Die Verwendung Von Zertifikaten Mit TIA Portal

Die Verwendung von
Zertifikaten mit TIA

Portal
Siemens
SIMATIC, TIA Portal Industry
Online
https://support.industry.siemens.com/cs/ww/de/view/109769068 Support
Rechtliche Hinweise
Rechtliche Hinweise
Nutzung der Anwendungsbeispiele
In den Anwendungsbeispielen wird die Lösung von Automatisierungsaufgaben im Zusammen-
spiel mehrerer Komponenten in Form von Text, Grafiken und/oder Software-Bausteinen
beispielhaft dargestellt. Die Anwendungsbeispiele sind ein kostenloser Service der Siemens AG
und/oder einer Tochtergesellschaft der Siemens AG („Siemens“). Sie sind unverbindlich und
erheben keinen Anspruch auf Vollständigkeit und Funktionsfähigkeit hinsichtlich Konfiguration
und Ausstattung. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar,
sondern bieten lediglich Hilfestellung bei typischen Aufgabenstellungen. Sie sind selbst für den
sachgemäßen und sicheren Betrieb der Produkte innerhalb der geltenden Vorschriften
verantwortlich und müssen dazu die Funktion des jeweiligen Anwendungsbeispiels überprüfen
und auf Ihre Anlage individuell anpassen.
Sie erhalten von Siemens das nicht ausschließliche, nicht unterlizenzierbare und nicht
übertragbare Recht, die Anwendungsbeispiele durch fachlich geschultes Personal zu nutzen.
Jede Änderung an den Anwendungsbeispielen erfolgt auf Ihre Verantwortung. Die Weitergabe an
Dritte oder Vervielfältigung der Anwendungsbeispiele oder von Auszügen daraus ist nur in
Kombination mit Ihren eigenen Produkten gestattet. Die Anwendungsbeispiele unterliegen nicht
zwingend den üblichen Tests und Qualitätsprüfungen eines kostenpflichtigen Produkts, können
Funktions- und Leistungsmängel enthalten und mit Fehlern behaftet sein. Sie sind verpflichtet, die
Nutzung so zu gestalten, dass eventuelle Fehlfunktionen nicht zu Sachschäden oder der
Verletzung von Personen führen.
Haftungsausschluss
Siemens schließt seine Haftung, gleich aus welchem Rechtsgrund, insbesondere für die
Verwendbarkeit, Verfügbarkeit, Vollständigkeit und Mangelfreiheit der Anwendungsbeispiele,
sowie dazugehöriger Hinweise, Projektierungs- und Leistungsdaten und dadurch verursachte
Schäden aus. Dies gilt nicht, soweit Siemens zwingend haftet, z.B. nach dem Produkthaftungs-
gesetz, in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der schuldhaften Verletzung
des Lebens, des Körpers oder der Gesundheit, bei Nichteinhaltung einer übernommenen
© Siemens AG 2019 All rights reserved
Garantie, wegen des arglistigen Verschweigens eines Mangels oder wegen der schuldhaften
Verletzung wesentlicher Vertragspflichten. Der Schadensersatzanspruch für die Verletzung
wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden
begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegen oder wegen der Verletzung
des Lebens, des Körpers oder der Gesundheit gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist mit den vorstehenden Regelungen nicht verbunden. Von in diesem Zusammen-
hang bestehenden oder entstehenden Ansprüchen Dritter stellen Sie Siemens frei, soweit
Siemens nicht gesetzlich zwingend haftet.
Durch Nutzung der Anwendungsbeispiele erkennen Sie an, dass Siemens über die beschriebene
Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann.
Weitere Hinweise
Siemens behält sich das Recht vor, Änderungen an den Anwendungsbeispielen jederzeit ohne
Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in den Anwendungs-
beispielen und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Ergänzend gelten die Siemens Nutzungsbedingungen (https://support.industry.siemens.com).
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren
Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es
erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich
aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen
von Siemens formen nur einen Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen
und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem
Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig
ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerk-
segmentierung) ergriffen wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen
beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter:
https://www.siemens.com/industrialsecurity.
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer
zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die
entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu
verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko
von Cyber-Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial
Security RSS Feed unter: https://www.siemens.com/industrialsecurity.
Die Verwendung von Zertifikaten mit TIA Portal

Beitrags-ID: 109769068, V1.0, 09/2019 2
Inhaltsverzeichnis
Inhaltsverzeichnis
Rechtliche Hinweise .................................................................................................... 2
1 Einführung .......................................................................................................... 4
1.1 Überblick............................................................................................... 4
1.2 Funktionsweise ..................................................................................... 5
1.2.1 Allgemeines zu Zertifikaten .................................................................. 5
1.2.2 Zertifikatsmanager von TIA Portal ........................................................ 6
1.2.3 Selbstsigniertes Gerätezertifikat .......................................................... 8
1.2.4 Zertifikat signiert über eine Zertifizierungsstelle ................................... 9
1.2.5 Entscheidungshilfe ............................................................................. 10
2 Zertifikatsmanager nutzen .............................................................................. 11
2.1 Aktivieren und verstehen .................................................................... 11
2.2 Zertifikate direkt installieren................................................................ 15
2.3 Zertifikate exportieren......................................................................... 18
3 Sichere Webserver-Verbindung ..................................................................... 20
3.1 Webserver und Webserver-Zertifikate ............................................... 20
3.2 Browser einrichten und testen ............................................................ 26
3.2.1 Internet Explorer oder Edge ............................................................... 27
3.2.2 Google Chrome .................................................................................. 35
3.2.3 Firefox................................................................................................. 46
3.2.4 Betriebssystem Android ..................................................................... 51
3.2.5 Betriebssystem iOS ............................................................................ 59

3.3 Überprüfung von Zertifikaten .............................................................. 67
4 Sichere OPC UA-Verbindung ......................................................................... 70
4.1.1 Sicherheitseinstellungen im Server .................................................... 71
4.1.2 Sicherheitseinstellungen im Client ..................................................... 86
4.1.3 Sichere OPC UA-Verbindung testen .................................................. 94
5 Anhang.............................................................................................................. 99
5.1 Service und Support ........................................................................... 99
5.2 Links und Literatur ............................................................................ 100
5.3 Änderungsdokumentation ................................................................ 100

Beitrags-ID: 109769068, V1.0, 09/2019 3
1 Einführung
1 Einführung
1.1 Überblick
Inhalt des Dokuments
Dieses Dokument beschreibt die Handhabung von Webserver- und OPC UA-
Zertifikaten im SPS-Umfeld. Sie erfahren, welche Möglichkeiten TIA Portal derzeit
anbietet bzw. wie die Handhabung verläuft.
Sie erhalten eine Anleitung für die folgenden Punkte:
• Aufbau einer gesicherten Verbindung zum Webserver einer
SIMATIC S7-1500 CPU.
• Aufbau einer gesicherten Verbindung zwischen dem integrierten
OPC UA-Server einer SIMATC S7-1500 CPU und einem OPC UA-Client.
Voraussetzungen
Für eine erfolgreiche Implementierung wird die folgende Softwareumgebung
vorausgesetzt:
• TIA Portal V15.1
• Windows 7 Prof. oder Windows 10
• Ein https-fähiger Browser, z. B. Internet Explorer V11 oder Google Chrome
V75
• Einen OPC UA-Client, der eine gesicherte Verbindung unterstützt, z. B.

UaExpert von Unified Automation
• Eine Runtime-Lizenz für den OPC UA-Server
Als Hardwarekomponente wird eine SIMATIC S7-1500 CPU ab Firmware V2.5
vorausgesetzt, die als OPC UA-Server dient.
Vorbereitung
Legen Sie ein neues TIA Portal-Projekt mit Ihrer verwendeten CPU an. Vergeben
Sie der CPU eine Netzwerkadresse.
Stellen Sie sicher, dass die Uhrzeit der CPU auf die aktuelle Zeit eingestellt ist. Ein
Zertifikat enthält immer eine Zeitspanne, in der es gültig ist. Um mit dem Zertifikat
verschlüsseln zu können, muss die Uhrzeit der S7-CPU auch in dieser Zeitspanne
liegen. Bei einer fabrikneuen S7-CPU oder nach Urlöschen der S7-CPU steht die
interne Uhr auf einem Default-Wert, der außerhalb der Zertifikatslaufzeit liegt. Das
Zertifikat wird dann als ungültig markiert.

Beitrags-ID: 109769068, V1.0, 09/2019 4
1 Einführung
1.2 Funktionsweise
1.2.1 Allgemeines zu Zertifikaten
Beschreibung
Für den Aufbau einer gesicherten Verbindung zu einer SIMATIC S7-1500-CPU
wird ein Gerätezertifikat (End-Entitiy-Zertifikat) benötigt. Ein Gerätezertifikat ist z. B.
ein Server-Zertifikat für den Web- oder OPC-Server.
Mit dem Laden der Hardware-Konfiguration in die CPU wird das von TIA Portal
erzeugte oder selbst erzeugte Gerätezertifikat automatisch mitgeladen.
Zertifikate erstellen
Gerätezertifikate für die CPU können auf folgenden Wegen bezogen werden:
• Manuell erstellt und generiert durch den Benutzer.
• Automatisch durch TIA Portal generiert.
Bei S7-1500-CPUs ab Firmware V2.0 erzeugt TIA Portal das Gerätezertifikat
für die CPU automatisch, sobald Sie den Webserver der CPU mit der Option
"HTTPS" oder den OPC UA-Server aktivieren.
Zertifikatstypen
Es werden die folgenden Zertifikatstypen unterschieden:
• Selbst signiertes Zertifikat:

Jeder Teilnehmer erzeugt sein eigenes Zertifikat und signiert es. Aus einem
selbst signierten Zertifikat können keine neuen Zertifikate abgeleitet werden.
Allerdings müssen Sie alle selbst signierten Zertifikate der Partnergeräte in die
CPU laden (STOP erforderlich).
Beispielanwendungen: Statische Konfiguration mit begrenzter Anzahl von
Kommunikationsteilnehmern.
• Gerätezertifikat signiert über eine Zertifizierungsstelle (kurz: CA (Certificate
Authority)) und dessen CA-Zertifikat:
Alle Zertifikate werden von einer Zertifizierungsstelle erstellt und signiert.
Sie müssen nur das Zertifikat der Zertifizierungsstelle in die CPU laden. Die
Zertifizierungsstelle kann neue Zertifikate erzeugen. Das Hinzufügen von
Partnergeräten ist ohne STOP der CPU möglich.
Beispielanwendungen: Dynamisch wachsende Anlagen.
Die automatisch erzeugten Gerätezertifikate sind durch die TIA Portal interne
Zertifizierungsstelle ausgestellt und signiert.
Wenn Sie in TIA Portal die Gerätezertifikate manuell anlegen, dann können Sie die
Option "Selbstsigniert" ("Self signed") oder "Zertifizierungsstelle" ("Signed by
certificate authority") wählen.
Abbildung 1-1

Beitrags-ID: 109769068, V1.0, 09/2019 5
1 Einführung
1.2.2 Zertifikatsmanager von TIA Portal
Beschreibung
Sie können das TIA Portal-Projekt durch die Option "Globale Security-
Einstellungen für den Zertifikatsmanager verwenden" ("Use global security settings
for certificate manager") als Zertifizierungsstelle nutzen.
Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität
des Zertifikats und seines Erstellers bestätigt.
Die Option entscheidet darüber, ob Sie Zugriff auf alle Zertifikate im Projekt haben
oder nicht und ob Sie sich die Gerätezertifikate durch die CA-Zertifikate der
Zertifizierungsstelle signieren lassen können oder nicht.
• Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen nicht
verwenden, dann haben Sie nur Zugriff auf den lokalen Zertifikatsspeicher der
CPU. Sie haben keinen Zugriff z. B. auf importierte Zertifikate oder
Stammzertifikate. Ohne diese Zertifikate ist nur eine eingeschränkte
Funktionalität verfügbar. Sie können z. B. nur selbstsignierte Zertifikate
erzeugen.
• Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen
verwenden, dann haben Sie Zugriff auf den globalen, projektweiten
Zertifikatsspeicher. Sie können z. B. der CPU importierte Zertifikate zuweisen
oder Gerätezertifikate erstellen, die von der Zertifizierungsstelle des Projekts
ausgestellt und signiert sind.
TIA Portal stellt dafür für das Gesamtprojekt zwei Stammzertifikate (CA-
Zertifikate) bereit.
Hinweis In diesem Beispiel wird der Globale Zertifizierungsmanager von TIA Portal
aktiviert und verwendet.
Eigenschaften des Zertifikatsmanager

Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen nutzen,
dann erhalten Sie eine Übersicht aller im Projekt verwendeten Zertifikate, z. B. CA-
Zertifikate und Gerätezertifikate, mit Angaben zu Zertifikatsinhaber, Aussteller,
Gültigkeit, Verwendung und Vorhandensein eines privaten Schlüssels. Mit der
entsprechenden Berechtigung können Sie dort auch Zertifikate für das Projekt
verwalten.
Abbildung 1-2

Beitrags-ID: 109769068, V1.0, 09/2019 6
1 Einführung
Funktionen des Zertifikatsmanagers

Im Zertifikatsmanager der globalen Security-Einstellungen stehen Ihnen die
folgenden Funktionen zur Auswahl:
• Importieren von neuen Zertifikaten und Zertifizierungsstellen.
• Exportieren der im Projekt verwendeten Zertifikate und Zertifizierungsstellen.
• Erneuern von abgelaufenen Zertifikaten und Zertifizierungsstellen.
• Ersetzen bestehender Zertifizierungsstellen.
• Hinzufügen von vertrauenswürdigen Zertifikaten und Zertifizierungsstellen.
Abbildung 1-3

Beitrags-ID: 109769068, V1.0, 09/2019 7
1 Einführung
1.2.3 Selbstsigniertes Gerätezertifikat
Beschreibung
Selbstsignierte Zertifikate sind Zertifikate, deren Signatur vom Zertifikatsinhaber
stammt und nicht von einer unabhängigen Zertifizierungsstelle.
Wenn Sie selbstsignierte Zertifikate verwenden, dann wird für jede CPU ein
Gerätezertifikat in TIA Portal erstellt und anschließend in die CPU geladen. Dieses
Gerätezertifikat müssen Sie auch in dem PC installieren, mit dem Sie auf den Web-
bzw. OPC-Server der CPU zugreifen möchten.
Für selbstsignierte Zertifikate ist keine Prüfung mit den CA-Zertifikaten des
TIA Portal-Projekts möglich.
Manuelle Generierung
Beim Anlegen von Gerätezertifikaten in TIA Portal können Sie die Option
"Selbstsigniert" wählen. Selbstsignierte Zertifikate können Sie erstellen, ohne für
die globalen Security-Einstellungen angemeldet zu sein.
Automatische Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen nicht
verwenden, dann erzeugt TIA Portal das Gerätezertifikat als selbstsigniertes
Zertifikat.
Wichtiger Hinweis
Wenn Sie den Web- oder OPC-Server der CPU über die IP-Adresse der CPU
adressieren, dann ist mit jeder Änderung der IP-Adresse einer Ethernet-
Schnittstelle der CPU ein neues Gerätezertifikat zu erzeugen und zu laden. Der
Grund ist, dass sich mit der IP-Adresse die Identität der CPU ändert.
Sie können dieses Problem vermeiden, indem Sie die CPU über einen
Domainnamen adressieren statt mit ihrer IP-Adresse, z. B. "myconveyer-
cpu.room13.myfactory.com". Dazu müssen Sie die Domainnamen der CPUs über
einen DNS-Server verwalten.

Beitrags-ID: 109769068, V1.0, 09/2019 8
1 Einführung
1.2.4 Zertifikat signiert über eine Zertifizierungsstelle
Beschreibung
Signierte Zertifikate sind Zertifikate, deren Signatur von einer unabhängigen
Zertifizierungsstelle kommt.
Wenn Sie durch eine Zertifizierungsstelle signierte Zertifikate verwenden, dann
wird pro CPU ein Gerätezertifikat in TIA Portal erstellt und anschließend in die CPU
geladen.
Auf dem PC, mit dem Sie auf den Webserver bzw. OPC-Server der CPU zugreifen
möchten, müssen Sie erstmal keine Aktion durchführen.
Manuelle Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen der CPU
verwenden, dann können Sie sich die Gerätezertifikate der CPU von der
Zertifizierungsstelle des Projekts (CA-Zertifikat) signieren lassen.
Welches CA-Zertifikat verwendet werden soll, können Sie selbst bestimmen.
Automatische Generierung
Wenn Sie den Zertifikatsmanager in den globalen Security-Einstellungen
verwenden, dann erzeugt TIA Portal ein Gerätezertifikat signiert über ein von
TIA Portal bereitgestelltes CA-Zertifikat.
Beim Laden wird das CA-Zertifikat des Projekts automatisch mitgeladen.
Wichtiger Hinweis
Sie können von einem PC aus auf den Webserver der CPU per HTTPS zugreifen.
Allerdings werden Sie von Ihrem Webbrowser gewarnt, diese Seite nicht zu
benutzen, da der Webserver als nicht vertrauenswürdig eingestuft werden kann.
Um die Seite zu sehen, müssen Sie explizit die Webseite als Ausnahme
hinzufügen. Die Ursache ist das fehlende CA-Zertifikat, mit welcher das Server-
Zertifikat der CPU signiert wurde.
Aus diesem Grund wird Ihnen empfohlen, dass CA-Zertifikat der CPU zu
installieren. Wenn das CA-Zertifikat installiert ist, dann wird Ihr Webbrowser keine
Warnung mehr anzeigen, da der Webserver verifiziert werden kann.
Um das CA-Zertifikat zu installieren, haben Sie die folgenden Möglichkeiten:
• Sie können das gültige CA-Zertifikat direkt von der Startseite "Intro" des
Webservers unter "Zertifikat herunterladen" ("Download certificate")
herunterladen (siehe Kapitel 3.2).
• Sie können aus TIA Portal heraus das CA-Zertifikat exportieren und
anschließend das CA-Zertifikat in den Browser importieren (siehe Kapitel 2.3).
• Sie können direkt aus TIA Portal heraus das CA-Zertifikat installieren (siehe
Kapitel 2.2).
Hinweis Weitere Informationen finden Sie in Kapitel 3.

Beitrags-ID: 109769068, V1.0, 09/2019 9
1 Einführung
1.2.5 Entscheidungshilfe
Ob es besser ist, selbstsignierte Gerätezertifikate oder Gerätezertifikate, die durch

eine Zertifizierungsstelle signiert wurden, zu verwenden, hängt unter anderem von
der Anzahl der zu erreichenden CPUs und der Anzahl der zugreifenden PCs ab.
Selbstsignierte Zertifikate
Wenn Sie selbstsignierte Gerätezertifikate verwenden, dann müssen Sie für jede
CPU ein eigenes Gerätezertifikat erstellen, selbstsignieren und dieses
Gerätezertifikat in den PC installieren.
Aufwendig wird es, wenn Sie mehrere CPUs bzw. PCs verwenden:
• Wenn Sie mehrere CPUs haben, müssen Sie auf dem PC die Gerätezertifikate
aller CPUs installieren.
• Wenn Sie mehrere CPUs mit mehreren PCs erreichen möchten, dann müssen
Sie auf allen PCs die Gerätezertifikate aller CPUs installieren.
Zudem müssen Sie beachten, dass sich die IP-Adresse der CPU nicht ändern darf,
da Sie sonst neue Gerätezertifikate generieren, laden und installieren müssen.
Gerätezertifikate signiert durch eine CA

Wenn Sie von verschiedenen PCs auf verschiedene CPUs zugreifen möchten oder
wenn nachträglich noch weitere CPUs hinzugefügt werden sollen, dann ist die
Verwendung von Zertifizierungsstellen zu präferieren.
Sie müssen weiterhin pro CPU ein eigenes Gerätezertifikat erstellen. Da aber alle
Gerätezertifikate mit dem gleichen CA-Zertifikat signiert wurden, müssen Sie auf
dem PC / den PCs nur dieses eine CA-Zertifikat installieren.
Unabhängig davon, ob Sie nur eine CPU oder mehrere CPUs erreichen möchten,
ist es ausreichend, nur ein Zertifikat (das CA-Zertifikat) auf dem PC zu installieren.
Das CA-Zertifikat können Sie einfach direkt aus dem globalen
Zertifizierungsmanager installieren, exportieren oder von der Startseite des
Webservers der CPU herunterladen.
Dadurch, dass auf dem PC nur das CA-Zertifikat installiert werden muss, können
Sie auch im Nachgang die IP-Adresse der CPU ändern ohne Konsequenzen für
die PC-Seite.
Zusammenfassung
Die folgende Tabelle dient als zusätzliche Entscheidungshilfe:
Tabelle 1-1
Selbstsigniert Zertifizierungsstelle
1 CPU, 1PC / Client, + -
keine Änderungen geplant
n CPUs, m PC / Clients, - +
Änderungen möglich
Herunterladen des - +
Zertifikats über Webserver

Beitrags-ID: 109769068, V1.0, 09/2019 10
2 Zertifikatsmanager nutzen
In TIA Portal werden die Zertifikate im Zertifikatsmanager der globalen Security-
Einstellungen verwaltet. Der Zertifikatsmanager enthält eine Übersicht aller im
Projekt verwendeten Zertifikate. Im Zertifikatsmanager können Sie z. B. neue
Zertifikate importieren sowie bestehende Zertifikate exportieren, erneuern oder
ersetzen. Jedem Zertifikat ist eine ID zugeordnet, über die das Zertifikat in den
Programmbausteinen referenziert werden kann.
2.1 Aktivieren und verstehen

Zertifikatsmanager aktivieren
Um die globalen Security-Einstellungen zu aktivieren, gehen Sie wie folgt vor:
1. Markieren Sie in der Geräte- oder Netzsicht die CPU. Die Eigenschaften der
CPU werden im Inspektorfenster angezeigt.
2. Wählen Sie in der Bereichsnavigation des Registers "Eigenschaften"

("Properties") den Eintrag "Schutz & Security > Zertifikatsmanager"
("Protection & Security > Certificate manager") aus. Aktivieren Sie die Option
"Globale Security-Einstellungen für den Zertifikatsmanager verwenden" ("Use
global security settings for certificate manager").
Abbildung 2-1
3. Bestätigen Sie die folgende Meldung mit der Schaltfläche "OK".

Abbildung 2-2

Beitrags-ID: 109769068, V1.0, 09/2019 11
Ergebnis
Der globale Zertifizierungsmanager ist aktiviert.
Abbildung 2-3
Projekt schützen
Nachdem Sie die globalen Security-Einstellungen für den Zertifikatsmanager
aktiviert haben, müssen Sie das Projekt vor unbefugtem Zugriff schützen.
Sie schützen das Projekt, indem Sie einen Projektadministrator definieren und sich
mit diesem Benutzer später anmelden. Ohne Anmeldung können Sie nicht auf den
Zertifikatsmanager der globalen Security-Einstellungen zugreifen.
Legen Sie wie folgt beschrieben einen Projektadministrator an:

1. Doppelklicken Sie in der Projektnavigation unter "Security-Einstellungen"
("Security settings") auf den Eintrag "Einstellungen" ("Settings").
Klicken Sie auf die Schaltfläche "Dieses Projekt schützen" ("Protect this
project").
Abbildung 2-4
2. Definieren Sie einen Benutzernamen und ein Passwort. Bestätigen Sie das
Passwort. Klicken Sie auf die Schaltfläche "OK".
Abbildung 2-5

Beitrags-ID: 109769068, V1.0, 09/2019 12
Ergebnis
Sie haben das Projekt geschützt und einen Projektadministrator bestimmt.
Sie können fortan das Projekt nur öffnen, wenn Sie sich vorher als
Projektadministrator angemeldet haben.
Wenn Sie sich angemeldet haben, erscheint unter dem Eintrag "Security-
Einstellungen > Security-Funktionen" ("Security settings > Security features") unter
anderem eine Zeile "Zertifikatsmanager" ("Certificate manager").
Abbildung 2-6

Beitrags-ID: 109769068, V1.0, 09/2019 13
Zertifikatsmanager verstehen
Mit einem Doppelklick auf die neu erschienene Zeile "Zertifikatsmanager"
("Certificate manager") in der Projektnavigation erhalten Sie Zugang zu allen
Zertifikaten im Projekt, aufgeteilt in die Register
• "Zertifizierungsstellen (CA)" ("Certificate authority (CA)"),
• "Gerätezertifikate" ("Device certificates") und
• "Vertrauenswürdige Zertifikate und Stammzertifizierungsstellen" ("Trusted
certificates and root certificates").
TIA Portal stellt für das Gesamtprojekt zwei Stammzertifikate (CA-Zertifikate)
bereit, die sich in der Verschlüsselungsstärke der Hash-Algorithmen für die
Zertifikatssignatur unterscheiden:
• Das CA-Zertifikat mit der "ID: 1" beinhaltet die mit SHA1 verschlüsselte
Zertifikat- Signatur.
• Das CA-Zertifikat mit der "ID: 2" beinhaltet die mit SHA256 verschlüsselte
Zertifikat- Signatur.
Abbildung 2-7
Mit dem Zertifikatsmanager in den globalen Security-Einstellungen haben Sie nun

die Möglichkeit, die beiden Stammzertifikate einzusehen, zu exportieren oder
Fremdzertifikate in das TIA Portal zu importieren.
Abbildung 2-8

