Aufbau einer gesicherten Verbindung zum Webserver einer
SIMATIC S7-1500 CPU.
• Aufbau einer gesicherten Verbindung zwischen dem integrierten
OPC UA-Server einer SIMATC S7-1500 CPU und einem OPC UA-Client.
Voraussetzungen
Für eine erfolgreiche Implementierung wird die folgende Softwareumgebung
vorausgesetzt:
• TIA Portal V15.1
• Windows 7 Prof. oder Windows 10
• Ein https-fähiger Browser, z. B. Internet Explorer V11 oder Google Chrome
V75
© Siemens AG 2019 All rights reserved
Vorbereitung
Legen Sie ein neues TIA Portal-Projekt mit Ihrer verwendeten CPU an. Vergeben
Sie der CPU eine Netzwerkadresse.
Stellen Sie sicher, dass die Uhrzeit der CPU auf die aktuelle Zeit eingestellt ist. Ein
Zertifikat enthält immer eine Zeitspanne, in der es gültig ist. Um mit dem Zertifikat
verschlüsseln zu können, muss die Uhrzeit der S7-CPU auch in dieser Zeitspanne
liegen. Bei einer fabrikneuen S7-CPU oder nach Urlöschen der S7-CPU steht die
interne Uhr auf einem Default-Wert, der außerhalb der Zertifikatslaufzeit liegt. Das
Zertifikat wird dann als ungültig markiert.
1.2 Funktionsweise
1.2.1 Allgemeines zu Zertifikaten
Beschreibung
Für den Aufbau einer gesicherten Verbindung zu einer SIMATIC S7-1500-CPU
wird ein Gerätezertifikat (End-Entitiy-Zertifikat) benötigt. Ein Gerätezertifikat ist z. B.
ein Server-Zertifikat für den Web- oder OPC-Server.
Mit dem Laden der Hardware-Konfiguration in die CPU wird das von TIA Portal
erzeugte oder selbst erzeugte Gerätezertifikat automatisch mitgeladen.
Zertifikate erstellen
Gerätezertifikate für die CPU können auf folgenden Wegen bezogen werden:
• Manuell erstellt und generiert durch den Benutzer.
• Automatisch durch TIA Portal generiert.
Bei S7-1500-CPUs ab Firmware V2.0 erzeugt TIA Portal das Gerätezertifikat
für die CPU automatisch, sobald Sie den Webserver der CPU mit der Option
"HTTPS" oder den OPC UA-Server aktivieren.
Zertifikatstypen
Es werden die folgenden Zertifikatstypen unterschieden:
© Siemens AG 2019 All rights reserved
Die automatisch erzeugten Gerätezertifikate sind durch die TIA Portal interne
Zertifizierungsstelle ausgestellt und signiert.
Wenn Sie in TIA Portal die Gerätezertifikate manuell anlegen, dann können Sie die
Option "Selbstsigniert" ("Self signed") oder "Zertifizierungsstelle" ("Signed by
certificate authority") wählen.
Abbildung 1-1
Beschreibung
Sie können das TIA Portal-Projekt durch die Option "Globale Security-
Einstellungen für den Zertifikatsmanager verwenden" ("Use global security settings
for certificate manager") als Zertifizierungsstelle nutzen.
Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität
des Zertifikats und seines Erstellers bestätigt.
Die Option entscheidet darüber, ob Sie Zugriff auf alle Zertifikate im Projekt haben
oder nicht und ob Sie sich die Gerätezertifikate durch die CA-Zertifikate der
Zertifizierungsstelle signieren lassen können oder nicht.
• Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen nicht
verwenden, dann haben Sie nur Zugriff auf den lokalen Zertifikatsspeicher der
CPU. Sie haben keinen Zugriff z. B. auf importierte Zertifikate oder
Stammzertifikate. Ohne diese Zertifikate ist nur eine eingeschränkte
Funktionalität verfügbar. Sie können z. B. nur selbstsignierte Zertifikate
erzeugen.
• Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen
verwenden, dann haben Sie Zugriff auf den globalen, projektweiten
Zertifikatsspeicher. Sie können z. B. der CPU importierte Zertifikate zuweisen
oder Gerätezertifikate erstellen, die von der Zertifizierungsstelle des Projekts
ausgestellt und signiert sind.
TIA Portal stellt dafür für das Gesamtprojekt zwei Stammzertifikate (CA-
© Siemens AG 2019 All rights reserved
Zertifikate) bereit.
Hinweis In diesem Beispiel wird der Globale Zertifizierungsmanager von TIA Portal
aktiviert und verwendet.
Beschreibung
Selbstsignierte Zertifikate sind Zertifikate, deren Signatur vom Zertifikatsinhaber
stammt und nicht von einer unabhängigen Zertifizierungsstelle.
Wenn Sie selbstsignierte Zertifikate verwenden, dann wird für jede CPU ein
Gerätezertifikat in TIA Portal erstellt und anschließend in die CPU geladen. Dieses
Gerätezertifikat müssen Sie auch in dem PC installieren, mit dem Sie auf den Web-
bzw. OPC-Server der CPU zugreifen möchten.
Für selbstsignierte Zertifikate ist keine Prüfung mit den CA-Zertifikaten des
TIA Portal-Projekts möglich.
Manuelle Generierung
Beim Anlegen von Gerätezertifikaten in TIA Portal können Sie die Option
"Selbstsigniert" wählen. Selbstsignierte Zertifikate können Sie erstellen, ohne für
die globalen Security-Einstellungen angemeldet zu sein.
Automatische Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen nicht
verwenden, dann erzeugt TIA Portal das Gerätezertifikat als selbstsigniertes
Zertifikat.
© Siemens AG 2019 All rights reserved
Wichtiger Hinweis
Wenn Sie den Web- oder OPC-Server der CPU über die IP-Adresse der CPU
adressieren, dann ist mit jeder Änderung der IP-Adresse einer Ethernet-
Schnittstelle der CPU ein neues Gerätezertifikat zu erzeugen und zu laden. Der
Grund ist, dass sich mit der IP-Adresse die Identität der CPU ändert.
Sie können dieses Problem vermeiden, indem Sie die CPU über einen
Domainnamen adressieren statt mit ihrer IP-Adresse, z. B. "myconveyer-
cpu.room13.myfactory.com". Dazu müssen Sie die Domainnamen der CPUs über
einen DNS-Server verwalten.
