Config-Einträge - SSA für Manager

Bei der serverseitigen Authentifizierung von Managern müssen sich die Manager mit Zertifikaten authentifizieren. Dieses Kapitel enthält die Config-Einträge, die erforderlich sind, um die Zertifikate in einem WinCC OA-SSA für Manager-Projekt zu verwenden.

VORSICHT:

Bevor Sie die Config-Einträge setzen, müssen Sie eigene Zertifikate erstellen sowie die serverseitige Authentifizierung für Manager konfigurieren.

SSL-Kommunikation mit dateibasierten Zertifikaten

Config-Eintrag Beschreibung
[general]
accessControlPlugin = "AccessControlPlugin"

Lädt das AccessControlPlug-in und aktiviert die serverseitige Authentifizierung für Manager - Siehe auch Grundlagen Serverseitige Authentifizierung für Manager.

Serverseitige Authentifizierung für UI-Manager:

Wenn Sie die Serverseitige Authentifizierung für UI-Manager verwenden, muss der folgende Config-Eintrag

[general]

accessControlPlugin = "AccessControlPluginUser"

verwendet werden! Damit wird die serverseitige Authentifizierung für UI-Manager aktiviert.

[webClient]
clientSideAuth = 0
httpsPort = 443
httpPort = 0
rootPanel = "vision/login.pnl"
mobileRootPanel = "vision/login.pnl"

Der Eintrag clientSideAuth=0 aktiviert die serverseitige Authentifizierung. Zusätzlich muss der Config-Eintrag "accessControlPlugin" verwendet werden, siehe oberhalb.

Mit dem httpsPort geben Sie den Defaultport für eine HTTPS-Verbindung an und mit dem Config-Eintrag httpPort setzen Sie den HTTP-Port auf 0.

Um ein Startpanel anzugeben, wenn das UI gestartet wird, verwenden Sie entweder den rootPanel-Eintrag für das UI:

[webClient]
rootPanel = "vision/login.pnl"

oder den mobileRootPanel-Eintrag für die Mobile UI Applikation:

[webClient]
mobileRootPanel = "vision/login.pnl"

Wenn diese Config-Einträge nicht gesetzt wurden, wird das login.pnl angezeigt da es der Defaultwert ist. Sie können ein eigenes Panel angeben. Ansonsten wird das Defaultpanel angezeigt.

[ui]
httpServer = "https://localhost:443"
Geben Sie den WebServer und die Portnummer an.

ROOT-ZERTIFIKAT:

[general]
ssaChainFile = "root-cert.pem"

HOST-KEY UND HOST-ZERTIFIKAT:

[general]
ssaPrivateKey = "file:hostUserName.key"
ssaCertificate = "file:hostUserName.crt"

Auch Zertifikate mit der Endung .pem können verwendet werden:

ssaCertificate = "file:hostUserName.cert.pem"
ssaPrivateKey = "file:hostUserName.key.pem"
  • ssaChainFile bestimmt den Pfad wo sich das Root-Zertifikat befindet. Wenn Sie ein Default-Standard-Projekt erstellen, heißt das ssaChainFile-Zertifikat: "root-cert.pem".

  • Wenn dieser Eintrag in der [general] Sektion gesetzt wurde, muss jeder Manager dateibasierte Zertifikate verwenden. Wenn dieser Eintrag verwendet wird, prüft das AccessControlPlugin nicht mehr Zertifikate im Windows Cert Store.

    Anmerkung:

    Auch Intermediate-Zertifikate werden unterstützt. Siehe die Security Guideline.

HOST-KEY UND HOST-ZERTIFIKAT:

ssaPrivateKey und ssaCertificate bestimmen den Schlüssel Host-Key und das Host-Zertifikat.

ssaPrivateKey = "file:hostUserName.key"
ssaCertificate = "file:hostUserName.crt"

file: das Präfix bestimmt, dass der Schlüssel und das Zertifikat aus einer Datei geladen werden sollen.

[httpServer]
uiArguments = "-p vision/login.pnl -centered -iconBar -menuBar -ssa"
Aktivieren Sie die serverseitige Authentifizierung für den ULC UX durch setzen des uiArguments Config-Eintrags innerhalb der Config-Datei Ihres Serverprojektes.