Beitrags-ID: 109769068, V1.0, 09/2019 14
2.2 Zertifikate direkt installieren

Die Zertifikate können über den Zertifikatsmanager der globalen Security-
Einstellungen auch direkt auf dem lokalen PC installiert werden. In der folgenden
Anleitung wird das CA-Zertifikat im Zertifikatsspeicher von Windows installiert.
Gehen Sie dafür wie folgt vor:

1. Öffnen Sie in der Projektnavigation das Menü "Security-Einstellungen >
Security-Funktionen" ("Security settings > Security features"). Klicken Sie
doppelt auf die Zeile "Zertifikatsmanager" ("Certificate manager").
2. Wählen Sie ein Zertifikat aus und öffnen Sie über die rechte Maustaste das
Kontextmenü. Wählen Sie den Eintrag "Anzeigen" ("Show").
Abbildung 2-9
3. Das Zertifikat wird angezeigt. Um das Zertifikat lokal auf dem PC zu

installieren, klicken Sie auf die Schaltfläche "Zertifikat Installieren" ("Install
certificate").
Abbildung 2-10

Beitrags-ID: 109769068, V1.0, 09/2019 15
4. Folgen Sie den Anweisungen des Wizards:

– Wählen Sie als Speicherort den lokalen Speicher aus.
– Wählen Sie selbst den Zertifikatsspeicher aus und suchen Sie nach dem
Ordner für "Vertrauenswürdige Stammzertifizierungsstellen" ("Trusted Root
Certification Authorities").
Mit der Schaltfläche "Beenden" ("Finish") wird das Zertifikat in den gewählten
Ordner importiert. Zuvor gibt der Wizard noch eine Sicherheitswarnung aus,
die mit "Ja" ("Yes") quittiert werden muss.
Abbildung 2-11
5. Der Wizard schließt den erfolgreichen Importvorgang mit folgender Meldung

ab, die Sie mit "OK" bestätigen können.
Abbildung 2-12

Beitrags-ID: 109769068, V1.0, 09/2019 16
Ergebnis
Sie haben das Zertifikat aus TIA Portal in den Zertifikatsspeicher von Windows
importiert. Um den Import zu prüfen, können Sie die Management-Konsole "mmc"
von Microsoft verwenden. Fügen Sie dafür das Snap-In "Zertifikate" ("Certificates")
der Konsole hinzu.
Abbildung 2-13
Hinweis Die MMC aktualisiert die Anzeige nicht selbständig. Wird das Zertifikat hier noch
nicht angezeigt, reicht in der Regel ein Neustart der MMC aus.

Beitrags-ID: 109769068, V1.0, 09/2019 17
2.3 Zertifikate exportieren

Die Zertifikate können über den Zertifikatsmanager der globalen Security-
Einstellungen auch in verschiedenen Formaten exportiert und zu einem späteren
Zeitpunkt bzw. auf einem anderem PC installiert oder in einer anderen Anwendung,
z. B. UaExpert, importiert werden. In der folgenden Anleitung wird das CA-Zertifikat
exportiert.
2. Wählen Sie ein Zertifikat aus und öffnen Sie über die rechte Maustaste das
Kontextmenü. Wählen Sie den Eintrag "Exportieren" ("Export").
Abbildung 2-14
3. Ein Dialog wird geöffnet. Wählen Sie den Speicherort des Zertifikats aus.
Ändern Sie falls nötig den Dateityp. Klicken Sie auf die Schaltfläche
"Speichern" ("Save").
Abbildung 2-15

Beitrags-ID: 109769068, V1.0, 09/2019 18
Hinweis In der Voreinstellung wird das Zertifikat als Dateityp "*.der" exportiert.
Wenn Sie einen anderen Dateityp benötigen, dann können Sie die
Voreinstellung in der Auswahlliste bei "Dateityp" ("Data type") ändern.
Ergebnis
Sie haben das Zertifikat aus TIA Portal exportiert und auf dem PC gespeichert. Sie
können das Zertifikat nun auch auf einen anderen PC übertragen oder in eine
andere Anwendung, z B. UaExpert, importieren.
Um das exportierte Zertifikat direkt zu installieren, klicken Sie doppelt auf das
exportierte Zertifikat. Das Zertifikat wird angezeigt und kann installiert werden
(siehe Schritt 2 von Kapitel 2.2).

Beitrags-ID: 109769068, V1.0, 09/2019 19
3 Sichere Webserver-Verbindung
3.1 Webserver und Webserver-Zertifikate
Übersicht
Für eine sichere Verbindung wird der Webserver der CPU so eingerichtet, dass nur
eine Verbindung über HTTPS zulässig ist. Dafür benötigt die CPU ein
Gerätezertifikat (Server-Zertifikat).
Bei S7-1500 CPUs ab Firmware V2.0 erzeugt TIA Portal das Server-Zertifikat für
die CPU automatisch, sobald Sie den Webserver über HTTPS aktivieren und das
Projekt übersetzen.
In den Eigenschaften der CPU können Sie
• das Server-Zertifikat einsehen.
• ein neues Server-Zertifikat generieren.
• ein anderes Server-Zertifikat dem Webserver zuweisen.
Webserver über HTTPS aktiveren

Um den Webserver über HTTPS zu konfigurieren, gehen Sie wie folgt vor:

("Properties") den Eintrag "Webserver" ("Web server") aus. Aktivieren Sie die
Option "Webserver auf der Baugruppe aktiveren" ("Activate web server on this
module") und die Option "Zugriff nur über HTTPS erlauben" ("Permit access
only with HTTPS").
Abbildung 3-1
3. Übersetzen Sie Ihr TIA Portal-Projekt.
Ergebnis
Sie haben den Webserver mit der Option "HTTPS" aktiviert. Der Webserver der
CPU ist über die folgende Adresse erreichbar: "https://<IP-Adresse der CPU>".

Beitrags-ID: 109769068, V1.0, 09/2019 20
Server-Zertifikat einsehen
Nachdem Sie die Option "Zugriff nur über HTTPS zulassen" ("Permit access only
with HTTPS") aktiviert und das TIA Portal-Projekt übersetzt haben, generiert
TIA Portal ein Server-Zertifikat.
Sie finden das Server-Zertifikat in den Eigenschaften des Webservers.
Wählen Sie in der Bereichsnavigation den Eintrag "Webserver > Security" ("Web
server > Security") aus. Unter "Server Zertifikat" ("Server certificate") sehen Sie,
dass TIA Portal bereits ein dem Webserver zugeordnetes Gerätezertifikat erzeugt
hat.
Abbildung 3-2
Hinweis TIA Portal speichert das Server-Zertifikat im lokalen Zertifikate-Verzeichnis der

CPU. Dieses Verzeichnis können Sie im lokalen Zertifikatsmanager der CPU und
auch im Zertifikatsmanager der globalen Security-Einstellungen einsehen und

verwalten (Zertifikate exportieren oder löschen).

Beitrags-ID: 109769068, V1.0, 09/2019 21
Neues Server-Zertifikat erzeugen

Um ein neues Server-Zertifikat zu generieren, gehen Sie wie folgt vor:
1. Wählen Sie in der Bereichsnavigation den Eintrag "Webserver > Security"
("Web server > Security") aus.
2. Um ein anderes Server-Zertifikat auszuwählen oder ein neues Server-Zertifikat

zu generieren, klicken Sie auf die in der Auswahlliste "Server-Zertifikat"
("Server certificate") integrierte Schaltfläche.
Abbildung 3-3
3. Ein Dialog erscheint und listet alle verfügbaren Server-Zertifikate auf. Um ein
neues Server-Zertifikat zu erstellen, klicken Sie auf die Schaltfläche
"Hinzufügen" ("Add new").
Abbildung 3-4

Beitrags-ID: 109769068, V1.0, 09/2019 22
4. Der Dialog "Neues Zertifikat erzeugen" ("Create new certificate") erscheint. In

diesem Dialog haben Sie die folgenden Möglichkeiten:
– Sie können zwischen einem selbstsignierten Zertifikat und einem Zertifikat,
signiert über eine Zertifizierungsstelle, wählen.
– Sie können, falls nötig, das CA-Zertifikat der Zertifizierungsstelle
auswählen.
– Sie können die Zertifikat-Parameter bestimmen.
Abbildung 3-5

Beitrags-ID: 109769068, V1.0, 09/2019 23
5. In diesem Beispiel wird ein Server-Zertifikat mit einer starken Verschlüsselung

"SHA256" erstellt, das von einer Zertifizierungsstelle signiert wurde.
Als Zertifizierungsstelle dient das von TIA Portal zur Verfügung gestellte
CA-Zertifikat mit der "ID: 2".
Stellen Sie die Parameter ein. Orientieren Sie sich dabei an dem Screenshot.
Um das neue Zertifikat zu generieren, klicken Sie anschließend auf die
Schaltfläche "OK".
Abbildung 3-6
Hinweis Stimmen Sie die Gültigkeit des Zertifikats mit dem Anlagenbetreiber ab.
6. Sie können das neu erzeugte Gerätezertifikat nun als Server-Zertifikat des
Webservers nutzen.
Abbildung 3-7
7. Übersetzen Sie Ihr TIA Portal-Projekt und laden Sie die CPU. Beim
Ladevorgang werden unter anderem das Gerätezertifikat, das CA-Zertifikat
und die Berechtigung für den Webserver-Zugriff in die CPU geladen.

Beitrags-ID: 109769068, V1.0, 09/2019 24
Ergebnis
Im Zertifikatsmanager im Register "Gerätezertifikate" ("Device certificates") wird
das neue Gerätezertifikat zu den vorhandenen Gerätezertifikaten hinzugefügt.
Abbildung 3-8
An dieser Stelle haben Sie die Möglichkeit, das neue Gerätezertifikat z. B.

einzusehen, zu exportieren, zu löschen oder zu erneuern.
Abbildung 3-9

Beitrags-ID: 109769068, V1.0, 09/2019 25
3.2 Browser einrichten und testen

In der folgenden Anleitung werden die folgenden Browser verwendet:
• Internet Explorer
• Firefox
• Chrome
Beschreibung
Mit dem Zusatz "https" erreichen Sie, dass der Webserver dem Browser sein
Gerätezertifikat überträgt. Wenn das CA-Zertifikat, mit dem das Gerätezertifikat
des Webservers signiert wurde, dem Browser bekannt ist, wird die Webseite als
vertrauenswürdig eingestuft. Je nach Browser erscheint z. B. ein Vorhängeschloss
in der Adresszeile, das Sie anklicken können, um weitere Informationen über das
Zertifikat und die ausgebende Zertifikatsfirma zu erhalten. Wenn Sie allerdings
versuchen, die HTTPS-Version einer Seite zu öffnen, die kein gültiges Zertifikat
besitzt, wird eine Warnung angezeigt.
Hinweis Ein eingeschalteter Virenscanner mit Zusatzfunktionen von Browser- bzw.

Mailabsicherung kann einen ordnungsgemäßen Austausch von Zertifikaten
verhindern. Sie müssen diese Anwendungen eventuell anpassen oder gegen ein
anderes Produkt austauschen.
Voraussetzung
Um eine sichere Verbindung zum Webserver aufzubauen, muss das CA-Zertifikat
im Zertifikatsspeicher vorhanden sein, auf welchen der Browser zugreift.
Um das CA-Zertifikat in den Zertifikatsspeicher zu importieren, haben Sie die
folgenden Möglichkeiten:
1. Sie installieren das CA-Zertifikat direkt aus TIA Portal heraus (siehe
Kapitel 2.2). Das CA-Zertifikat wird allerdings nur im Windows-
Zertifikatsspeicher abgelegt.
Dieses Vorgehen ist bei dem Browser Firefox nicht anwendbar, da Firefox einen
eigenen Zertifikatsspeicher verwendet.
Hinweis
2. Sie importieren und installieren das CA-Zertifikat direkt in den

Zertifikatsspeicher des Browsers. Um das CA-Zertifikat zu importieren und zu
installieren, müssen Sie das CA-Zertifikat auf dem lokalen Rechner
gespeichert haben. Dafür haben Sie die folgenden Möglichkeiten:
– Sie exportieren das CA-Zertifikat aus TIA Portal im Format "*.der"
("Zertifikat-DER-kodiert" ("Certificate-DER coded")) (siehe Kapitel 2.3).
– Sie laden das CA-Zertifikat von der Intro-Seite des Webservers herunter.
Hinweis In der folgenden Anleitung wird das CA-Zertifikat von der Intro-Seite des
Webservers geladen, importiert und installiert.