Beschreibung
Signierte Zertifikate sind Zertifikate, deren Signatur von einer unabhängigen
Zertifizierungsstelle kommt.
Wenn Sie durch eine Zertifizierungsstelle signierte Zertifikate verwenden, dann
wird pro CPU ein Gerätezertifikat in TIA Portal erstellt und anschließend in die CPU
geladen.
Auf dem PC, mit dem Sie auf den Webserver bzw. OPC-Server der CPU zugreifen
möchten, müssen Sie erstmal keine Aktion durchführen.
Manuelle Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen der CPU
verwenden, dann können Sie sich die Gerätezertifikate der CPU von der
Zertifizierungsstelle des Projekts (CA-Zertifikat) signieren lassen.
Welches CA-Zertifikat verwendet werden soll, können Sie selbst bestimmen.
Automatische Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen
verwenden, dann erzeugt TIA Portal ein Gerätezertifikat signiert über ein von
TIA Portal bereitgestelltes CA-Zertifikat.
Beim Laden wird das CA-Zertifikat des Projekts automatisch mitgeladen.
© Siemens AG 2019 All rights reserved
Wichtiger Hinweis
Sie können von einem PC aus auf den Webserver der CPU per HTTPS zugreifen.
Allerdings werden Sie von Ihrem Webbrowser gewarnt, diese Seite nicht zu
benutzen, da der Webserver als nicht vertrauenswürdig eingestuft werden kann.
Um die Seite zu sehen, müssen Sie explizit die Webseite als Ausnahme
hinzufügen. Die Ursache ist das fehlende CA-Zertifikat, mit welcher das Server-
Zertifikat der CPU signiert wurde.
Aus diesem Grund wird Ihnen empfohlen, dass CA-Zertifikat der CPU zu
installieren. Wenn das CA-Zertifikat installiert ist, dann wird Ihr Webbrowser keine
Warnung mehr anzeigen, da der Webserver verifiziert werden kann.
Um das CA-Zertifikat zu installieren, haben Sie die folgenden Möglichkeiten:
• Sie können das gültige CA-Zertifikat direkt von der Startseite "Intro" des
Webservers unter "Zertifikat herunterladen" ("Download certificate")
herunterladen (siehe Kapitel 3.2).
• Sie können aus TIA Portal heraus das CA-Zertifikat exportieren und
anschließend das CA-Zertifikat in den Browser importieren (siehe Kapitel 2.3).
• Sie können direkt aus TIA Portal heraus das CA-Zertifikat installieren (siehe
Kapitel 2.2).
1.2.5 Entscheidungshilfe
Selbstsignierte Zertifikate
Wenn Sie selbstsignierte Gerätezertifikate verwenden, dann müssen Sie für jede
CPU ein eigenes Gerätezertifikat erstellen, selbstsignieren und dieses
Gerätezertifikat in den PC installieren.
Aufwendig wird es, wenn Sie mehrere CPUs bzw. PCs verwenden:
• Wenn Sie mehrere CPUs haben, müssen Sie auf dem PC die Gerätezertifikate
aller CPUs installieren.
• Wenn Sie mehrere CPUs mit mehreren PCs erreichen möchten, dann müssen
Sie auf allen PCs die Gerätezertifikate aller CPUs installieren.
Zudem müssen Sie beachten, dass sich die IP-Adresse der CPU nicht ändern darf,
da Sie sonst neue Gerätezertifikate generieren, laden und installieren müssen.
Sie müssen weiterhin pro CPU ein eigenes Gerätezertifikat erstellen. Da aber alle
Gerätezertifikate mit dem gleichen CA-Zertifikat signiert wurden, müssen Sie auf
dem PC / den PCs nur dieses eine CA-Zertifikat installieren.
Unabhängig davon, ob Sie nur eine CPU oder mehrere CPUs erreichen möchten,
ist es ausreichend, nur ein Zertifikat (das CA-Zertifikat) auf dem PC zu installieren.
Das CA-Zertifikat können Sie einfach direkt aus dem globalen
Zertifizierungsmanager installieren, exportieren oder von der Startseite des
Webservers der CPU herunterladen.
Dadurch, dass auf dem PC nur das CA-Zertifikat installiert werden muss, können
Sie auch im Nachgang die IP-Adresse der CPU ändern ohne Konsequenzen für
die PC-Seite.
Zusammenfassung
Die folgende Tabelle dient als zusätzliche Entscheidungshilfe:
Tabelle 1-1
Selbstsigniert Zertifizierungsstelle
1 CPU, 1PC / Client, + -
keine Änderungen geplant
n CPUs, m PC / Clients, - +
Änderungen möglich
Herunterladen des - +
Zertifikats über Webserver
2 Zertifikatsmanager nutzen
In TIA Portal werden die Zertifikate im Zertifikatsmanager der globalen Security-
Einstellungen verwaltet. Der Zertifikatsmanager enthält eine Übersicht aller im
Projekt verwendeten Zertifikate. Im Zertifikatsmanager können Sie z. B. neue
Zertifikate importieren sowie bestehende Zertifikate exportieren, erneuern oder
ersetzen. Jedem Zertifikat ist eine ID zugeordnet, über die das Zertifikat in den
Programmbausteinen referenziert werden kann.
Ergebnis
Der globale Zertifizierungsmanager ist aktiviert.
Abbildung 2-3
Projekt schützen
Nachdem Sie die globalen Security-Einstellungen für den Zertifikatsmanager
aktiviert haben, müssen Sie das Projekt vor unbefugtem Zugriff schützen.
Sie schützen das Projekt, indem Sie einen Projektadministrator definieren und sich
mit diesem Benutzer später anmelden. Ohne Anmeldung können Sie nicht auf den
Zertifikatsmanager der globalen Security-Einstellungen zugreifen.
Abbildung 2-4
2. Definieren Sie einen Benutzernamen und ein Passwort. Bestätigen Sie das
Passwort. Klicken Sie auf die Schaltfläche "OK".
Abbildung 2-5
Ergebnis
Sie haben das Projekt geschützt und einen Projektadministrator bestimmt.
Sie können fortan das Projekt nur öffnen, wenn Sie sich vorher als
Projektadministrator angemeldet haben.
