Concetto di sicurezza di OPC UA (Panels, Comfort Panels, RT Advanced) - WinCC

Introduzione

Per lo scambio dei dati WinCC OPC UA si avvale del protocollo TCP/IP. Per l'autorizzazione tra server WinCC OPC UA e client OPC UA vengono scambiati dei certificati di istanza. Il traffico di dati, inoltre, si può criptare.

Concetto di sicurezza

Il server WinCC OPC UA e tutti i client OPC UA si autorizzano reciprocamente scambiando i certificati tra loro.

Durante l'installazione il server WinCC OPC UA genera per default un certificato di istanza autofirmato. Il server invia questo certificato di istanza al client. In alternativa questo certificato di istanza può essere sostituito con un certificato di istanza specifico del progetto.

Nota Chiave privata e certificati propri Se si dispone di una propria autorità di certificazione è possibile creare i certificati in proprio e metterli a disposizione di tutti i partner della comunicazione. In questo caso è necessario cancellare il certificato di istanza generato dal server WinCC OPC UA.

Il certificato di istanza del client che può comunicare con il server deve essere salvato sia sul server che sul client nella directory appositamente prevista.

Percorsi di salvataggio dei certificati di istanza

Il certificato di istanza viene salvato sul server OPC UA al seguente percorso:

• Sui PC: "\ProgramData\Siemens\CoRtHmiRTm\MiniWeb1X.X.X\SystemRoot\SSL"

• Sui pannelli operatore: "\flash\simatic\SystemRoot\SSL"

Il certificato di istanza viene salvato sul client OPC UA al seguente percorso:

• Sui PC: "ProgramData\Siemens\CoRtHmiRTm\OPC\PKI\CA\"

• Sui pannelli operatore: "flash\Simatic\SystemRoot\OPC\PKI\CA\"

Se si configurano due collegamenti OPC nel progetto, in [...]\OPC\PKI\CA\ vengono create le seguenti directory:

• "Default"

• "!Conn_1"

• "!Conn_2"

Ogni directory contiene le sottodirectory "certs", "rejected" e "private”. Anche i certificati di istanza firmati e le chiavi private vengono salvati in "Default\certs" e "Default\private". I collegamenti OPC UA utilizzano solo questi certificati.

In genere il client salva prima il certificato del server inviatigli nella directory "rejected" e non consente il collegamento al server. Per consentire al client di stabilire il collegamento al server occorre spostare il certificato dalla directory "rejected" alla directory "certs".

Anche il server salva dapprima il certificato del client nella directory "rejected" in [...]\SystemRoot\SSL. Per consentire al server di stabilire il collegamento occorre spostare il certificato dalla directory "rejected" alla directory "certs" in [...]\SystemRoot\SSL.

Configurazione del client OPC UA per il modo di sicurezza

Se il server OPC UA è in funzione e il client OPC UA è stato avviato con un collegamento criptato, configurare la comunicazione tra server e client nel modo di sicurezza.

1. Spostare il certificato di istanza inviato dal server dalla directory "rejected" alla directory "cert" sul client OPC UA.

2. Spostare il certificato di istanza inviato dal client dalla directory "rejected" alla directory "cert" sul server OPC UA.

Dopo che il client e il server si sono scambiati le reciproche autorizzazioni comunicano nel modo di sicurezza.

Nota Per utilizzare per il client OPC UA certificati di altri fornitori, arrestare il runtime e copiare questi certificati e le chiavi private nelle directory "!Conn1\certs" e "!Conn1\private". Copiare infine il certificato dalla directory "certs" alla directory "SSL" sul server. In seguito riavviare il runtime.

Impostazioni di sicurezza

La seguente tabella mostra le impostazioni di sicurezza supportate dal server WinCC OPC UA: