Host-Zertifikat

Dieses Panel ermöglicht es, neue Zertifikate für Ihren Host zu erstellen. Wenn die Standardnamen der Zertifikate verwendet werden, wie z.B. host-cert.pem und die Zertifikate automatisch erstellt werden, werden diese automatisch zum Host kopiert. Wenn Sie selbst Zertifikate erstellen, müssen diese auf den entsprechenden Host kopiert werden, um verwendet zu werden.

Folgende Zertifikattypen stehen zur Verfügung:

Anmerkung:

Beachten Sie, dass die Dateierweiterungen "crt" bzw. "key" automatisch hinzugefügt werden.

  • Freies Zertifikat - Erlaubt einen benutzerdefinierten Namen. Mit dieser Option erstellen Sie Schlüssel und Zertifikate mit einem beliebigen Namen. Verwenden Sie diese Option für die Serverseitige Authentifizierung für Manager.

  • Zertifikat für den WCCILproxy - Der Name des Zertifikates wird entsprechend für die Verwendung mit dem Multiplexing Proxy angepasst.

  • Zertifikat für den HTTP-Server - Das Zertifikat wird entsprechend für die Anforderungen des HTTP Servers bzw. des Reporting Managers benannt.

    ACHTUNG:

    Damit die Zertifikate mit dem Chrome-Browser verwendet werden können, geben Sie zusätzlich zu den obligatorischen Zertifikatsfeldern: Zertifikattyp, Zielpfad, Name und Gültigkeitsdauer auch das Feld "DNS Namen" ein.

Für das Erstellen von Host-Zertifikaten ist ein gültiges Root-Zertifikat erforderlich - siehe Kapitel Root Certificate Authority. Die Host-Zertifikate werden innerhalb des Host-Zertifikatbereicheserstellt:

Für die erstellten Zertifikate, siehe Endes dieses Kapitels.

Abbildung: Host Zertifikat erstellen

Host Zertifikat Bereich

Anmerkung:

Der Zielpfad, der Name und die Gültigkeitsdauer sind Pflichtfelder.

Zertifikattyp

Der Zertifikattyp definiert den Namen des erstellten Zertifikates. Folgende Typen stehen zur Verfügung:

  • Freies Zertifikat - Erlaubt einen benutzerdefinierten Namen. Mit dieser Option erstellen Sie Schlüssel und Zertifikate mit einem beliebigen Namen. Verwenden Sie diese Option für die Serverseitige Authentifizierung für Manager.

  • Zertifikat für den WCCILproxy - Der Name des Zertifikates wird entsprechend für die Verwendung mit dem Mulitplexing Proxy angepasst.

  • Zertifikat für den HTTP Server - Das Zertifikat wird entsprechend für die Anforderungen des HTTP-Servers bzw. des Reporting Managers benannt.

Zielpfad

Pfad des Ordners in dem das Host-Zertifikat erstellt werden soll.

Name

Name, welcher für das Host-Zertifikat verwendet werden soll. Das ist der Dateiname für das Zertifikat und für den Key. Der Name wird verwendet, um das Zertifikat zu identifizieren.

Gültigkeitsdauer

Geben Sie die Gültigkeitsdauer des Zertifikats an.

Anmerkung:

Beachten Sie, dass ein Zertifikat ein Ablaufdatum hat und nach Ablauf neu erstellt oder eneuert werden muss! Bei selbst erstellten Zertifikaten, erneuern Sie das Zertifikat oder erstellen Sie ein neues Zertifikat. Wenn ein Zertifikat durch eine externe CA erstellt wurde, kann das Zertifikat auch nur über die externe CA neu erstellt werden.

Eine Beschreibung wie Sie ein auslaufendes oder bereits ausgelaufenes Zertifikat erneuern, finden Sie innerhalb der WinCC OA Security Guideline

Zudem können Informationen wie der Ländercode, die Provinz, der Ort/die Stadt, die Organisation und die Abteilung angegeben werden.