Wenn Sie sich angemeldet haben, erscheint unter dem Eintrag "Security-
Einstellungen > Security-Funktionen" ("Security settings > Security features") unter
anderem eine Zeile "Zertifikatsmanager" ("Certificate manager").
Abbildung 2-6
© Siemens AG 2019 All rights reserved
Zertifikatsmanager verstehen
Mit einem Doppelklick auf die neu erschienene Zeile "Zertifikatsmanager"
("Certificate manager") in der Projektnavigation erhalten Sie Zugang zu allen
Zertifikaten im Projekt, aufgeteilt in die Register
• "Zertifizierungsstellen (CA)" ("Certificate authority (CA)"),
• "Gerätezertifikate" ("Device certificates") und
• "Vertrauenswürdige Zertifikate und Stammzertifizierungsstellen" ("Trusted
certificates and root certificates").
TIA Portal stellt für das Gesamtprojekt zwei Stammzertifikate (CA-Zertifikate)
bereit, die sich in der Verschlüsselungsstärke der Hash-Algorithmen für die
Zertifikatssignatur unterscheiden:
• Das CA-Zertifikat mit der "ID: 1" beinhaltet die mit SHA1 verschlüsselte
Zertifikat- Signatur.
• Das CA-Zertifikat mit der "ID: 2" beinhaltet die mit SHA256 verschlüsselte
Zertifikat- Signatur.
Abbildung 2-7
© Siemens AG 2019 All rights reserved
2. Wählen Sie ein Zertifikat aus und öffnen Sie über die rechte Maustaste das
Kontextmenü. Wählen Sie den Eintrag "Anzeigen" ("Show").
Abbildung 2-9
© Siemens AG 2019 All rights reserved
Ergebnis
Sie haben das Zertifikat aus TIA Portal in den Zertifikatsspeicher von Windows
importiert. Um den Import zu prüfen, können Sie die Management-Konsole "mmc"
von Microsoft verwenden. Fügen Sie dafür das Snap-In "Zertifikate" ("Certificates")
der Konsole hinzu.
Abbildung 2-13
© Siemens AG 2019 All rights reserved
Hinweis Die MMC aktualisiert die Anzeige nicht selbständig. Wird das Zertifikat hier noch
nicht angezeigt, reicht in der Regel ein Neustart der MMC aus.
2. Wählen Sie ein Zertifikat aus und öffnen Sie über die rechte Maustaste das
Kontextmenü. Wählen Sie den Eintrag "Exportieren" ("Export").
Abbildung 2-14
© Siemens AG 2019 All rights reserved
3. Ein Dialog wird geöffnet. Wählen Sie den Speicherort des Zertifikats aus.
Ändern Sie falls nötig den Dateityp. Klicken Sie auf die Schaltfläche
"Speichern" ("Save").
Abbildung 2-15
Hinweis In der Voreinstellung wird das Zertifikat als Dateityp "*.der" exportiert.
Wenn Sie einen anderen Dateityp benötigen, dann können Sie die
Voreinstellung in der Auswahlliste bei "Dateityp" ("Data type") ändern.
Ergebnis
Sie haben das Zertifikat aus TIA Portal exportiert und auf dem PC gespeichert. Sie
können das Zertifikat nun auch auf einen anderen PC übertragen oder in eine
andere Anwendung, z B. UaExpert, importieren.
Um das exportierte Zertifikat direkt zu installieren, klicken Sie doppelt auf das
exportierte Zertifikat. Das Zertifikat wird angezeigt und kann installiert werden
(siehe Schritt 2 von Kapitel 2.2).
© Siemens AG 2019 All rights reserved
3 Sichere Webserver-Verbindung
3.1 Webserver und Webserver-Zertifikate
Übersicht
Für eine sichere Verbindung wird der Webserver der CPU so eingerichtet, dass nur
eine Verbindung über HTTPS zulässig ist. Dafür benötigt die CPU ein
Gerätezertifikat (Server-Zertifikat).
Bei S7-1500 CPUs ab Firmware V2.0 erzeugt TIA Portal das Server-Zertifikat für
die CPU automatisch, sobald Sie den Webserver über HTTPS aktivieren und das
Projekt übersetzen.
In den Eigenschaften der CPU können Sie
• das Server-Zertifikat einsehen.
• ein neues Server-Zertifikat generieren.
• ein anderes Server-Zertifikat dem Webserver zuweisen.
Ergebnis
Sie haben den Webserver mit der Option "HTTPS" aktiviert. Der Webserver der
CPU ist über die folgende Adresse erreichbar: "https://<IP-Adresse der CPU>".
Server-Zertifikat einsehen
Nachdem Sie die Option "Zugriff nur über HTTPS zulassen" ("Permit access only
with HTTPS") aktiviert und das TIA Portal-Projekt übersetzt haben, generiert
TIA Portal ein Server-Zertifikat.
Sie finden das Server-Zertifikat in den Eigenschaften des Webservers.
Wählen Sie in der Bereichsnavigation den Eintrag "Webserver > Security" ("Web
server > Security") aus. Unter "Server Zertifikat" ("Server certificate") sehen Sie,
dass TIA Portal bereits ein dem Webserver zugeordnetes Gerätezertifikat erzeugt
hat.
Abbildung 3-2
3. Ein Dialog erscheint und listet alle verfügbaren Server-Zertifikate auf. Um ein
neues Server-Zertifikat zu erstellen, klicken Sie auf die Schaltfläche
"Hinzufügen" ("Add new").
© Siemens AG 2019 All rights reserved
Abbildung 3-4
Hinweis Stimmen Sie die Gültigkeit des Zertifikats mit dem Anlagenbetreiber ab.
6. Sie können das neu erzeugte Gerätezertifikat nun als Server-Zertifikat des
Webservers nutzen.
Abbildung 3-7
7. Übersetzen Sie Ihr TIA Portal-Projekt und laden Sie die CPU. Beim
Ladevorgang werden unter anderem das Gerätezertifikat, das CA-Zertifikat
und die Berechtigung für den Webserver-Zugriff in die CPU geladen.
Ergebnis
Im Zertifikatsmanager im Register "Gerätezertifikate" ("Device certificates") wird
das neue Gerätezertifikat zu den vorhandenen Gerätezertifikaten hinzugefügt.