Beitrags-ID: 109769068, V1.0, 09/2019 26
3.2.1 Internet Explorer oder Edge
Hinweis Wenn Sie das CA-Zertifikat bereits im zentralen Zertifikatsspeicher von Windows
importiert haben (siehe Kapitel 2.2), dann wird die Webseite der CPU bereits als
vertrauenswürdig eingestuft und Sie brauchen keine weiteren Anpassungen
vornehmen.
Version
Die Anleitung und die Screenshots wurden mit Internet Explorer Version 11 erstellt.
Zertifikatsspeicher
Windows verfügt über einen zentralen Zertifikatsspeicher. Auf den zentralen
Zertifikatsspeicher können viele Windows-Programme zugreifen, wenn sie mit
Zertifikaten arbeiten. Dies hat den Vorteil, dass man die Zertifikate nicht in den
Zertifikatsspeicher einer jeden Software extra importieren muss, sondern nur
einmal zentral im Windowssystem selbst.
Wenn Sie das CA-Zertifikat über den Internet Explorer importieren und installieren,
wird das CA-Zertifikat im zentralen Zertifikatsspeicher abgelegt. Den zentralen
Zertifikatsspeicher können Sie mit der Management-Konsole "mmc" einsehen und
verwalten.

Beitrags-ID: 109769068, V1.0, 09/2019 27
CA-Zertifikat vom Webserver laden und direkt installieren

Das von der Zertifizierungsstelle ausgestellte CA-Zertifikat kann einfach per
Webbrowser heruntergeladen und anschließend direkt installiert werden.
1. Öffnen Sie die Intro-Seite des Webservers der CPU über die Adresse
"https://<IP-Adresse der CPU>".
Die Webseite wird geladen. Da das Gerätezertifikat der CPU durch das
fehlende CA-Zertifikat noch nicht verifiziert werden kann, wird die Webseite als
unsicher eingestuft.
Folgende Nachricht wird angezeigt: "Es liegt ein Problem mit dem
Sicherheitszertifikat dieser Webseite vor" ("There is a problem with this
website's security certificate").
Ist der Betreiber der Webseite bekannt und wenn Sie wissen, dass dieser
keine bösen Absichten hegt, können Sie durch Anklicken des Links "Zu dieser
Webseite gehen (nicht empfohlen)" ("Continue to this website (not
recommended))" die Webseite trotz der Warnung aufrufen.
Abbildung 3-10

Beitrags-ID: 109769068, V1.0, 09/2019 28
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Der Internet
Explorer färbt die Adressleiste rot ein und meldet am rechten Rand der
Adressleiste den Zertifikatsfehler.
Um das CA-Zertifikat herunterzuladen, klicken Sie auf das Menü "Download
Zertifikat" ("download certificate").
Abbildung 3-11
3. Sie können wählen, ob Sie das CA-Zertifikat direkt öffnen oder speichern
wollen.
Um das CA-Zertifikat direkt zu installieren, klicken Sie auf "Öffnen" ("Open").
Abbildung 3-12
Hinweis Wenn Sie das CA-Zertifikat speichern und zu einem späteren Zeitpunkt bzw. auf
einem anderen Rechner installieren möchten, dann folgen Sie der Anleitung im
nächsten Abschnitt.
4. Das Zertifikat wird geöffnet. Klicken Sie auf "Zertifikat installieren" ("Install
Certificate").
Abbildung 3-13

Beitrags-ID: 109769068, V1.0, 09/2019 29
5. Der Wizard wird gestartet. Folgen Sie den Anweisungen des

Installationsassistenten:
Abbildung 3-14

ab, die Sie mit "OK" bestätigen müssen.
Abbildung 3-15
7. Schließen Sie alle Instanzen von Internet Explorer und starten Sie das
Programm anschließend erneut.

Beitrags-ID: 109769068, V1.0, 09/2019 30
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Windows importiert.
Die Webseite der CPU wird nun als vertrauenswürdig eingestuft.
Abbildung 3-16

Beitrags-ID: 109769068, V1.0, 09/2019 31
CA-Zertifikat importieren und installieren

Wenn Sie das CA-Zertifikat auf dem lokalen Rechner gespeichert haben, z. B.
durch den Export aus TIA Portal oder dem Download und anschließendem
Speichern, dann können Sie das CA-Zertifikat wie folgt in den zentralen
Zertifikatsspeicher importieren:
1. Navigieren Sie auf Ihrem Rechner zu dem Verzeichnis mit dem CA-Zertifikat.
Öffnen Sie mit einem Doppelklick das CA-Zertifikat und klicken Sie auf
"Zertifikat installieren" ("Install Certificate").
Abbildung 3-17

Beitrags-ID: 109769068, V1.0, 09/2019 32
2. Folgen Sie den Anweisungen des Wizards:

Abbildung 3-18

Abbildung 3-19
4. Schließen Sie alle Instanzen von Internet Explorer und starten Sie das
Programm anschließend erneut.

Beitrags-ID: 109769068, V1.0, 09/2019 33
Ergebnis
Abbildung 3-20

Beitrags-ID: 109769068, V1.0, 09/2019 34
3.2.2 Google Chrome
Hinweis Wenn Sie das CA-Zertifikat bereits im zentralen Zertifikatsspeicher von Windows
importiert haben (z. B. durch Kapitel 2.2 oder Kapitel 3.2.1), dann wird die
Webseite der CPU bereits als vertrauenswürdig eingestuft und Sie brauchen
keine weiteren Anpassungen vornehmen.
Version
Die Anleitung und die Screenshots wurden mit Google Chrome Version
75.0.3770.100 erstellt.
Zertifikatsspeicher
Der Browser Google Chrome verwalten die Zertifikate zwar selbst, greift aber auf
den zentralen Zertifikatsspeicher von Windows zu.
Um zu prüfen, ob das CA-Zertifikat dem Browser bekannt ist, gehen Sie wie folgt
vor:
1. Öffnen Sie in Chrome die Einstellungen. Unter "Erweitert > Datenschutz und
Sicherheit" ("Advanced > Privacy and Security") finden Sie den Eintrag
"Zertifikate verwalten" ("Manage certificates"). Klicken Sie auf den Eintrag.
Abbildung 3-21

Beitrags-ID: 109769068, V1.0, 09/2019 35
2. Das Fenster "Zertifikate" ("Certificates") wird geöffnet. Wechseln Sie in das

Register "Vertrauenswürdige Stammzertifizierungsstellen" ("Trusted Root
Certification Authorities"). Wenn Sie das CA-Zertifikat bereits installiert haben,
wird es in der Liste angezeigt. Schließen Sie den Dialog mit "Schließen"
("Close").
Abbildung 3-22

Beitrags-ID: 109769068, V1.0, 09/2019 36

keine bösen Absichten hegt, können Sie durch Anklicken des Links "Weiter zu
<IP-Adresse der CPU>(unsicher)" ("Go to <IP address of CPU>(unsecure))"
die Webseite trotz der Warnung aufrufen. Sie finden den Link durch einen Klick
auf die Schaltfläche "Erweitert" ("Advanced").
Abbildung 3-23

Beitrags-ID: 109769068, V1.0, 09/2019 37
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Chrome färbt
das "https" der Adresse rot ein und meldet am rechten Rand der Adressleiste
den Zertifikatsfehler.
Zertifikat" ("download certificate"). Bestätigen Sie den Sicherheitshinweis mit
"Behalten".
Abbildung 3-24
3. Die Datei wird im bevorzugten Download-Ordner gespeichert. Die Datei wird

zusätzlich im unteren linken Bildschirmrand angezeigt. Hier können Sie
wählen, ob Sie das CA-Zertifikat direkt öffnen oder den Speicherordner öffnen
wollen.
Um das CA-Zertifikat direkt zu installieren, klicken Sie auf die angezeigte Datei
und wählen Sie den Punkt "Öffnen" ("Open").
Bestätigen Sie den Sicherheitshinweis von Windows mit "Öffnen" ("Open").
4. Das Zertifikat wird geöffnet. Klicken Sie auf "Zertifikat installieren" ("Install
Certificate").
Abbildung 3-25

Beitrags-ID: 109769068, V1.0, 09/2019 38

Abbildung 3-26

Abbildung 3-27
7. Schließen Sie alle Instanzen von Chrome und starten Sie das Programm
anschließend erneut.

Beitrags-ID: 109769068, V1.0, 09/2019 39
Ergebnis
Abbildung 3-28

Beitrags-ID: 109769068, V1.0, 09/2019 40

Speichern, dann können Sie das CA-Zertifikat wie folgt in den zentralen
Zertifikatsspeicher importieren:
1. Öffnen Sie in Chrome die Einstellungen. Unter "Erweitert > Datenschutz und
Sicherheit" ("Advanced > Privacy and Security") finden Sie den Eintrag
"Zertifikate verwalten" ("Manage certificates"). Klicken Sie auf den Eintrag.
Abbildung 3-29

Beitrags-ID: 109769068, V1.0, 09/2019 41
2. Das Fenster "Zertifikate" ("Certificates") wird geöffnet. Wählen Sie das Register
"Vertrauenswürdige Stammzertifizierungsstellen" ("Trusted Root Certification
Authorities") und klicken Sie auf die Schaltfläche "Importieren" ("Import").
Abbildung 3-30
3. Der Wizard zum Importieren des Zertifikats wird gestartet. Wählen Sie über
"Durchsuchen" ("Browse") den Speicherort des Zertifikats aus.
Klicken Sie anschließend auf die Schaltfläche "Weiter" ("Next").
Abbildung 3-31

Beitrags-ID: 109769068, V1.0, 09/2019 42
4. Der Wizard wählt durch die Registervorwahl in Schritt 2 den richtigen Ort aus.
Klicken Sie auf die Schaltfläche "Weiter" ("Next").
Abbildung 3-32
5. Mit der Schaltfläche "Beenden" ("Finish") wird das Zertifikat in den gewählten
Abbildung 3-33

Beitrags-ID: 109769068, V1.0, 09/2019 43

Abbildung 3-34
7. Das CA-Zertifikat wurde importiert und kann im Register "Vertrauenswürdige

Stammzertifizierungsstellen" ("Trusted Root Certification Authorities")
eingesehen werden. Schließen Sie den Dialog mit "Schließen" ("Close").
Abbildung 3-35

Beitrags-ID: 109769068, V1.0, 09/2019 44
Ergebnis
Abbildung 3-36

Beitrags-ID: 109769068, V1.0, 09/2019 45
3.2.3 Firefox
Version
Die Anleitung und die Screenshots wurden mit Firefox Quantum Version 60.7.2
erstellt.
Zertifikatsspeicher
Im Unterschied zu Internet Explorer oder Google Chrome verwendet Firefox
standardmäßig seinen eigenen Zertifikatsspeicher.
CA-Zertifikat vom Webserver laden

Webbrowser heruntergeladen werden.
Auf Webseiten, die eigentlich als sicher gelten, überprüft Firefox das von der
Webseite herausgegebene Zertifikat auf dessen Gültigkeit. Falls das Zertifikat
nicht verifiziert werden kann, weist Firefox die Verbindung zur Webseite zurück
und zeigt stattdessen eine Seite mit der Fehlermeldung "Warnung: Mögliches
Sicherheitsrisiko erkannt" ("Warning: Potential Security Risk Ahead").
keine bösen Absichten hegt, können Sie durch Anklicken der Schaltfläche
"Erweitert" "("Advanced") die Webseite als Ausnahme hinzufügen und trotz der
Warnung aufrufen.
Abbildung 3-37

Beitrags-ID: 109769068, V1.0, 09/2019 46
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Firefox
meldet am rechten Rand der Adressleiste den Zertifikatsfehler.
Abbildung 3-38
3. Speichern Sie das CA-Zertifikat auf dem lokalen Rechner ab.