Für ein Beispiel für SSA für Manager, siehe Kapitel Beispiel für die Konfiguration - SSA für Manager.

SSL-Kommunikation mit Windows Certificate Store-Zertifikaten

Config-Eintrag Beschreibung
[general]
accessControlPlugin = "AccessControlPlugin"
ssaCertCheck = "chainPrefix=root_SSA"

Für "accessControlPlugin", siehe die Tabelle oberhalb.

Mit dem Config-Eintrag "ssaCertCheck" wird der benötigte Name für eine Zertifikatekette definiert, damit ein Host-Zertifikat als gültig anerkannt wird.

In diesem Fall müsste der Name "root_SSA" im Zertifikat vorkommen. Falls es eine Intermediate CA vorhanden ist, ist ein möglicher Eintrag wie folgt:

ssaCertCheck = "chainPrefix=myETM_RootCA;myETM_IntermediateCA"

In diesem Fall gibt es eine Root CA mit dem Common Name "myETM_RootCA" und eine Intermediate mit "myETM_IntermediateCA".

Bei der Vergebung dieses Eintrages müssen alle Zeichen aus dem Config-Eintrag im Zertifikat vorkommen.

Als Beispiel, wenn z.B. der Eintrag wie folgt gesetzt wurde: "ssaCertCheck = "chainPrefix=my"

ist alles, was mit "my" beginnt, gültig.

Somit ist dies nicht nur für myETM... gültig, sondern beispielsweise auch für "mySiemens..." usw.

[webClient]
clientSideAuth = 0
Aktiviert die serverseitige Authentifizierung
[ui]
httpServer = "https://localhost:443"
Geben Sie den WebServer und die Portnummer an.
[general]
ssaPrivateKey = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7"
ssaCertificate = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7"

ssaPrivateKey = "store:USER:MY:cn1"
ssaCertificate = "store:USER:MY:cn1"

Die Einträge bestimmen welche Zertifikate im Windows Cert Store gesucht werden. Hier (siehe links), wird nach Zertifikaten über Thumbprints gesucht.

Wenn diese Config-Einträge in der [general] Sektion gesetzt sind, darf der Config-Eintrag sslChainFile nicht gesetzt werden, da ansonsten nicht im Windows Cert Store nach Zertifikaten gesucht wird.

Hier - links, wird nach Zertifikaten über den Namen gesucht.

Es gibt zwei Bereiche für den Certificate Store in Windows:

1 - Maschine

2 - User

Falls ein Zertifikat bei Maschine importiert wird, ist dieses Zertifikat für alle Benutzer dieser Maschine verfügbar - Wir empfehlen diese Einstellung. In diesem Fall beginnt der Config-Eintrag mit "store:MACHINE:..."

Im beschriebenen Fall mit "store:USER:..." sind die Zertifikate nur für einen bestimmten Benutzer verfügbar.

Im Config-Eintrag muss diese Unterscheidung angegeben werden, damit im richtigen Store gesucht wird.

[ctrl_5]
ssaPrivateKey = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7"
ssaCertificate = "store:USER:MY:67 d6 90 fd 69 d3 ac a9 af 0d 25 3f 81 c0 df b8 09 94 17 d7"

[ctrl_3]
ssaPrivateKey = "store:USER:MY:cn1"
ssaCertificate = "store:USER:MY:cn1"

[ctrl_1]
ssaPrivateKey = "file:root.key.pem"
ssaCertificate = "file:root.cert.pem"
Wenn die Config-Einträge ssaPrivateKey und ssaCertificate für diverse Manager gesetzt werden, verwenden diese Manager von der [general] Sektion abweichende Zertifikate und Keys.
Anmerkung:

Der Config-Eintrag ssaChainFile ist nicht erforderlich, wenn Windows Certificate Store-Zertifikate verwendet werden.

Für ein Beispiel von Config-Dateien mit Windows Certificate Store-Zertifikaten, siehe SSA-Zertifikate - Erstellung, Konversion und Import.