Abbildung 3-8
Beschreibung
Mit dem Zusatz "https" erreichen Sie, dass der Webserver dem Browser sein
Gerätezertifikat überträgt. Wenn das CA-Zertifikat, mit dem das Gerätezertifikat
des Webservers signiert wurde, dem Browser bekannt ist, wird die Webseite als
vertrauenswürdig eingestuft. Je nach Browser erscheint z. B. ein Vorhängeschloss
in der Adresszeile, das Sie anklicken können, um weitere Informationen über das
Zertifikat und die ausgebende Zertifikatsfirma zu erhalten. Wenn Sie allerdings
versuchen, die HTTPS-Version einer Seite zu öffnen, die kein gültiges Zertifikat
besitzt, wird eine Warnung angezeigt.
Voraussetzung
Um eine sichere Verbindung zum Webserver aufzubauen, muss das CA-Zertifikat
im Zertifikatsspeicher vorhanden sein, auf welchen der Browser zugreift.
Um das CA-Zertifikat in den Zertifikatsspeicher zu importieren, haben Sie die
folgenden Möglichkeiten:
1. Sie installieren das CA-Zertifikat direkt aus TIA Portal heraus (siehe
Kapitel 2.2). Das CA-Zertifikat wird allerdings nur im Windows-
Zertifikatsspeicher abgelegt.
Dieses Vorgehen ist bei dem Browser Firefox nicht anwendbar, da Firefox einen
eigenen Zertifikatsspeicher verwendet.
Hinweis
Hinweis In der folgenden Anleitung wird das CA-Zertifikat von der Intro-Seite des
Webservers geladen, importiert und installiert.
Hinweis Wenn Sie das CA-Zertifikat bereits im zentralen Zertifikatsspeicher von Windows
importiert haben (siehe Kapitel 2.2), dann wird die Webseite der CPU bereits als
vertrauenswürdig eingestuft und Sie brauchen keine weiteren Anpassungen
vornehmen.
Version
Die Anleitung und die Screenshots wurden mit Internet Explorer Version 11 erstellt.
Zertifikatsspeicher
Windows verfügt über einen zentralen Zertifikatsspeicher. Auf den zentralen
Zertifikatsspeicher können viele Windows-Programme zugreifen, wenn sie mit
Zertifikaten arbeiten. Dies hat den Vorteil, dass man die Zertifikate nicht in den
Zertifikatsspeicher einer jeden Software extra importieren muss, sondern nur
einmal zentral im Windowssystem selbst.
Wenn Sie das CA-Zertifikat über den Internet Explorer importieren und installieren,
wird das CA-Zertifikat im zentralen Zertifikatsspeicher abgelegt. Den zentralen
Zertifikatsspeicher können Sie mit der Management-Konsole "mmc" einsehen und
verwalten.
© Siemens AG 2019 All rights reserved
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Der Internet
Explorer färbt die Adressleiste rot ein und meldet am rechten Rand der
Adressleiste den Zertifikatsfehler.
Um das CA-Zertifikat herunterzuladen, klicken Sie auf das Menü "Download
Zertifikat" ("download certificate").
Abbildung 3-11
3. Sie können wählen, ob Sie das CA-Zertifikat direkt öffnen oder speichern
wollen.
Um das CA-Zertifikat direkt zu installieren, klicken Sie auf "Öffnen" ("Open").
Abbildung 3-12
Hinweis Wenn Sie das CA-Zertifikat speichern und zu einem späteren Zeitpunkt bzw. auf
einem anderen Rechner installieren möchten, dann folgen Sie der Anleitung im
nächsten Abschnitt.
© Siemens AG 2019 All rights reserved
4. Das Zertifikat wird geöffnet. Klicken Sie auf "Zertifikat installieren" ("Install
Certificate").
Abbildung 3-13
7. Schließen Sie alle Instanzen von Internet Explorer und starten Sie das
Programm anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Windows importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-16
© Siemens AG 2019 All rights reserved
4. Schließen Sie alle Instanzen von Internet Explorer und starten Sie das
Programm anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Windows importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-20
© Siemens AG 2019 All rights reserved
Hinweis Wenn Sie das CA-Zertifikat bereits im zentralen Zertifikatsspeicher von Windows
importiert haben (z. B. durch Kapitel 2.2 oder Kapitel 3.2.1), dann wird die
Webseite der CPU bereits als vertrauenswürdig eingestuft und Sie brauchen
keine weiteren Anpassungen vornehmen.
Version
Die Anleitung und die Screenshots wurden mit Google Chrome Version
75.0.3770.100 erstellt.
Zertifikatsspeicher
Der Browser Google Chrome verwalten die Zertifikate zwar selbst, greift aber auf
den zentralen Zertifikatsspeicher von Windows zu.
Um zu prüfen, ob das CA-Zertifikat dem Browser bekannt ist, gehen Sie wie folgt
vor:
1. Öffnen Sie in Chrome die Einstellungen. Unter "Erweitert > Datenschutz und
Sicherheit" ("Advanced > Privacy and Security") finden Sie den Eintrag
"Zertifikate verwalten" ("Manage certificates"). Klicken Sie auf den Eintrag.
Abbildung 3-21
© Siemens AG 2019 All rights reserved
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Chrome färbt
das "https" der Adresse rot ein und meldet am rechten Rand der Adressleiste
den Zertifikatsfehler.
Um das CA-Zertifikat herunterzuladen, klicken Sie auf das Menü "Download
Zertifikat" ("download certificate"). Bestätigen Sie den Sicherheitshinweis mit
"Behalten".
Abbildung 3-24
4. Das Zertifikat wird geöffnet. Klicken Sie auf "Zertifikat installieren" ("Install
Certificate").
Abbildung 3-25
© Siemens AG 2019 All rights reserved
7. Schließen Sie alle Instanzen von Chrome und starten Sie das Programm
anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Windows importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-28
© Siemens AG 2019 All rights reserved
2. Das Fenster "Zertifikate" ("Certificates") wird geöffnet. Wählen Sie das Register
"Vertrauenswürdige Stammzertifizierungsstellen" ("Trusted Root Certification
Authorities") und klicken Sie auf die Schaltfläche "Importieren" ("Import").
Abbildung 3-30
© Siemens AG 2019 All rights reserved
3. Der Wizard zum Importieren des Zertifikats wird gestartet. Wählen Sie über
"Durchsuchen" ("Browse") den Speicherort des Zertifikats aus.