Abbildung 3-39

Beitrags-ID: 109769068, V1.0, 09/2019 47

Speichern, dann können Sie das CA-Zertifikat wie folgt in den Zertifikatsspeicher
von Firefox importieren
Gehen Sie wie folgt vor:
1. Öffnen Sie in Firefox die Einstellungen. Unter "Datenschutz & Sicherheit"
("Privacy & Security") finden Sie das Register "Zertifikate" ("Certificates").
Klicken Sie auf die Schaltfläche "Zertifikate anzeigen…" ("View Certificates…").
Abbildung 3-40
2. Die Zertifikatsverwaltung von Firefox wird geöffnet. Gehen Sie in das Register
"Zertifizierungsstellen" ("Authorities") und klicken Sie auf die Schaltfläche
"Importieren…" ("Import…").
Abbildung 3-41

Beitrags-ID: 109769068, V1.0, 09/2019 48

– Wählen Sie im Dialog "Herunterladen des Zertifikats" ("Download this
certificate") den Eintrag "Dieser CA vertrauen, um Webseiten zu
identifizieren" ("Trust this CA to identify websites").
Bestätigen Sie den Dialog mit "OK".
Abbildung 3-42
4. Wenn der Importvorgang erfolgreich war, wird das CA-Zertifikat im

Zertifikatsmanager im Register "Zertifizierungsstellen" ("Authorities")
aufgeführt. Schließen Sie den Dialog mit "OK".
5. Schließen Sie alle Instanzen von Firefox und starten Sie das Programm

Beitrags-ID: 109769068, V1.0, 09/2019 49
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Firefox importiert.
Abbildung 3-43

Beitrags-ID: 109769068, V1.0, 09/2019 50
3.2.4 Betriebssystem Android
Version
Die Anleitung und die Screenshots wurden mit einem Samsung Tablet 2016 mit
der Android Version 8.1.0 getestet. Ein Sperrbildschirmtyp ist nicht eingerichtet.
Verwendet wurde Google Chrome Version 75.0.

keine bösen Absichten hegt, können Sie durch Anklicken des Links "Weiter zu
<IP-Adresse der CPU>(unsicher)" ("Go to <IP address of CPU>(unsecure))"
die Webseite trotz Warnung aufrufen. Sie finden den Link durch einen Klick auf
die Schaltfläche "Erweitert" ("Advanced").
Abbildung 3-44

Beitrags-ID: 109769068, V1.0, 09/2019 51
2. Die Intro-Seite des Webservers wird als unsichere Seite geöffnet. Chrome färbt
das "https" der Adresse rot ein und meldet am rechten Rand der Adressleiste
den Zertifikatsfehler.
Abbildung 3-45
3. Die Datei wird im bevorzugten Download-Ordner gespeichert. Die Datei wird

zusätzlich im unteren linken Bildschirmrand angezeigt. Klicken Sie auf den Link
"Öffnen" ("Open").
Abbildung 3-46
4. Das CA-Zertifikat wird im Downloadordner gespeichert und kann eingesehen

werden.
Abbildung 3-47

Beitrags-ID: 109769068, V1.0, 09/2019 52
5. Sie können das Zertifikat im Downloadordner nicht direkt öffnen. Öffnen Sie
daher den Dateimanager auf Ihrem Tablet.
Unter "Downloads" finden Sie das CA-Zertifikat.
Abbildung 3-48
6. Um das CA-Zertifikat zu installieren, drücken Sie auf die Datei

"MiniWebCA_Cer".
Sie müssen einen Zertifikatsnamen definieren (in diesem Beispiel "Simatic").
Der Name kann beliebig gewählt werden.
Bei Verwendungszweck belassen Sie die Default-Einstellung "VPN und Apps"
("VPN and apps").
Hinweis Wenn Sie bereits einen Sperrbildschirmtyp im Tablet hinterlegt haben, z. B. ein
Kennwort oder ein Sicherheitsmuster, dann werden Sie aufgefordert, dieses jetzt
einzugeben.
Übernehmen Sie die Einstellung mit "OK".

Abbildung 3-49

Beitrags-ID: 109769068, V1.0, 09/2019 53
7. Wenn Sie Zertifikate installieren, müssen Sie einen Sperrbildschirmtyp

einrichten.
Bestätigen Sie die Meldung mit "OK":
Abbildung 3-50
8. Wählen Sie den Sperrbildschirmtyp aus. In diesem Beispiel wird eine PIN-
Abfrage eingerichtet.
Hinweis Die Sicherheitsabfrage wird fortan immer abgefragt, wenn Sie das Tablet
aktiveren und einschalten.
Abbildung 3-51

Beitrags-ID: 109769068, V1.0, 09/2019 54
9. Vergeben Sie eine PIN und klicken Sie anschließend auf "Fortsetzen"
("Continue").
Abbildung 3-52
10. Bestätigen Sie die PIN und klicken Sie anschließend auf die Schaltfläche "OK".
Abbildung 3-53

Beitrags-ID: 109769068, V1.0, 09/2019 55
11. Bestimmen Sie die Art der Benachrichtigungen auf Ihrem Sperrbildschirm.
Beenden Sie den Installationsvorgang mit "Fertig" ("Done").
Abbildung 3-54
12. Das CA-Zertifikat wurde installiert.

Abbildung 3-55

Beitrags-ID: 109769068, V1.0, 09/2019 56
13. Das Zertifikat kann anschließend unter "Einstellungen > Sicherheit > Andere
Sicherheitseinstellungen > Sicherheitszertifikate anzeigen" ("Security > Other
security settings > View security cetificates") im Register "Benutzer" ("Users")
eingesehen werden.
Abbildung 3-56

Beitrags-ID: 109769068, V1.0, 09/2019 57
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von Android importiert.
Abbildung 3-57

Beitrags-ID: 109769068, V1.0, 09/2019 58
3.2.5 Betriebssystem iOS
Version
Die Anleitung und die Screenshots wurden mit einem iPad mit der iOS Version
12.1.4 getestet. Ein Sperrbildschirm ist mit PIN-Eingabe eingerichtet. Verwendet
wurde Safari.

unsicher eingestuft und es wird die Meldung "Diese Verbindung ist nicht
sicher" ("This Connection Is Not Private") angezeigt.
Durch Anklicken der Schaltfläche "Details anzeigen" ("Show Details") können
Sie weitere Informationen erhalten.
Abbildung 3-58

Beitrags-ID: 109769068, V1.0, 09/2019 59
2. Ist der Betreiber der Webseite bekannt und wenn Sie wissen, dass dieser
keine bösen Absichten hegt, können Sie mit dem Link "Diese Seite besuchen"
("visit this website)" die Webseite trotz der Warnung aufrufen.
Abbildung 3-59
3. Bestätigen Sie den Sicherheitshinweis mit "Seite besuchen" ("Visit Website").

Abbildung 3-60

Beitrags-ID: 109769068, V1.0, 09/2019 60
4. Die Intro-Seite des Webservers wird geöffnet.

Abbildung 3-61
5. Das Zertifikat wird bei iOS als "Konfigurationsprofil" ("Configuration profile")

deklariert. Um das Zertifikat (Profil) anzuzeigen, muss die Webseite Zugriff auf
Ihre Einstellungen im iPad haben. Dies bedarf Ihrer Erlaubnis. Bestätigen Sie
den Hinweis mit "Zulassen" ("Allow").
Abbildung 3-62

Beitrags-ID: 109769068, V1.0, 09/2019 61
6. Um das Zertifikat (Profil) anzuzeigen, müssen Sie die Sicherheitskennung

eingeben, mit dem Ihr iPad geschützt ist. In diesem Beispiel ist das iPad mit
einer PIN-Eingabe geschützt.
Abbildung 3-63
7. Eine Sicherheitswarnung wird angezeigt mit dem Hinweis, dass Sie das
Vertrauen für ein Zertifikat (Profil), das Sie von einer Webseite geladen haben,
nach der Installation manuell aktivieren müssen. Die in der Warnung
angesprochene Zertifikatsvertrauensverwaltung findet Sie in den Einstellungen
des iPads unter "Allgemein > Info > Zertifikatsvertrauenseinstellungen"
("General > About > Certificate Trust Settings").
Klicken Sie auf "Installieren" ("Install").
Abbildung 3-64

Beitrags-ID: 109769068, V1.0, 09/2019 62
8. Bestätigen Sie erneut den Installationswunsch mit "Installieren" ("Install").

Abbildung 3-65
9. Das Zertifikat wurde installiert und als vertrauenswürdig eingestuft. Schließen

Sie den Dialog mit "Fertig" ("Done").
Abbildung 3-66

Beitrags-ID: 109769068, V1.0, 09/2019 63
10. Wenn Sie ein Zertifikat (Profil) installieren, das Sie von einer Webseite geladen
haben, müssen Sie das Vertrauen für das CA-Zertifikat manuell aktivieren. Sie
wurden bereits in der Warnung von Schritt 7 darüber informiert.
Um das Zertifikat zu aktivieren, gehen Sie in die Einstellungen des iPads und
hier in das Menü " Allgemein > Info > Zertifikatsvertrauenseinstellungen"
("General > About > Certificate Trust Settings").
Abbildung 3-67

Beitrags-ID: 109769068, V1.0, 09/2019 64
11. Aktivieren Sie unter "Volles Vertrauen für Root-Zertifikate aktivieren" ("Enable
full trust for root certificates") das Vertrauen für das Zertifikat. Bestätigen Sie
den Sicherheitshinweis mit "Fortfahren" ("Continue").
Abbildung 3-68
12. Das Zertifikat können Sie in den Einstellungen des iPads unter "Allgemein >
Profile" ("General > Profil") einsehen und löschen.
Abbildung 3-69
13. Schließen Sie alle Instanzen von Safari und starten Sie die Anwendung neu.

Beitrags-ID: 109769068, V1.0, 09/2019 65
Ergebnis
Sie haben das CA-Zertifikat in den Zertifikatsspeicher von iOS importiert.
Abbildung 3-70
Alternatives Vorgehen
Verhindern installierte Sicherheitsrichtlinien den unsicheren Zugriff auf den
Webserver, um das Zertifikat herunterzuladen muss das Zertifikat über einen
anderen Weg installiert werden. Am einfachsten ist hier das Versenden des
Zertifikats über eine verschlüsselte E-Mail. In iOS wird anschließend der Anhang
der E-Mail geöffnet, das Zertifikat wird angezeigt und kann installiert werden.

Beitrags-ID: 109769068, V1.0, 09/2019 66
3.3 Überprüfung von Zertifikaten
Hinweis Die Überprüfung der Zertifikate wird anhand des Browsers "Internet Explorer"
gezeigt.
Voraussetzung
Um eine sichere Verbindung zum Webserver aufzubauen und die Zertifikate zu
vergleichen, müssen Sie das CA-Zertifikat im Windows-Zertifikatsspeicher
importiert und installiert haben.
Zertifikate prüfen
Zertifikate werden für die Überprüfung einer Identität oder andere
sicherheitskritische Anwendungen benutzt. Um festzustellen, dass dieses Zertifikat
echt ist und nicht von einem Angreifer gefälscht wurde, sollten Sie die Signatur des
Gerätezertifikats mit der Signatur des CA-Zertifikats abgleichen.
Um das Gerätezertifikat auf Echtheit zu prüfen, gehen Sie wie folgt vor:
Wenn Sie sich mit dem Webserver verbinden, dann zieht sich der Browser das
Gerätezertifikat der CPU und vergleicht es mit dem auf dem PC installierten
CA-Zertifikat. Wenn die Zertifikate in der Signatur übereinstimmen, wird die
Intro-Seite als vertrauenswürdig eingestuft und ohne Sicherheitswarnung

angezeigt.
Abbildung 3-71
2. Um Informationen zum Gerätezertifikat zu erhalten, klicken Sie auf das

Schlosssymbol in der Adressleiste.
Abbildung 3-72
3. Ein Fenster mit Informationen zur Webseitenidentifizierung erscheint. Klicken

Sie auf den Link "Zertifikate anzeigen" ("Show certificates").

Beitrags-ID: 109769068, V1.0, 09/2019 67
Abbildung 3-73
4. Das Gerätezertifikat wird geöffnet. Wechseln Sie in das Register "Details" und
suchen Sie den Eintrag "Stellenschlüsselkennung" ("Authority Key Identifier").
Markieren Sie den Eintrag, damit der Inhalt angezeigt wird.
Kopieren Sie sich den Schlüssel in eine Textdatei, um den Schlüssel mit dem
CA-Zertifikat zu vergleichen.
Abbildung 3-74

Beitrags-ID: 109769068, V1.0, 09/2019 68
5. Öffnen Sie das CA-Zertifikat. Sie finden das CA-Zertifikat z. B. über die
Management-Konsole oder Sie haben das CA-Zertifikat lokal gespeichert.
Wechseln Sie in das Register "Details" und suchen Sie den Eintrag
"Stellenschlüsselkennung" ("Authority Key Identifier"). Markieren Sie den
Eintrag, damit der Inhalt angezeigt wird.
Abbildung 3-75
6. Nun können Sie die Schlüssel miteinander vergleichen. Wenn beiden Angaben
identisch sind, dann sind die Zertifikate echt.
Abbildung 3-76

Beitrags-ID: 109769068, V1.0, 09/2019 69
4 Sichere OPC UA-Verbindung

Übersicht
Bei OPC UA arbeitet ein System als Server und stellt anderen Systemen (Clients)
die vorhandenen Informationen zur Verfügung.
OPC UA-Clients greifen z. B. lesend und schreibend auf Daten eines
OPC UA-Servers zu und rufen Methoden im OPC UA-Server auf.
Ab Firmware V2.0 ist eine S7-1500 CPU mit einem OPC UA-Server ausgestattet.
Ab Firmware V2.6 verfügt eine S7-1500 CPU zusätzlich auch über einen
OPC UA-Client.
Sicherheit bei OPC UA

OPC UA verwendet sichere Verbindungen zwischen Client und Server. Dabei
überprüft OPC UA die Identität der Kommunikationspartner. Für die
Authentifizierung von Client und Server nutzt OPC UA Zertifikate gemäß X.509-V3
der ITU (International Telecommunication Union).
OPC UA verwendet die folgenden Security Policies zum Schutz von Nachrichten:
• Keine Security: Alle Nachrichten sind ungesichert.
• Signieren: Alle Nachrichten werden signiert. Dadurch lässt sich die Integrität
der empfangenen Nachrichten überprüfen. Manipulationen werden erkannt.
• Signieren & Verschlüsseln: Alle Nachrichten werden signiert und verschlüsselt.
Dadurch lässt sich die Integrität der empfangenen Nachrichten überprüfen.

Manipulationen werden erkannt. Außerdem kann kein Angreifer den Inhalt der
Nachricht lesen (Schutz der Vertraulichkeit).

Beitrags-ID: 109769068, V1.0, 09/2019 70
4.1.1 Sicherheitseinstellungen im Server
OPC UA-Server
In diesem Beispiel wird eine S7-1500-CPU als OPC UA-Server eingerichtet.
OPC UA-Server in Betrieb nehmen

In der Grundeinstellung ist der OPC UA-Server der CPU aus Sicherheitsgründen
nicht freigegeben. OPC UA-Clients können weder schreibend noch lesend auf die
S7-1500-CPU zugreifen.
Der OPC UA-Server der S7-1500 CPU ist über alle internen PROFINET-
Schnittstellen der CPU (ab Firmware V2.0) erreichbar, jedoch nicht über die
PROFINET-Schnittstellen von CP/CM.
Um den OPC UA-Server der CPU zu aktivieren, gehen Sie folgendermaßen vor:

("Properties") den Eintrag "OPC UA > Server" ("OPC UA > Server") aus.
Aktivieren Sie den OPC UA-Server der CPU und bestätigen Sie die
Sicherheitsmeldung.
Abbildung 4-1

Beitrags-ID: 109769068, V1.0, 09/2019 71
3. Wählen Sie bei den CPU-Eigenschaften den Bereich "Runtime-Lizenzen" und

stellen Sie in der Auswahlliste "Typ der erworbenen Lizenz" ("Type of
purchased license") die erworbene Runtime-Lizenz für den OPC UA-Server ein.
Abbildung 4-2
4. Übersetzen Sie das Projekt und laden Sie das Projekt in die CPU.
Ergebnis
Sie haben den OPC UA-Server der CPU aktiviert. Im Abschnitt "Server-Adressen"
("Server addresses") sehen Sie, über welche URLs Verbindungen zu dem
OPC UA-Server der CPU aufgebaut werden können.
Abbildung 4-3

Beitrags-ID: 109769068, V1.0, 09/2019 72
Server-Zertifikat einsehen
Wenn Sie den OPC UA-Server aktiviert und die Sicherheitshinweise bestätigt
haben, erzeugt TIA Portal automatisch das Zertifikat für den Server. Sie finden das
Server-Zertifikat in den Eigenschaften des OPC UA-Servers.
Wählen Sie in der Bereichsnavigation den Eintrag "OPC UA > Server > Security"
("OPC UA > Server > Security") aus. Unter "Server Zertifikat" ("Server certificate")
sehen Sie, dass TIA Portal bereits ein dem OPC UA-Server zugeordnetes
Gerätezertifikat erzeugt hat.
Abbildung 4-4
TIA Portal speichert das Server-Zertifikat im lokalen Zertifikate-Verzeichnis der

CPU. Dieses Verzeichnis können Sie im lokalen Zertifikatsmanager der CPU und
im Zertifikatsmanager der globalen Security-Einstellungen einsehen und verwalten
(z. B. um Zertifikate zu exportieren oder zu löschen).
Sie finden das Gerätezertifikat im Zertifikatsmanager der globalen Security-
Einstellungen im Register "Gerätezertifikate" ("Device certificates").

Abbildung 4-5

Beitrags-ID: 109769068, V1.0, 09/2019 73
Neues Server-Zertifikat erzeugen

Um ein neues Server-Zertifikat zu generieren, gehen Sie wie folgt vor:
1. Wählen Sie in der Bereichsnavigation den Eintrag "OPC UA > Server >
Security" ("OPC UA > Server > Security") aus.
2. Um ein anderes Server-Zertifikat auszuwählen oder ein neues Server-Zertifikat

zu generieren, klicken Sie auf die in der Auswahlliste "Server-Zertifikat"
("Server certificate") integrierte Schaltfläche.
Abbildung 4-6
3. Ein Dialog erscheint und listet alle verfügbaren Server-Zertifikate auf. Um ein
neues Server-Zertifikat zu erstellen, klicken Sie auf die Schaltfläche
"Hinzufügen" ("Add new").
Abbildung 4-7

Beitrags-ID: 109769068, V1.0, 09/2019 74
4. Der Dialog "Neues Zertifikat erzeugen" ("Create new certificate") erscheint. In

diesem Dialog haben Sie die folgenden Möglichkeiten:
– Sie können zwischen einem selbstsignierten Zertifikat und einem Zertifikat,
signiert über eine Zertifizierungsstelle, wählen.
– Sie können, falls nötig, das CA-Zertifikat der Zertifizierungsstelle
auswählen.
– Sie können die Zertifikat-Parameter bestimmen.
Abbildung 4-8

Beitrags-ID: 109769068, V1.0, 09/2019 75
5. In diesem Beispiel wird ein Server-Zertifikat mit einer starken Verschlüsselung

"SHA256" erstellt, das von einer Zertifizierungsstelle signiert wurde.
Als Zertifizierungsstelle dient das von TIA Portal zur Verfügung gestellte
CA-Zertifikat mit der "ID: 2".
Stellen Sie die Parameter ein. Orientieren Sie sich dabei an dem Screenshot.
Um das neue Zertifikat zu generieren, klicken Sie anschließend auf die
Schaltfläche "OK".
Abbildung 4-9
Hinweis Stimmen Sie die Gültigkeit des Zertifikats mit dem Anlagenbetreiber ab.
6. Sie können das neu erzeugte Gerätezertifikat nun als Server-Zertifikat des
OPC UA-Servers nutzen.
Abbildung 4-10
7. Übersetzen Sie Ihr TIA Portal-Projekt und laden Sie die CPU. Beim
Ladevorgang wird unter anderem das Gerätezertifikat, das CA-Zertifikat und
die Berechtigung für den OPC UA-Server-Zugriff in die CPU geladen.

Beitrags-ID: 109769068, V1.0, 09/2019 76
Ergebnis
Im Zertifikatsmanager im Register "Gerätezertifikate" ("Device certificates") wird
das neue Gerätezertifikat zu den vorhandenen Gerätezertifikaten hinzugefügt.
Abbildung 4-11
An dieser Stelle haben Sie die Möglichkeit, das neue Gerätezertifikat z. B.

einzusehen, zu exportieren, zu löschen oder zu erneuern.
Abbildung 4-12

Beitrags-ID: 109769068, V1.0, 09/2019 77
Security-Einstellungen des Servers konfigurieren

Der OPC UA-Server der S7-1500-CPU stellt mehrere Security-Einstellungen des
Servers zum Signieren und Verschlüsseln von Nachrichten zur Verfügung. Sie
finden die Security Policy unter "OPC UA > Server > Security > Secure Channel"
("OPC UA > Server > Security > Secure Channel") im Abschnitt "Security Policys"
("Security policies").
Die folgenden Security Policys sind freigegeben:
Tabelle 4-1
Policy Beschreibung
Keine Ungesicherter Endpoint.
Basic128Rsa15 - Gesicherter Endpoint; unterstützt eine Reihe von
Signieren Algorithmen, die den Hash‑Algorithmus RSA15 und 128-Bit-
Verschlüsselung verwenden. Dieser Endpoint sichert die
Integrität der Daten durch Signieren.
Signieren & Verschlüsseln Algorithmen, die den Hash‑Algorithmus RSA15 und 128-Bit-
Integrität und Vertraulichkeit der Daten durch Signieren und
Verschlüsseln.
Signieren Algorithmen, die den Hash-Algorithmus RSA15 und 256-Bit-
Integrität der Daten durch Signieren.

Signieren & Verschlüsseln Algorithmen, die den Hash-Algorithmus RSA15 und 256-Bit-
Integrität und Vertraulichkeit der Daten durch Signieren und
Verschlüsseln.
Basic256Sha256 - Gesicherter Endpoint, unterstützt eine Reihe von
Signieren Algorithmen für 256-Bit-Hashing und 256-Bit-
Verschlüsselung. Dieser Endpoint sichert die Integrität der
Daten durch Signieren.
Basic256Sha256 - Gesicherter Endpoint, unterstützt eine Reihe von
Signieren & Verschlüsseln Algorithmen für 256-Bit-Hashing und 256-Bit-
Verschlüsselung. Dieser Endpoint sichert die Integrität und
Vertraulichkeit der Daten durch Signieren und
Verschlüsseln.
Hinweis Wenn Sie die Einstellungen "Basic256Sha256-Signieren" und

"Basic256Sha256-Signieren & Verschlüsseln" nutzen, dann müssen der
OPC UA‑Server und der OPC UA-Clients signierte Zertifikate gemäß "SHA256"
verwenden.
Bei den Einstellungen "Basic256Sha256-Signieren" und
"Basic256Sha256-Signieren & Verschlüsseln" signiert die Zertifizierungsstelle
von TIA Portal die Zertifikate automatisch mit "SHA256".

Beitrags-ID: 109769068, V1.0, 09/2019 78
In der Voreinstellung von TIA Portal sind die folgenden Security Policys
eingerichtet:
Abbildung 4-13
Wenn Sie bei den Secure-Channel-Einstellungen des S7-1500 OPC UA-Servers

alle Security Policys aktiviert haben (Voreinstellung), inklusive der Policy "Keine
Security" ("No Security"), dann ist der Datenverkehr zwischen Server und Client
auch ungesichert möglich (weder signiert noch verschlüsselt). Die Identität des
Clients bleibt unbekannt. Jeder OPC UA-Client kann sich dann mit dem Server
verbinden, unabhängig von sämtlichen noch folgenden Security-Einstellungen.
Achten Sie bei der Projektierung des OPC UA-Servers darauf, dass nur Security
Policys aktiviert sind, die mit dem Schutzkonzept für Ihre Maschine oder Anlage
vereinbar sind. Alle anderen Security Policys sind zu deaktivieren.