ACHTUNG: Der Ländercode darf nicht länger als zweistellig sein, z.B. AT. Für Ländercodes, siehe https://www.digicert.com/kb/ssl-certificate-country-codes.htm

CN Name

Common Name des Zertifikats. Das ist der Hostname (Domainname) des Servers. Die CN-Namen der Root- und Host-Zertifikate dürfen nicht gleich sein.

ACHTUNG:

IP-Adressen für den CN-Namen werden nicht unterstützt.

Role/User optional

Der Text des Role/User-Felds wird verwendet um die roleOccupant-Eigenschaft (den WinCCOA-Benutzer) eines Zertifikats zu setzen. Wenn das Feld leer gelassen wird, wird das roleOccupant-Feld (WinCCOA-Benutzer) des Zertifikats nicht gesetzt. SSA evaluiert das roleOccupant-Feld in den TLS-Zertifikaten für die Authentizierung von WinCC OA -Benutzern.

Das Role/User-Feld muss ein WinCC OA-Benutzername sein. Der Benutzer ist eine Eigenschaft des Zertifikats und wird in der Serverseitige Authentifizierung für Manager für die Authentifizierung des Benutzers verwendet. Erstellen Sie Zertifikate für alle Benutzer, mit denen ein Manager laufen soll.

Um ein Zertifikat für einen bestimmten Benutzer zu erstellen, geben Sie den Benutzernamen in das Role/User (optional):-Feld ein. Wenn z.B. ein Default-Standard-Projekt über die Benutzerverwaltung erstellt wurde, verwenden Sie das richtige Root-Zertifikat "root-cert.pem" sowie den entsprechenden Schlüssel (Key), wenn Sie neue benutzerspezifische Zertifikate erstellen. Das richtige Root-Zertifikat "root-cert.pem" sowie den entsprechenden Schlüssel (Key) "root-privkey.pem" finden Sie im Verzeichnis, das Sie bei der Erstellung des Projektes für die Zertifikate angegeben haben. Siehe Kapitel Projekt anlegen.

Anmerkung:

Die Root CA und das Hostzertifikat sind nicht vom System unterscheidbar und somit sind die Stellen für den Herausgeber (Issued by) und für den Host (Issued to) nicht mehr vom System unterscheidbar. An dieser Stelle reagiert das System innerhalb von Windows mit einer Warnmeldung und einem entsprechenden Hinweis. Daher müssen die Organisationsnamen von Host- und Root-Zertifikat unterschiedlich sein!

DNS Names

Domain des Webservers z.B. www.winccoa.co. Es können mehrere Namen über die Schaltfläche rechts angegeben werden. Verwenden Sie dieses Feld für sichere Zertifikate für den HTTP-Server, MXProxy und SSA. Ansonsten zeigt der Browser eine Fehlerrmeldung für nicht sichere Zertifikate des HTTP-Servers.

Beachten Sie, dass die Fehlermeldung nur für den HTTP-Server durch den Browser angezeigt wird.

Erstellen

Erstellt das neue Host-Zertifikat und die Host-Key-Datei am angegeben Zielpfad. Für Information über Zertifikatstypen und Dateiendungen, siehe Kapitel Zertifikatstypen.

Freies Zertifikat

Abbildung: SSL-Host-Zertifikate - Freies Zertifikat

Abbildung: Erstelltes freies Host-Zertifikat (.crt) und Host-Key-Datei (.key)

Zertifikat für HTTP-Server

Abbildung: SSL-Host-Zertifikate - Zertifikat für den HTTP-Server

Abbildung: Erstelltes HTTP-Host-Zertifikat (certificate.pem) Host-Key-Datei (privkey.pem)

Zertifikat für MXProxy

Abbildung: SSL-Host-Zertifikate - Zertifikat für den MXProxy

Abbildung: Erstelltes MxProxy-Host-Zertifikat (.cert.pem) und Host-Key-Datei (key.pem)