Klicken Sie anschließend auf die Schaltfläche "Weiter" ("Next").
Abbildung 3-31
4. Der Wizard wählt durch die Registervorwahl in Schritt 2 den richtigen Ort aus.
Klicken Sie auf die Schaltfläche "Weiter" ("Next").
Abbildung 3-32
© Siemens AG 2019 All rights reserved
5. Mit der Schaltfläche "Beenden" ("Finish") wird das Zertifikat in den gewählten
Ordner importiert. Zuvor gibt der Wizard noch eine Sicherheitswarnung aus,
die mit "Ja" ("Yes") quittiert werden muss.
Abbildung 3-33
8. Schließen Sie alle Instanzen von Chrome und starten Sie das Programm
anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Windows importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-36
© Siemens AG 2019 All rights reserved
3.2.3 Firefox
Version
Die Anleitung und die Screenshots wurden mit Firefox Quantum Version 60.7.2
erstellt.
Zertifikatsspeicher
Im Unterschied zu Internet Explorer oder Google Chrome verwendet Firefox
standardmäßig seinen eigenen Zertifikatsspeicher.
keine bösen Absichten hegt, können Sie durch Anklicken der Schaltfläche
"Erweitert" "("Advanced") die Webseite als Ausnahme hinzufügen und trotz der
Warnung aufrufen.
Abbildung 3-37
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Firefox
meldet am rechten Rand der Adressleiste den Zertifikatsfehler.
Um das CA-Zertifikat herunterzuladen, klicken Sie auf das Menü "Download
Zertifikat" ("download certificate").
Abbildung 3-38
2. Die Zertifikatsverwaltung von Firefox wird geöffnet. Gehen Sie in das Register
"Zertifizierungsstellen" ("Authorities") und klicken Sie auf die Schaltfläche
"Importieren…" ("Import…").
Abbildung 3-41
5. Schließen Sie alle Instanzen von Firefox und starten Sie das Programm
anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Firefox importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-43
© Siemens AG 2019 All rights reserved
Version
Die Anleitung und die Screenshots wurden mit einem Samsung Tablet 2016 mit
der Android Version 8.1.0 getestet. Ein Sperrbildschirmtyp ist nicht eingerichtet.
Verwendet wurde Google Chrome Version 75.0.
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Chrome färbt
das "https" der Adresse rot ein und meldet am rechten Rand der Adressleiste
den Zertifikatsfehler.
Um das CA-Zertifikat herunterzuladen, klicken Sie auf das Menü "Download
Zertifikat" ("download certificate").
Abbildung 3-45
5. Sie können das Zertifikat im Downloadordner nicht direkt öffnen. Öffnen Sie
daher den Dateimanager auf Ihrem Tablet.
Unter "Downloads" finden Sie das CA-Zertifikat.
Abbildung 3-48
"MiniWebCA_Cer".
Sie müssen einen Zertifikatsnamen definieren (in diesem Beispiel "Simatic").
Der Name kann beliebig gewählt werden.
Bei Verwendungszweck belassen Sie die Default-Einstellung "VPN und Apps"
("VPN and apps").
Hinweis Wenn Sie bereits einen Sperrbildschirmtyp im Tablet hinterlegt haben, z. B. ein
Kennwort oder ein Sicherheitsmuster, dann werden Sie aufgefordert, dieses jetzt
einzugeben.
8. Wählen Sie den Sperrbildschirmtyp aus. In diesem Beispiel wird eine PIN-
Abfrage eingerichtet.
Hinweis Die Sicherheitsabfrage wird fortan immer abgefragt, wenn Sie das Tablet
aktiveren und einschalten.
Abbildung 3-51
© Siemens AG 2019 All rights reserved
9. Vergeben Sie eine PIN und klicken Sie anschließend auf "Fortsetzen"
("Continue").
Abbildung 3-52
10. Bestätigen Sie die PIN und klicken Sie anschließend auf die Schaltfläche "OK".
Abbildung 3-53
© Siemens AG 2019 All rights reserved
11. Bestimmen Sie die Art der Benachrichtigungen auf Ihrem Sperrbildschirm.
Beenden Sie den Installationsvorgang mit "Fertig" ("Done").
Abbildung 3-54
© Siemens AG 2019 All rights reserved
13. Das Zertifikat kann anschließend unter "Einstellungen > Sicherheit > Andere
Sicherheitseinstellungen > Sicherheitszertifikate anzeigen" ("Security > Other
security settings > View security cetificates") im Register "Benutzer" ("Users")
eingesehen werden.
Abbildung 3-56
© Siemens AG 2019 All rights reserved
14. Schließen Sie alle Instanzen von Chrome und starten Sie das Programm
anschließend erneut.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Android importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-57
© Siemens AG 2019 All rights reserved
Version
Die Anleitung und die Screenshots wurden mit einem iPad mit der iOS Version
12.1.4 getestet. Ein Sperrbildschirm ist mit PIN-Eingabe eingerichtet. Verwendet
wurde Safari.
2. Ist der Betreiber der Webseite bekannt und wenn Sie wissen, dass dieser
keine bösen Absichten hegt, können Sie mit dem Link "Diese Seite besuchen"
("visit this website)" die Webseite trotz der Warnung aufrufen.
Abbildung 3-59
© Siemens AG 2019 All rights reserved
7. Eine Sicherheitswarnung wird angezeigt mit dem Hinweis, dass Sie das
Vertrauen für ein Zertifikat (Profil), das Sie von einer Webseite geladen haben,
nach der Installation manuell aktivieren müssen. Die in der Warnung
angesprochene Zertifikatsvertrauensverwaltung findet Sie in den Einstellungen
des iPads unter "Allgemein > Info > Zertifikatsvertrauenseinstellungen"
("General > About > Certificate Trust Settings").
Klicken Sie auf "Installieren" ("Install").
Abbildung 3-64
10. Wenn Sie ein Zertifikat (Profil) installieren, das Sie von einer Webseite geladen
haben, müssen Sie das Vertrauen für das CA-Zertifikat manuell aktivieren. Sie
wurden bereits in der Warnung von Schritt 7 darüber informiert.
Um das Zertifikat zu aktivieren, gehen Sie in die Einstellungen des iPads und
hier in das Menü " Allgemein > Info > Zertifikatsvertrauenseinstellungen"
("General > About > Certificate Trust Settings").