Um eine abhörsichere Verbindung zu gewährleisten sollten Sie als einzig
möglichen Zugangspunkt "Basic256Sha256-Signieren & Verschlüsseln"
("Basic256Sha256-Sign & Encrypt") wählen.
Abbildung 4-14

Beitrags-ID: 109769068, V1.0, 09/2019 79
Client-Zertifikat dem Server bekanntmachen

Eine gesicherte Verbindung zwischen OPC UA-Server und einem OPC UA-Client
kommt nur dann zu Stande, wenn der Server das Zertifikat des Clients als
vertrauenswürdig einstuft.
Wenn Sie OPC UA-Clients von Herstellern oder der OPC Foundation verwenden,
wird bei der Installation oder beim ersten Programmaufruf automatisch ein Client-
Zertifikat erzeugt.
Für eine gesicherte Verbindung müssen Sie dem Server das Client-Zertifikat
bekanntmachen und in die Liste "Vertrauenswürdige Clients" ("Trusted Clients")
hinzufügen. Um das Client-Zertifikat in die Liste "Vertrauenswürdige Clients"
("Trusted Clients") aufzunehmen, muss das Client-Zertifikat in den
Zertifikatsmanager der globalen Security-Einstellungen von TIA Portal importiert
werden.
Um das Client-Zertifikat dem Server zur Verfügung zu stellen, gehen Sie wie folgt
vor:
2. Der globale Zertifikatsmanager wird geöffnet. Wechseln Sie in das Register

"Vertrauenswürdige Zertifikate" ("Trusted certificates and root certification
authorities").
Abbildung 4-15
3. Klicken Sie mit der rechten Maustaste im Register auf eine leere Tabellenzeile
und wählen Sie aus dem Kontextmenu den Eintrag "Importieren" ("Import").
Abbildung 4-16

Beitrags-ID: 109769068, V1.0, 09/2019 80
4. Der Dialog zum Importieren von Zertifikaten wird angezeigt. Wählen Sie das
Client-Zertifikat aus, dem der Server vertrauen soll. Klicken Sie auf die
Schaltfläche "Öffnen" ("Open"), um das Zertifikat zu importieren.
In diesem Beispiel wird das Zertifikat des UaExpert hinzugefügt.
Abbildung 4-17
Hinweis Alternativ können Sie auch das CA-Zertifikat importieren, mit der das
Gerätezertifikat des Clients signiert wurde.
Durch den Import des CA-Zertifikats würden fortan alle Gerätezertifikate der
Clients als vertrauenswürdig eingestuft, die über diese Zertifizierungsstelle
signiert wurden.
5. Das Zertifikat des Clients ist nun im Zertifikatsmanager der globalen Security-
Einstellungen enthalten. Merken Sie sich die ID des gerade importierten Client-
Zertifikats.
Abbildung 4-18
6. Markieren Sie in der Geräte- oder Netzsicht die CPU, die als OPC-Server
dient. Die Eigenschaften der CPU werden im Inspektorfenster angezeigt.

("Properties") den Eintrag "OPC UA > Server > Security > Secure Channel"
("OPC UA > Server > Security > Secure channel") aus. Sie finden hier den
Abschnitt "Vertrauenswürdige Clients" ("Trusted Clients"). Doppelklicken Sie in
der Tabelle auf die leere Zeile mit "<Neu hinzufügen>" ("<Add new>").
Abbildung 4-19

Beitrags-ID: 109769068, V1.0, 09/2019 81
8. In der Zeile wird eine Schaltfläche mit drei Punkten angezeigt. Klicken Sie auf
diese Schaltfläche. Wählen Sie das Client-Zertifikat aus, das Sie importiert
haben. Klicken Sie auf die Schaltfläche mit dem grünen Häkchen.
Abbildung 4-20
9. Übersetzen Sie das Projekt und laden Sie die Konfiguration in die
S7-1500-CPU.

Beitrags-ID: 109769068, V1.0, 09/2019 82
Ergebnis
Sie haben das Client-Zertifikat dem Server als vertrauenswürdig eingestuft. Der
Server vertraut nun dem Client. Wenn der Client nun auch das Server-Zertifikat als
vertrauenswürdig einstuft, dann können Server und Client eine gesicherte
Verbindung aufbauen (siehe dazu auch Kapitel 4.1.2).
Abbildung 4-21
Hinweis Sie können den Server auch so konfigurieren, dass er die Client-Zertifikate
automatisch akzeptiert. Wenn Sie die Option "Client-Zertifikate zur Laufzeit
automatisch akzeptieren" ("Automatically accept client certificates during
runtime") aktivieren, dann akzeptiert der Server alle Client-Zertifikate. Sie finden
diese Option unterhalb der Liste "Vertrauenswürdige Clients" ("Trusted clients").
Um Sicherheitsrisiken zu vermeiden, deaktivieren Sie die Option wieder nach der
Inbetriebnahme.
Benutzer-Authentifizierung
Das Security-Konzept der OPC UA Verbindung wird durch eine Benutzer-
Authentifizierung abgerundet.
Sie können beim OPC UA-Server der S7-1500 einstellen, wie sich ein Benutzer
des OPC UA-Clients legitimieren muss, wenn er auf den Server zugreifen will.
Dazu gibt es die folgenden Möglichkeiten:
• Gast-Authentifizierung:
Der Anwender muss seine Berechtigung nicht nachweisen (anonymer
Zugang). Der OPC UA-Server überprüft nicht die Berechtigung des Client-
Anwenders.
• Authentifizierung über Benutzername und Passwort:
Der Anwender muss seine Berechtigung nachweisen (kein anonymer Zugang).
Der OPC UA-Server überprüft, ob der Client-Anwender berechtigt ist, auf den
Server zuzugreifen. Als Nachweis gilt der Benutzername mit dem richtigen
Passwort.
• Benutzerverwaltung über die Security-Einstellungen des Projekts:
Wenn Sie diese Option aktivieren, dann wird die Benutzerverwaltung des
geöffneten Projekts auch für die Benutzer-Authentifizierung des OPC UA-
Servers verwendet: Bei OPC UA sind dann dieselben Benutzernamen und
Passwörter gültig wie im aktuellen Projekt.
Hinweis Um die Security zu erhöhen, sollten Sie den Zugriff auf den OPC UA-Server nur
mit Benutzer-Authentifizierung erlauben.

Beitrags-ID: 109769068, V1.0, 09/2019 83
Um eine Authentifizierung über Benutzername und Passwort einzurichten, gehen

Sie wie folgt vor:
1. Markieren Sie in der Geräte- oder Netzsicht die CPU, die als OPC-Server
dient. Die Eigenschaften der CPU werden im Inspektorfenster angezeigt.

("Properties") den Eintrag "OPC UA > Server > Security > Benutzer-
Authentifizierung" ("OPC UA > Server > Security > User authentification") aus.
Deaktivieren Sie im Abschnitt "Gast-Authentifizierung" ("Guest
authentification") die Gast-Authentifizierung.
Abbildung 4-22
3. Aktivieren Sie im Abschnitt "Authentifizierung über Benutzername und

Passwort" ("User name and password authentification") die Option

"Authentifizierung über Benutzername und Passwort aktivieren" ("Enable user
name and password authentification").
Abbildung 4-23
4. Im Abschnitt "Benutzerverwaltung" ("User management") können Sie Benutzer

definieren. Tragen Sie in der Tabelle die Anwender ein. Klicken Sie dazu
jeweils auf den Eintrag "<Neuen Benutzer hinzufügen>" ("<Add new user>").
Abbildung 4-24

Beitrags-ID: 109769068, V1.0, 09/2019 84
5. Ein neuer Benutzer mit einem automatisch vergebenen Namen wird angelegt.
Abbildung 4-25
6. Sie können den Benutzernamen editieren und das für den Benutzernamen
zugehörige Passwort eingeben.
Um den Namen zu ändern, doppelklicken Sie in die Zeile "user1" und ändern
den Namen nach Ihren Wünschen ab.
Abbildung 4-26
7. Um das Passwort zu definieren, klicken Sie auf die integrierte Schaltfläche in

der Zelle bei "Passwort" ("Password") und legen Sie ein Passwort fest.
Schließen Sie den Dialog mit "OK".
Abbildung 4-27
Ergebnis
Sie haben einen Benutzer definiert. Wenn ein Client-Anwender auf den
OPC UA-Server zugreifen will, überprüft der OPC UA-Server, ob der Client-
Anwender berechtigt ist, auf den Server zuzugreifen. Als Nachweis gilt der
eben angelegte Benutzername mit dem richtigen Passwort.
Sie können maximal 21 Benutzer hinzufügen.

Beitrags-ID: 109769068, V1.0, 09/2019 85
4.1.2 Sicherheitseinstellungen im Client
OPC UA-Client
Die folgenden Screenshots wurden mit dem kostenlosen Test-Client UaExpert
Version 1.4.0 von UnifiedAutomation erstellt. Das Vorgehen kann bei anderen
Clients von dem gezeigten abweichen.
Zertifikatsmanager
Wenn Sie OPC UA-Clients von Herstellern oder der OPC Foundation verwenden,
verfügen die OPC UA-Clients über einen eigenen Zertifikatsmanager. Bei der
Installation oder beim ersten Programmaufruf wird automatisch ein Client-Zertifikat
erzeugt.
Sie können den Zertifikatsmanager von UaExpert unter "Settings > Manage
Certificates" öffnen.
Abbildung 4-28
Hier werden die verschiedenen Zertifikate angezeigt, die augenblicklich hinterlegt

sind.
Abbildung 4-29

Beitrags-ID: 109769068, V1.0, 09/2019 86
Hinweis An dieser Stelle finden Sie auch das OPC UA-Client-Zertifikat, dass beim
OPC UA-Server in die Liste der vertrauenswürdigen Clients in TIA Portal
importiert werden muss (siehe Kapitel 4.1.1).
Server-Zertifikat dem Server bekanntmachen

Eine gesicherte Verbindung zwischen OPC UA-Server und einem OPC UA-Client
kommt nur dann zu Stande, wenn der Client das Zertifikat des Servers als
vertrauenswürdig einstuft. Dazu müssen Sie das Server-Zertifikat in den
Zertifikatsmanager des Clients importieren.
Als Server-Zertifikat dient in diesem Beispiel das CA-Zertifikat aus TIA Portal.
Hinweis Wenn Sie das CA-Zertifikat von TIA Portal importieren, werden automatisch alle
Server-Gerätezertifikate als vertrauenswürdig eingestuft, die mit dieser CA
signiert wurden.
Alternativ können Sie auch nur das Gerätezertifikat des Servers importieren. Sie
finden das Gerätezertifikat im globalen Zertifikatsmanager von TIA Portal im
Register "Gerätezertifikate" ("Device certification") (siehe auch im Abschnitt
"Server-Zertifikat einsehen" von Kapitel 4.1.1)
Um das CA-Zertifikat zu importieren, müssen Sie das CA-Zertifikat auf dem lokalen
Rechner in folgenden Dateiformaten gespeichert haben:
•
mit dem Dateityp "*.der" ("Zertifikat-DER-kodiert" ("Certificate-DER coded"))

Abbildung 4-30
• mit dem Dateityp "*.crl" ("Zertifikat – Zertifikatsperrliste, DER-kodiert“

("Certificate - Certificate Revocation List, DER coded"))
Abbildung 4-31
Exportieren Sie das CA-Zertifikat in den benötigten Formaten aus TIA Portal (siehe
Kapitel 2.3).
Hinweis Sie können die Zertifikate aus TIA Portal im DER- und CRL-Format exportieren.
Der UaExpert benötigt neben dem Zertifikatsformat "DER" zusätlich noch die
Zertifikatssperrliste (CRL-Certificate Revocation List), die ebenfalls über einen
Export ausTIA Portal exportiert werden kann. Wählen Sie bei Dateityp statt
"Zertifikat-DER-kodiert" ("Certificate-DER coded") die "Zertifikat –
Zertifikatsperrliste, DER-kodiert“ ("Certificate - Certificate Revocation List, DER
coded").

Beitrags-ID: 109769068, V1.0, 09/2019 87
Um CA-Zertifikate im Zertifikatsmanager von UaExpert hinzuzufügen, müssen

diese in den Speicherort des UaExpert kopiert werden.
Gehen Sie wie folgt vor:
1. Öffne Sie den Zertifikatsmanager von UaExpert über "Settings > Manage
Certificates".
2. Um in den Speicherort des Zertifikatsmanagers zu gelangen, klicken Sie auf

die Schaltfläche "Open Certificate Location".
Abbildung 4-32

Beitrags-ID: 109769068, V1.0, 09/2019 88
3. Das Verzeichnis "/unifiedautomation/uaexpert/PKI/trusted/certs" wird geöffnet.

In diesen Ordner kopieren Sie das CA-Zertifikat des Servers im Format "DER".
Alle Server-Gerätezertifikate, die mit diesem CA-Zertifikat signiert wurden,
werden vom Client als vertrauenswürdig eingestuft.
Abbildung 4-33
4. Wechseln Sie in das Verzeichnis "/unifiedautomation/uaexpert/PKI/trusted/crl".

