Grundlagen Serverseitige Authentifizierung für Manager

Bei Verwendung der serverseitigen Authentifizierung für Manager müssen sich die Manager, die eine Verbindung zum Data- oder Event-Manager aufbauen, authentifizieren. Dies erhöht die Sicherheit besonders, wenn Projekte über das Internet verbunden werden. Bei der serverseitigen Authentifizierung von Managern müssen sich die Manager mit x.509-Zertifikaten authentifizieren.

Dafür benötigen Sie Zertifikate. Zertifikate können selbst erstellt werden. Um die Zertifikate zu erstellen, verwenden Sie das PanelPanel für SSL-Zertifikate. Öffnen Sie das Panel über das System Management-Panel -> Registerkarte Kommunikation. Wie Zertifikaten mit Chain-Dateien (Zertifikatsketten) erstellt werden, finden Sie innerhalb der WinCC OA Security Guideline Über die Chain-Dateien können mehrere Zertifikatsketten erstellt werden und die Authentifizierung kann z.B. in unterschiedlichen Teilen einer Anlage verwendet werden. Die Chain-Dateien (Zertifikatsketten) können für die unterschiedlichen Teile einer Anlage verwendet werden. Wie Sie die Zertifikatskette verwenden, siehe Kapitel Beispielkonfiguration. Auch Windows Certificate Store-Zertifikate können eingesetzt werden.

In einem redundanten System bzw. in einem DRS-System müssen beide Systeme das AccessControlPlugin verwenden. D.h., dass die Einstellungen auf beiden Systemen gleich sein müssen.

Die serverseitige Authentifizierung für Manager wird für alle Manager herangezogen. Für die Authentifizierung der UI-Manager siehe Kapitel Grundlagen Serverseitige Authentifizierung für UI-Manager.

Session Binding

Session Binding senkt das Risiko für gefälschte Nachrichten und unautorisierten Zugriff auf ein WinCC OA-System. Die Kommunikationssicherheit wird erhöht da der Zugriff durch nicht-authorisierte Manager unterbunden wird. In Session Binding ist der WinCC OA-Benutzername ein Teil des Zertifikats (lesen Sie im Kapitel Panel für SSL-Zertifikate wie Sie ein Zertifikat mit einem Benutzernamen erstellen).

Session Binding wird durch das Aktivieren der serverseitigen Authentifizierung für UI-Manager aktiviert. Wenn ein Access Control Plugin von ETM geladen wird, dann ist Session Binding automatisch aktiv und kann auch nicht wieder deaktiviert werden. Standardmäßig (Standardprojekt) ist das Session Binding deaktiviert. Es kann unabhängig vom Access Control Plugin mit dem Config-Eintrag serverSideAuthentication=1 in der [general]-Section aktiviert werden.

Kapitelübersicht

Kapitel Beschreibung
Serverseitige Authentifizierung für Manager
Voraussetzungen und Installation Anleitung und Konfiguration der serverseitigen Authentifizierung für Manager
Panel für SSL-Zertifikate Erstellung von Zertifikaten für die serverseitige Authentifizierung von Managern über ein Panel.
Beispiel für die Konfiguration - SSA für Manager Vollständiges Beispiel der serverseitigen Authentifizierung für Manager.
Config-Einträge - SSA für Manager Beispiel der Config-Einträge für die serverseitige Authentifizierung von Managern.
Fehlerverhalten Fehlermeldungen der serverseitigen Authentifizierung für Manager.
Serverseitige Authentifizierung für UI-Manager
Grundlagen Serverseitige Authentifizierung für UI-Manager Übersicht der serverseitigen Authentifizierung für UI-Manager.
Voraussetzungen und Installation Anleitung und Konfiguration der serverseitigen Authentifizierung für UI-Manager.
Hinweise und Einschränkungen Hinweise und Einschränkungen für die Verwendung der serverseitigen Authentifizierung für UI-Manager