Abbildung 3-67
© Siemens AG 2019 All rights reserved
11. Aktivieren Sie unter "Volles Vertrauen für Root-Zertifikate aktivieren" ("Enable
full trust for root certificates") das Vertrauen für das Zertifikat. Bestätigen Sie
den Sicherheitshinweis mit "Fortfahren" ("Continue").
Abbildung 3-68
© Siemens AG 2019 All rights reserved
12. Das Zertifikat können Sie in den Einstellungen des iPads unter "Allgemein >
Profile" ("General > Profil") einsehen und löschen.
Abbildung 3-69
13. Schließen Sie alle Instanzen von Safari und starten Sie die Anwendung neu.
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von iOS importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-70
Alternatives Vorgehen
Verhindern installierte Sicherheitsrichtlinien den unsicheren Zugriff auf den
Webserver, um das Zertifikat herunterzuladen muss das Zertifikat über einen
anderen Weg installiert werden. Am einfachsten ist hier das Versenden des
Zertifikats über eine verschlüsselte E-Mail. In iOS wird anschließend der Anhang
der E-Mail geöffnet, das Zertifikat wird angezeigt und kann installiert werden.
© Siemens AG 2019 All rights reserved
Hinweis Die Überprüfung der Zertifikate wird anhand des Browsers "Internet Explorer"
gezeigt.
Voraussetzung
Um eine sichere Verbindung zum Webserver aufzubauen und die Zertifikate zu
vergleichen, müssen Sie das CA-Zertifikat im Windows-Zertifikatsspeicher
importiert und installiert haben.
Zertifikate prüfen
Zertifikate werden für die Überprüfung einer Identität oder andere
sicherheitskritische Anwendungen benutzt. Um festzustellen, dass dieses Zertifikat
echt ist und nicht von einem Angreifer gefälscht wurde, sollten Sie die Signatur des
Gerätezertifikats mit der Signatur des CA-Zertifikats abgleichen.
Um das Gerätezertifikat auf Echtheit zu prüfen, gehen Sie wie folgt vor:
1. Öffnen Sie die Intro-Seite des Webservers der CPU über die Adresse
"https://<IP-Adresse der CPU>".
Wenn Sie sich mit dem Webserver verbinden, dann zieht sich der Browser das
Gerätezertifikat der CPU und vergleicht es mit dem auf dem PC installierten
CA-Zertifikat. Wenn die Zertifikate in der Signatur übereinstimmen, wird die
© Siemens AG 2019 All rights reserved
Abbildung 3-73
4. Das Gerätezertifikat wird geöffnet. Wechseln Sie in das Register "Details" und
suchen Sie den Eintrag "Stellenschlüsselkennung" ("Authority Key Identifier").
Markieren Sie den Eintrag, damit der Inhalt angezeigt wird.
Kopieren Sie sich den Schlüssel in eine Textdatei, um den Schlüssel mit dem
CA-Zertifikat zu vergleichen.
Abbildung 3-74
© Siemens AG 2019 All rights reserved
5. Öffnen Sie das CA-Zertifikat. Sie finden das CA-Zertifikat z. B. über die
Management-Konsole oder Sie haben das CA-Zertifikat lokal gespeichert.
Wechseln Sie in das Register "Details" und suchen Sie den Eintrag
"Stellenschlüsselkennung" ("Authority Key Identifier"). Markieren Sie den
Eintrag, damit der Inhalt angezeigt wird.
Abbildung 3-75
© Siemens AG 2019 All rights reserved
6. Nun können Sie die Schlüssel miteinander vergleichen. Wenn beiden Angaben
identisch sind, dann sind die Zertifikate echt.
Abbildung 3-76
OPC UA-Server
In diesem Beispiel wird eine S7-1500-CPU als OPC UA-Server eingerichtet.
4. Übersetzen Sie das Projekt und laden Sie das Projekt in die CPU.
© Siemens AG 2019 All rights reserved
Ergebnis
Sie haben den OPC UA-Server der CPU aktiviert. Im Abschnitt "Server-Adressen"
("Server addresses") sehen Sie, über welche URLs Verbindungen zu dem
OPC UA-Server der CPU aufgebaut werden können.
Abbildung 4-3
Server-Zertifikat einsehen
Wenn Sie den OPC UA-Server aktiviert und die Sicherheitshinweise bestätigt
haben, erzeugt TIA Portal automatisch das Zertifikat für den Server. Sie finden das
Server-Zertifikat in den Eigenschaften des OPC UA-Servers.
Wählen Sie in der Bereichsnavigation den Eintrag "OPC UA > Server > Security"
("OPC UA > Server > Security") aus. Unter "Server Zertifikat" ("Server certificate")
sehen Sie, dass TIA Portal bereits ein dem OPC UA-Server zugeordnetes
Gerätezertifikat erzeugt hat.
Abbildung 4-4
3. Ein Dialog erscheint und listet alle verfügbaren Server-Zertifikate auf. Um ein
neues Server-Zertifikat zu erstellen, klicken Sie auf die Schaltfläche
"Hinzufügen" ("Add new").
© Siemens AG 2019 All rights reserved
Abbildung 4-7
Hinweis Stimmen Sie die Gültigkeit des Zertifikats mit dem Anlagenbetreiber ab.
6. Sie können das neu erzeugte Gerätezertifikat nun als Server-Zertifikat des
OPC UA-Servers nutzen.
Abbildung 4-10
7. Übersetzen Sie Ihr TIA Portal-Projekt und laden Sie die CPU. Beim
Ladevorgang wird unter anderem das Gerätezertifikat, das CA-Zertifikat und
die Berechtigung für den OPC UA-Server-Zugriff in die CPU geladen.
Ergebnis
Im Zertifikatsmanager im Register "Gerätezertifikate" ("Device certificates") wird
das neue Gerätezertifikat zu den vorhandenen Gerätezertifikaten hinzugefügt.
Abbildung 4-11
In der Voreinstellung von TIA Portal sind die folgenden Security Policys
eingerichtet:
Abbildung 4-13
Abbildung 4-15
3. Klicken Sie mit der rechten Maustaste im Register auf eine leere Tabellenzeile
und wählen Sie aus dem Kontextmenu den Eintrag "Importieren" ("Import").