In diesen Ordner kopieren Sie die Zertifikatssperrliste im Format "CRL".
Abbildung 4-34

Beitrags-ID: 109769068, V1.0, 09/2019 89
Ergebnis
Sie haben das CA-Zertifikat und die Zertifikatssperrliste von TIA Portal in den
Zertifikatsmanager von UaExpert importiert und damit als vertrauenswürdig
eingestuft. Da dieses CA-Zertifikat das Gerätezertifikat des Servers signiert hat,
wird automatisch das Gerätezertifikat des Servers auch als vertrauenswürdig
eingestuft.
Die Zertifikate können Sie über die UaExpert-Oberfläche einsehen.
Abbildung 4-35

Beitrags-ID: 109769068, V1.0, 09/2019 90
Server im Client hinzufügen

Bevor Sie mit UaExpert eine Verbindung aufbauen können, müssen Sie einen
Server hinzufügen. Gehen Sie dafür wie folgt vor:
1. Gehen Sie in das Menü "Server > Add…".
Abbildung 4-36
2. Das Fenster "Add Server" erscheint. Wechseln Sie in das Register

"Advanced".
Abbildung 4-37

Beitrags-ID: 109769068, V1.0, 09/2019 91
3. Treffen Sie die folgenden Einstellungen:

– Definieren Sie im Abschnitt "Configuration Name" einen Anzeigenamen für
den Server in UaExpert. In diesem Beispiel lautet der Anzeigename
"S7-1500".
– Geben Sie im Abschnitt "Server Information" die URL des
OPC UA-Servers ein. Sie finden die URL in TIA Portal bei der
Konfiguration des Servers (siehe Kapitel 4.1.1).
– Wählen Sie im Abschnitt "Security Settings" als Security Policy
"Basic256Sha256".
– Wählen Sie im Abschnitt "Security Settings" als Message Security Mode
"Sign & Encrypt".
– Aktivieren Sie im Abschnitt "Authentication Settings" die Option "Username
/ Password" und die Option "Store". Tragen Sie den in TIA Portal
eingestellten Benutzernamen und das Passwort ein
(siehe Kapitel 4.1.1).
Schließen Sie den Dialog mit "OK".
Abbildung 4-38

Beitrags-ID: 109769068, V1.0, 09/2019 92
Ergebnis
Sie haben die S7-1500-CPU als OPC UA-Server im UaExpert hinzugefügt.
Abbildung 4-39

Beitrags-ID: 109769068, V1.0, 09/2019 93
4.1.3 Sichere OPC UA-Verbindung testen
Wenn Sie alle Sicherheitseinstellungen im Server und Client konfiguriert haben,

dann können Sie mit dem UaExpert eine sichere Verbindung zum OPA UA-Server
der S7-1500-CPU aufbauen.
Abbildung 4-40
Beim Verbindungsaufbau werden die Zertifikate ausgetauscht und überprüft.
BadCertificateHostNameInvalid
Beim Verbinden mit dem Server werden Sie mit der folgenden Fehlermeldung
konfrontiert:
Abbildung 4-41

Beitrags-ID: 109769068, V1.0, 09/2019 94
Dieser Fehler ist darauf zurückzuführen, dass der UaExpert sowohl eine
IP-Adresse als auch den DNS-Namen des Servers überprüft.
Die S7-1500 gibt aber keinen DNS-Namen zurück bzw. es ist auch kein
DNS-Name im Gerätezertifikat unter "Alternativer Antragsteller" ("Subject
Alternative Name") eingetragen.
Abbildung 4-42
Fehler ignorieren
Der Fehler hat keine Auswirkung auf die Funktionalität der Verschlüsselung. Sie
können Ihn ignorieren, in dem Sie auf die Schaltfläche "Ignorieren" ("Ignore")
klicken.
Abbildung 4-43

Beitrags-ID: 109769068, V1.0, 09/2019 95
Fehler beheben
Sie können den Fehler dauerhaft beheben, indem Sie ein eigenes Gerätezertifikat
für den OPC UA-Server in TIA Portal erstellen und einen DNS-Eintrag manuell
hinzufügen (siehe Abschnitt " Neues Server-Zertifikat erzeugen" in Kapitel 4.1.1).
Abbildung 4-44

Beitrags-ID: 109769068, V1.0, 09/2019 96
Auf dem OPC UA-Client-Rechner müssen Sie anschließend die IP-Adresse des
Servers bekanntgeben. Dafür müssen Sie in der Datei "hosts" einen Eintrag mit
IP-Adresse und dem DNS-Namen hinzufügen. Die Hosts-Datei unter Windows ist
eine wichtige Windows-Systemdatei, die dafür zuständig ist, IP-Adressen in
Hostnamen aufzulösen.
Sie finden die Datei im Verzeichnis "%Windir%\System32\drivers\etc".
Hinweis Um diese Datei zu editieren, benötigen Sie Administratorrechte.
Abbildung 4-45
Anschließend können Sie in den Einstellungen von UaExpert statt der IP-Adresse
den DNS-Namen als Endpoint-URL verwenden und der Fehler wird nicht mehr
angezeigt.
Abbildung 4-46

Beitrags-ID: 109769068, V1.0, 09/2019 97
Verbindung mithören
Wurde die Verbindung erfolgreich aufgebaut, können Sie mit einem
Netzwerkanalyse-Programm, z. B. Wireshark, überprüfen, ob die Security-
Einstellungen funktionieren.
In dem folgenden Screenshot wurde die Verbindung zwischen dem Server und
Client ohne Verschlüsselung überwacht. Die Daten sind im Klartext vorhanden.
Abbildung 4-47
In dem folgenden Screenshot wurde die Verbindung zwischen dem Server und
Client mit Verschlüsselung überwacht. Die Daten sind bei der verschlüsselten
Verbindung nicht mehr einsehbar.
Abbildung 4-48

Beitrags-ID: 109769068, V1.0, 09/2019 98
5 Anhang
5 Anhang
5.1 Service und Support
Industry Online Support
Sie haben Fragen oder brauchen Unterstützung?
Über den Industry Online Support greifen Sie rund um die Uhr auf das gesamte
Service und Support Know-how sowie auf unsere Dienstleistungen zu.
Der Industry Online Support ist die zentrale Adresse für Informationen zu unseren
Produkten, Lösungen und Services.
Produktinformationen, Handbücher, Downloads, FAQs und Anwendungsbeispiele
– alle Informationen sind mit wenigen Mausklicks erreichbar:
support.industry.siemens.com
Technical Support
Der Technical Support von Siemens Industry unterstützt Sie schnell und kompetent
bei allen technischen Anfragen mit einer Vielzahl maßgeschneiderter Angebote
– von der Basisunterstützung bis hin zu individuellen Supportverträgen.
Anfragen an den Technical Support stellen Sie per Web-Formular:
www.siemens.de/industry/supportrequest
SITRAIN – Training for Industry

Mit unseren weltweit verfügbaren Trainings für unsere Produkte und Lösungen
unterstützen wir Sie praxisnah, mit innovativen Lernmethoden und mit einem
kundenspezifisch abgestimmten Konzept.
Mehr zu den angebotenen Trainings und Kursen sowie deren Standorte und
Termine erfahren Sie unter:
www.siemens.de/sitrain
Serviceangebot
Unser Serviceangebot umfasst folgendes:
• Plant Data Services
• Ersatzteilservices
• Reparaturservices
• Vor-Ort und Instandhaltungsservices
• Retrofit- und Modernisierungsservices
• Serviceprogramme und Verträge
Ausführliche Informationen zu unserem Serviceangebot finden Sie im
Servicekatalog:
support.industry.siemens.com/cs/sc
Industry Online Support App

Mit der App "Siemens Industry Online Support" erhalten Sie auch unterwegs die
optimale Unterstützung. Die App ist für Apple iOS, Android und Windows Phone
verfügbar:
support.industry.siemens.com/cs/ww/de/sc/2067

Beitrags-ID: 109769068, V1.0, 09/2019 99
5 Anhang
5.2 Links und Literatur

Tabelle 5-1
Nr. Thema
\1\ Siemens Industry Online Support
https://support.industry.siemens.com
\2\ Link auf die Beitragsseite des Anwendungsbeispiels
https://support.industry.siemens.com/cs/ww/de/view/109769068
5.3 Änderungsdokumentation
Tabelle 5-2
Version Datum Änderung
V1.0 09/2019 Erste Ausgabe

Beitrags-ID: 109769068, V1.0, 09/2019 100

Die Verwendung Von Zertifikaten Mit TIA Portal

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Die Verwendung Von Zertifikaten Mit TIA Portal

Hochgeladen von

Copyright:

Verfügbare Formate

Die Verwendung von

Zertifikaten mit TIA

Die Verwendung von Zertifikaten mit TIA Portal

3.2.5 Betriebssystem iOS ............................................................................ 59

Die Verwendung von Zertifikaten mit TIA Portal

• Einen OPC UA-Client, der eine gesicherte Verbindung unterstützt, z. B.

Die Verwendung von Zertifikaten mit TIA Portal

• Selbst signiertes Zertifikat:

Die Verwendung von Zertifikaten mit TIA Portal

1.2.2 Zertifikatsmanager von TIA Portal

Eigenschaften des Zertifikatsmanager

Die Verwendung von Zertifikaten mit TIA Portal

Funktionen des Zertifikatsmanagers

Die Verwendung von Zertifikaten mit TIA Portal

1.2.3 Selbstsigniertes Gerätezertifikat

Die Verwendung von Zertifikaten mit TIA Portal

1.2.4 Zertifikat signiert über eine Zertifizierungsstelle

Hinweis Weitere Informationen finden Sie in Kapitel 3.

Die Verwendung von Zertifikaten mit TIA Portal

Ob es besser ist, selbstsignierte Gerätezertifikate oder Gerätezertifikate, die durch

Gerätezertifikate signiert durch eine CA

Die Verwendung von Zertifikaten mit TIA Portal

2.1 Aktivieren und verstehen

2. Wählen Sie in der Bereichsnavigation des Registers "Eigenschaften"

3. Bestätigen Sie die folgende Meldung mit der Schaltfläche "OK".

Die Verwendung von Zertifikaten mit TIA Portal

Legen Sie wie folgt beschrieben einen Projektadministrator an:

Die Verwendung von Zertifikaten mit TIA Portal

Die Verwendung von Zertifikaten mit TIA Portal

Mit dem Zertifikatsmanager in den globalen Security-Einstellungen haben Sie nun

Die Verwendung von Zertifikaten mit TIA Portal

2.2 Zertifikate direkt installieren

Gehen Sie dafür wie folgt vor:

3. Das Zertifikat wird angezeigt. Um das Zertifikat lokal auf dem PC zu

Die Verwendung von Zertifikaten mit TIA Portal

4. Folgen Sie den Anweisungen des Wizards:

5. Der Wizard schließt den erfolgreichen Importvorgang mit folgender Meldung

Die Verwendung von Zertifikaten mit TIA Portal

Die Verwendung von Zertifikaten mit TIA Portal

2.3 Zertifikate exportieren

Die Verwendung von Zertifikaten mit TIA Portal

Die Verwendung von Zertifikaten mit TIA Portal

Webserver über HTTPS aktiveren

2. Wählen Sie in der Bereichsnavigation des Registers "Eigenschaften"

3. Übersetzen Sie Ihr TIA Portal-Projekt.

Die Verwendung von Zertifikaten mit TIA Portal

Hinweis TIA Portal speichert das Server-Zertifikat im lokalen Zertifikate-Verzeichnis der

auch im Zertifikatsmanager der globalen Security-Einstellungen einsehen und

Die Verwendung von Zertifikaten mit TIA Portal

Neues Server-Zertifikat erzeugen

2. Um ein anderes Server-Zertifikat auszuwählen oder ein neues Server-Zertifikat

Die Verwendung von Zertifikaten mit TIA Portal

4. Der Dialog "Neues Zertifikat erzeugen" ("Create new certificate") erscheint. In

Die Verwendung von Zertifikaten mit TIA Portal

5. In diesem Beispiel wird ein Server-Zertifikat mit einer starken Verschlüsselung

Die Verwendung von Zertifikaten mit TIA Portal

An dieser Stelle haben Sie die Möglichkeit, das neue Gerätezertifikat z. B.

Die Verwendung von Zertifikaten mit TIA Portal

3.2 Browser einrichten und testen

Hinweis Ein eingeschalteter Virenscanner mit Zusatzfunktionen von Browser- bzw.

2. Sie importieren und installieren das CA-Zertifikat direkt in den

Die Verwendung von Zertifikaten mit TIA Portal

3.2.1 Internet Explorer oder Edge