Serverseitige Authentifizierung für Manager

Bei Verwendung der serverseitigen Authentifizierung für Manager müssen sich die Manager, die eine Verbindung zum DATA- oder EVENT-Manager aufbauen, authentifizieren. Dies erhöht die Sicherheit besonders, wenn Projekte über das Internet verbunden werden. Bei der serverseitigen Authentifizierung von Managern müssen sich die Manager mit x.509-Zertifikaten authentifizieren.

Dafür benötigen Sie Zertifikate. Zertifikate können selbst erstellt werden. Um die Zertifikate zu erstellen, verwenden Sie das PanelPanel für SSL-Zertifikate. Öffnen Sie das Panel über das System Management-Panel -> Registerkarte Kommunikation. Wie Zertifikaten mit Chain-Dateien (Zertifikatsketten) erstellt werden, finden Sie innerhalb der Security Guideline. Über die Chain-Dateien können mehrere Zertifikatsketten erstellt werden und die Authentifizierung kann z.B. in unterschiedlichen Teilen einer Anlage verwendet werden. Die Chain-Dateien (Zertifikatsketten) können für die unterschiedlichen Teile einer Anlage verwendet werden. Wie Sie die Zertifikatskette verwenden, siehe Kapitel Beispielkonfiguration. Auch Windows Certificate Store-Zertifikate können eingesetzt werden.

In einem redundanten System bzw. in einem DRS-System müssen beide Systeme das AccessControlPlugin verwenden. D.h., dass die Einstellungen auf beiden Systemen gleich sein müssen.

Wichtig:

Für ein redundantes SSA-Projekt erstellen Sie zunächst ein SSA-Projekt. Verwenden Sie im Projekt-Wizards das Feld DNS-Namen (SAN), um Zertifikate für das REDU-System automatisch zu generieren.

Sobald das SSA-Projekt erstellt wurde, wandeln Sie es in ein redundantes Projekt um, indem Sie die erforderlichen Redundanz-Konfigurationseinträge hinzufügen.

Die serverseitige Authentifizierung für Manager wird für alle Manager herangezogen. Für die Authentifizierung der UI-Manager siehe Kapitel Grundlagen Serverseitige Authentifizierung für UI-Manager.

Session Binding

Session Binding senkt das Risiko für gefälschte Nachrichten und unautorisierten Zugriff auf ein WinCC OA-System. Die Kommunikationssicherheit wird erhöht da der Zugriff durch nicht-authorisierte Manager unterbunden wird. In Session Binding ist der WinCC OA-Benutzername ein Teil des Zertifikats (lesen Sie im Kapitel Panel für SSL-Zertifikate wie Sie ein Zertifikat mit einem Benutzernamen erstellen).

Session Binding wird durch das Aktivieren der serverseitigen Authentifizierung für UI-Manager aktiviert. Wenn ein Access Control Plugin von ETM geladen wird, dann ist Session Binding automatisch aktiv und kann auch nicht wieder deaktiviert werden. Standardmäßig (Standardprojekt) ist das Session Binding deaktiviert. Es kann unabhängig vom Access Control Plugin mit dem Config-Eintrag serverSideAuthentication=1 in der [general]-Section aktiviert werden.