Abbildung 4-16
4. Der Dialog zum Importieren von Zertifikaten wird angezeigt. Wählen Sie das
Client-Zertifikat aus, dem der Server vertrauen soll. Klicken Sie auf die
Schaltfläche "Öffnen" ("Open"), um das Zertifikat zu importieren.
In diesem Beispiel wird das Zertifikat des UaExpert hinzugefügt.
Abbildung 4-17
Hinweis Alternativ können Sie auch das CA-Zertifikat importieren, mit der das
Gerätezertifikat des Clients signiert wurde.
Durch den Import des CA-Zertifikats würden fortan alle Gerätezertifikate der
Clients als vertrauenswürdig eingestuft, die über diese Zertifizierungsstelle
signiert wurden.
5. Das Zertifikat des Clients ist nun im Zertifikatsmanager der globalen Security-
Einstellungen enthalten. Merken Sie sich die ID des gerade importierten Client-
Zertifikats.
Abbildung 4-18
© Siemens AG 2019 All rights reserved
6. Markieren Sie in der Geräte- oder Netzsicht die CPU, die als OPC-Server
dient. Die Eigenschaften der CPU werden im Inspektorfenster angezeigt.
8. In der Zeile wird eine Schaltfläche mit drei Punkten angezeigt. Klicken Sie auf
diese Schaltfläche. Wählen Sie das Client-Zertifikat aus, das Sie importiert
haben. Klicken Sie auf die Schaltfläche mit dem grünen Häkchen.
Abbildung 4-20
9. Übersetzen Sie das Projekt und laden Sie die Konfiguration in die
S7-1500-CPU.
© Siemens AG 2019 All rights reserved
Ergebnis
Sie haben das Client-Zertifikat dem Server als vertrauenswürdig eingestuft. Der
Server vertraut nun dem Client. Wenn der Client nun auch das Server-Zertifikat als
vertrauenswürdig einstuft, dann können Server und Client eine gesicherte
Verbindung aufbauen (siehe dazu auch Kapitel 4.1.2).
Abbildung 4-21
Hinweis Sie können den Server auch so konfigurieren, dass er die Client-Zertifikate
automatisch akzeptiert. Wenn Sie die Option "Client-Zertifikate zur Laufzeit
automatisch akzeptieren" ("Automatically accept client certificates during
runtime") aktivieren, dann akzeptiert der Server alle Client-Zertifikate. Sie finden
diese Option unterhalb der Liste "Vertrauenswürdige Clients" ("Trusted clients").
Um Sicherheitsrisiken zu vermeiden, deaktivieren Sie die Option wieder nach der
© Siemens AG 2019 All rights reserved
Inbetriebnahme.
Benutzer-Authentifizierung
Das Security-Konzept der OPC UA Verbindung wird durch eine Benutzer-
Authentifizierung abgerundet.
Sie können beim OPC UA-Server der S7-1500 einstellen, wie sich ein Benutzer
des OPC UA-Clients legitimieren muss, wenn er auf den Server zugreifen will.
Dazu gibt es die folgenden Möglichkeiten:
• Gast-Authentifizierung:
Der Anwender muss seine Berechtigung nicht nachweisen (anonymer
Zugang). Der OPC UA-Server überprüft nicht die Berechtigung des Client-
Anwenders.
• Authentifizierung über Benutzername und Passwort:
Der Anwender muss seine Berechtigung nachweisen (kein anonymer Zugang).
Der OPC UA-Server überprüft, ob der Client-Anwender berechtigt ist, auf den
Server zuzugreifen. Als Nachweis gilt der Benutzername mit dem richtigen
Passwort.
• Benutzerverwaltung über die Security-Einstellungen des Projekts:
Wenn Sie diese Option aktivieren, dann wird die Benutzerverwaltung des
geöffneten Projekts auch für die Benutzer-Authentifizierung des OPC UA-
Servers verwendet: Bei OPC UA sind dann dieselben Benutzernamen und
Passwörter gültig wie im aktuellen Projekt.
Hinweis Um die Security zu erhöhen, sollten Sie den Zugriff auf den OPC UA-Server nur
mit Benutzer-Authentifizierung erlauben.
5. Ein neuer Benutzer mit einem automatisch vergebenen Namen wird angelegt.
Abbildung 4-25
6. Sie können den Benutzernamen editieren und das für den Benutzernamen
zugehörige Passwort eingeben.
Um den Namen zu ändern, doppelklicken Sie in die Zeile "user1" und ändern
den Namen nach Ihren Wünschen ab.
Abbildung 4-26
Ergebnis
Sie haben einen Benutzer definiert. Wenn ein Client-Anwender auf den
OPC UA-Server zugreifen will, überprüft der OPC UA-Server, ob der Client-
Anwender berechtigt ist, auf den Server zuzugreifen. Als Nachweis gilt der
eben angelegte Benutzername mit dem richtigen Passwort.
Sie können maximal 21 Benutzer hinzufügen.
OPC UA-Client
Die folgenden Screenshots wurden mit dem kostenlosen Test-Client UaExpert
Version 1.4.0 von UnifiedAutomation erstellt. Das Vorgehen kann bei anderen
Clients von dem gezeigten abweichen.
Zertifikatsmanager
Wenn Sie OPC UA-Clients von Herstellern oder der OPC Foundation verwenden,
verfügen die OPC UA-Clients über einen eigenen Zertifikatsmanager. Bei der
Installation oder beim ersten Programmaufruf wird automatisch ein Client-Zertifikat
erzeugt.
Sie können den Zertifikatsmanager von UaExpert unter "Settings > Manage
Certificates" öffnen.
Abbildung 4-28
© Siemens AG 2019 All rights reserved
Hinweis An dieser Stelle finden Sie auch das OPC UA-Client-Zertifikat, dass beim
OPC UA-Server in die Liste der vertrauenswürdigen Clients in TIA Portal
importiert werden muss (siehe Kapitel 4.1.1).
Hinweis Wenn Sie das CA-Zertifikat von TIA Portal importieren, werden automatisch alle
Server-Gerätezertifikate als vertrauenswürdig eingestuft, die mit dieser CA
signiert wurden.
