Config-Einträge - SSA für Manager
Bei der serverseitigen Authentifizierung von Managern müssen sich die Manager mit Zertifikaten authentifizieren. Dieses Kapitel enthält die Config-Einträge, die erforderlich sind, um die Zertifikate in einem WinCC OA-SSA für Manager-Projekt zu verwenden.
Bevor Sie die Config-Einträge setzen, müssen Sie Zertifikate erstellen sowie die serverseitige Authentifizierung für Manager konfigurieren.
SSL-Kommunikation mit dateibasierten Zertifikaten
Config-Eintrag | Beschreibung |
---|---|
[general] accessControlPlugin = "AccessControlPlugin" |
Lädt das AccessControlPlug-in und aktiviert die serverseitige Authentifizierung für Manager - Siehe auch Grundlagen Serverseitige Authentifizierung für Manager. Serverseitige Authentifizierung für UI-Manager: Wenn Sie die Serverseitige Authentifizierung für UI-Manager verwenden, muss der folgende Config-Eintrag [general] accessControlPlugin = "AccessControlPluginUser" verwendet werden! Damit wird die serverseitige Authentifizierung für UI-Manager aktiviert. |
[webClient] clientSideAuth = 0 httpsPort = 443 httpPort = 0 rootPanel = "vision/login.pnl" mobileRootPanel = "vision/login.pnl" |
Der Eintrag clientSideAuth=0 aktiviert die serverseitige Authentifizierung. Zusätzlich muss der Config-Eintrag "accessControlPlugin" verwendet werden, siehe oberhalb. Mit dem httpsPort geben Sie den Defaultport für eine HTTPS-Verbindung an und mit dem Config-Eintrag httpPort setzen Sie den HTTP-Port auf 0. Um ein Startpanel anzugeben, wenn das UI gestartet wird, verwenden Sie entweder den rootPanel-Eintrag für das UI: [webClient] rootPanel = "vision/login.pnl" oder den mobileRootPanel-Eintrag für die Mobile UI Applikation: [webClient] mobileRootPanel = "vision/login.pnl" Wenn diese Config-Einträge nicht gesetzt wurden, wird das login.pnl angezeigt da es der Defaultwert ist. Sie können ein eigenes Panel angeben. Ansonsten wird das Defaultpanel angezeigt. |
[ui] httpServer = "https://localhost:443" |
Geben Sie den WebServer und die Portnummer an. |
ROOT-ZERTIFIKAT: [general] ssaChainFile = "root-cert.pem" HOST-KEY UND HOST-ZERTIFIKAT: [general] ssaPrivateKey = "file:hostUserName.key" ssaCertificate = "file:hostUserName.crt" Auch Zertifikate mit der Endung .pem können verwendet werden: ssaCertificate = "file:hostUserName.cert.pem" ssaPrivateKey = "file:hostUserName.key.pem" |
HOST-KEY UND HOST-ZERTIFIKAT: ssaPrivateKey und ssaCertificate bestimmen den Schlüssel Host-Key und das Host-Zertifikat. ssaPrivateKey = "file:hostUserName.key" ssaCertificate = "file:hostUserName.crt" file: das Präfix bestimmt, dass der Schlüssel und das Zertifikat aus einer Datei geladen werden sollen. |
[httpServer] uiArguments = "-p vision/login.pnl -centered -iconBar -menuBar -ssa" |
Aktivieren Sie die serverseitige Authentifizierung für den ULC UX durch setzen des uiArguments Config-Eintrags innerhalb der Config-Datei Ihres Serverprojektes. |
Für ein Beispiel für SSA für Manager, siehe Kapitel Beispiel für die Konfiguration - SSA für Manager.
SSL-Kommunikation mit Windows Certificate Store-Zertifikaten
Config-Eintrag | Beschreibung |
---|---|
[general] accessControlPlugin = "AccessControlPlugin" ssaCertCheck = "chainPrefix=root_SSA" |
Für "accessControlPlugin", siehe die Tabelle oberhalb. Mit dem Config-Eintrag "ssaCertCheck" wird der benötigte Name für eine Zertifikatekette definiert, damit ein Host-Zertifikat als gültig anerkannt wird. In diesem Fall müsste der Name "root_SSA" im Zertifikat vorkommen. Falls es eine Intermediate CA vorhanden ist, ist ein möglicher Eintrag wie folgt: ssaCertCheck = "chainPrefix=myETM_RootCA;myETM_IntermediateCA" In diesem Fall gibt es eine Root CA mit dem Common Name "myETM_RootCA" und eine Intermediate mit "myETM_IntermediateCA". Bei der Vergebung dieses Eintrages müssen alle Zeichen aus dem Config-Eintrag im Zertifikat vorkommen. Als Beispiel, wenn z.B. der Eintrag wie folgt gesetzt wurde: "ssaCertCheck = "chainPrefix=my" ist alles, was mit "my" beginnt, gültig. Somit ist dies nicht nur für myETM... gültig, sondern beispielsweise auch für "mySiemens..." usw. |
[webClient] clientSideAuth = 0 |
Aktiviert die serverseitige Authentifizierung |
[ui] httpServer = "https://localhost:443" |
Geben Sie den WebServer und die Portnummer an. |
[general] ssaPrivateKey = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7" ssaCertificate = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7" ssaPrivateKey = "store:USER:MY:cn1" ssaCertificate = "store:USER:MY:cn1" |
Die Einträge bestimmen welche Zertifikate im Windows Cert Store gesucht werden. Hier (siehe links), wird nach Zertifikaten über Thumbprints gesucht. Wenn diese Config-Einträge in der [general] Sektion gesetzt sind, darf der Config-Eintrag sslChainFile nicht gesetzt werden, da ansonsten nicht im Windows Cert Store nach Zertifikaten gesucht wird. Hier - links, wird nach Zertifikaten über den Namen gesucht. Es gibt zwei Bereiche für den Certificate Store in Windows: 1 - Maschine 2 - User Falls ein Zertifikat bei Maschine importiert wird, ist dieses Zertifikat für alle Benutzer dieser Maschine verfügbar - Wir empfehlen diese Einstellung. In diesem Fall beginnt der Config-Eintrag mit "store:MACHINE:..." Im beschriebenen Fall mit "store:USER:..." sind die Zertifikate nur für einen bestimmten Benutzer verfügbar. Im Config-Eintrag muss diese Unterscheidung angegeben werden, damit im richtigen Store gesucht wird. |
[ctrl_5] ssaPrivateKey = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7" ssaCertificate = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7" [ctrl_3] ssaPrivateKey = "store:USER:MY:cn1" ssaCertificate = "store:USER:MY:cn1" [ctrl_1] ssaPrivateKey = "file:root.key.pem" ssaCertificate = "file:root.cert.pem" |
Wenn die Config-Einträge ssaPrivateKey und ssaCertificate für diverse Manager gesetzt werden, verwenden diese Manager von der [general] Sektion abweichende Zertifikate und Keys. |
Der Config-Eintrag ssaChainFile ist nicht erforderlich, wenn Windows Certificate Store-Zertifikate verwendet werden.
Für ein Beispiel von Config-Dateien mit Windows Certificate Store-Zertifikaten, siehe SSA-Zertifikate - Erstellung, Konversion und Import.