Alternativ können Sie auch nur das Gerätezertifikat des Servers importieren. Sie
finden das Gerätezertifikat im globalen Zertifikatsmanager von TIA Portal im
Register "Gerätezertifikate" ("Device certification") (siehe auch im Abschnitt
"Server-Zertifikat einsehen" von Kapitel 4.1.1)
Um das CA-Zertifikat zu importieren, müssen Sie das CA-Zertifikat auf dem lokalen
Rechner in folgenden Dateiformaten gespeichert haben:
•
© Siemens AG 2019 All rights reserved
Exportieren Sie das CA-Zertifikat in den benötigten Formaten aus TIA Portal (siehe
Kapitel 2.3).
Hinweis Sie können die Zertifikate aus TIA Portal im DER- und CRL-Format exportieren.
Der UaExpert benötigt neben dem Zertifikatsformat "DER" zusätlich noch die
Zertifikatssperrliste (CRL-Certificate Revocation List), die ebenfalls über einen
Export ausTIA Portal exportiert werden kann. Wählen Sie bei Dateityp statt
"Zertifikat-DER-kodiert" ("Certificate-DER coded") die "Zertifikat –
Zertifikatsperrliste, DER-kodiert“ ("Certificate - Certificate Revocation List, DER
coded").
Ergebnis
Sie haben das CA-Zertifikat und die Zertifikatssperrliste von TIA Portal in den
Zertifikatsmanager von UaExpert importiert und damit als vertrauenswürdig
eingestuft. Da dieses CA-Zertifikat das Gerätezertifikat des Servers signiert hat,
wird automatisch das Gerätezertifikat des Servers auch als vertrauenswürdig
eingestuft.
Die Zertifikate können Sie über die UaExpert-Oberfläche einsehen.
Abbildung 4-35
© Siemens AG 2019 All rights reserved
Ergebnis
Sie haben die S7-1500-CPU als OPC UA-Server im UaExpert hinzugefügt.
Abbildung 4-39
© Siemens AG 2019 All rights reserved
BadCertificateHostNameInvalid
Beim Verbinden mit dem Server werden Sie mit der folgenden Fehlermeldung
konfrontiert:
Abbildung 4-41
© Siemens AG 2019 All rights reserved
Dieser Fehler ist darauf zurückzuführen, dass der UaExpert sowohl eine
IP-Adresse als auch den DNS-Namen des Servers überprüft.
Die S7-1500 gibt aber keinen DNS-Namen zurück bzw. es ist auch kein
DNS-Name im Gerätezertifikat unter "Alternativer Antragsteller" ("Subject
Alternative Name") eingetragen.
Abbildung 4-42
© Siemens AG 2019 All rights reserved
Fehler ignorieren
Der Fehler hat keine Auswirkung auf die Funktionalität der Verschlüsselung. Sie
können Ihn ignorieren, in dem Sie auf die Schaltfläche "Ignorieren" ("Ignore")
klicken.
Abbildung 4-43
Fehler beheben
Sie können den Fehler dauerhaft beheben, indem Sie ein eigenes Gerätezertifikat
für den OPC UA-Server in TIA Portal erstellen und einen DNS-Eintrag manuell
hinzufügen (siehe Abschnitt " Neues Server-Zertifikat erzeugen" in Kapitel 4.1.1).
Abbildung 4-44
© Siemens AG 2019 All rights reserved
Auf dem OPC UA-Client-Rechner müssen Sie anschließend die IP-Adresse des
Servers bekanntgeben. Dafür müssen Sie in der Datei "hosts" einen Eintrag mit
IP-Adresse und dem DNS-Namen hinzufügen. Die Hosts-Datei unter Windows ist
eine wichtige Windows-Systemdatei, die dafür zuständig ist, IP-Adressen in
Hostnamen aufzulösen.
Sie finden die Datei im Verzeichnis "%Windir%\System32\drivers\etc".
Abbildung 4-45
© Siemens AG 2019 All rights reserved
Anschließend können Sie in den Einstellungen von UaExpert statt der IP-Adresse
den DNS-Namen als Endpoint-URL verwenden und der Fehler wird nicht mehr
angezeigt.
Abbildung 4-46
Verbindung mithören
Wurde die Verbindung erfolgreich aufgebaut, können Sie mit einem
Netzwerkanalyse-Programm, z. B. Wireshark, überprüfen, ob die Security-
Einstellungen funktionieren.
In dem folgenden Screenshot wurde die Verbindung zwischen dem Server und
Client ohne Verschlüsselung überwacht. Die Daten sind im Klartext vorhanden.
Abbildung 4-47
© Siemens AG 2019 All rights reserved
In dem folgenden Screenshot wurde die Verbindung zwischen dem Server und
Client mit Verschlüsselung überwacht. Die Daten sind bei der verschlüsselten
Verbindung nicht mehr einsehbar.
Abbildung 4-48
5 Anhang
5.1 Service und Support
Industry Online Support
Sie haben Fragen oder brauchen Unterstützung?
Über den Industry Online Support greifen Sie rund um die Uhr auf das gesamte
Service und Support Know-how sowie auf unsere Dienstleistungen zu.
Der Industry Online Support ist die zentrale Adresse für Informationen zu unseren
Produkten, Lösungen und Services.
Produktinformationen, Handbücher, Downloads, FAQs und Anwendungsbeispiele
– alle Informationen sind mit wenigen Mausklicks erreichbar:
support.industry.siemens.com
Technical Support
Der Technical Support von Siemens Industry unterstützt Sie schnell und kompetent
bei allen technischen Anfragen mit einer Vielzahl maßgeschneiderter Angebote
– von der Basisunterstützung bis hin zu individuellen Supportverträgen.
Anfragen an den Technical Support stellen Sie per Web-Formular:
www.siemens.de/industry/supportrequest
© Siemens AG 2019 All rights reserved
Serviceangebot
Unser Serviceangebot umfasst folgendes:
• Plant Data Services
• Ersatzteilservices
• Reparaturservices
• Vor-Ort und Instandhaltungsservices
• Retrofit- und Modernisierungsservices
• Serviceprogramme und Verträge
Ausführliche Informationen zu unserem Serviceangebot finden Sie im
Servicekatalog:
support.industry.siemens.com/cs/sc
5.3 Änderungsdokumentation
Tabelle 5-2
Version Datum Änderung
V1.0 09/2019 Erste Ausgabe
© Siemens AG 2019 All rights reserved