Verschlüsselte Kommunikation zwischen Backend und InfluxDB®

Die Konfiguration der InfluxDB® kann so angepasst werden, dass eine verschlüsselte Übertragung (SSL/HTTPS) verwendet wird. Standardmäßig ist dies nicht aktiviert. Wenn die Datenbank auf einem anderen Host als WinCC OA betrieben wird, ist es empfohlen die verschlüsselte Übertragung zu aktivieren.

Note:
Für eine verschlüsselte Kommunikation werden selbstsignierte Zertifikate nga_influx.crt, nga_influx.key mit WinCC OA installiert ( ; unter <wincc_oa_path>/config). Für echte Anlagenprojekte müssen eigene projektspezifische Zertifikate erstellt werden. Sie können die Zertifikate mit Hilfe von Panel für SSL Host-Zertifikate erstellen. Selektieren Sie den Typ Zertifikat für den HTTP-Server. Siehe auch die Zertifikatsdokumentation - Zertifikate.

HTTPS-Verschlüsselung kann mit folgenden Schritten aktiviert werden:

  • Bearbeiten Sie die Datei WinCC_OA_Proj/config/influxdb.conf
  • Ändern Sie die Zeile unterhalb von "false" auf "true": 
    #Determines whether HTTPS is enabled.
https-enabled = false
  • Ändern Sie das https-certificate und https-private-key-Einträge entsprechend Ihren Zertifikaten: 
    # The SSL certificate to use when HTTPS is enabled.
https-certificate = "C:/winccoa_projects/test130622/config/certificate.pem" 
# Use a separate private key location.
https-private-key = "C:/winccoa_projects/test130622/config/privkey.pem"
  • Speichern Sie die Datei.
  • Stoppen und Starten Sie die InfluxDB® mit Hilfe des Datenbank-Konfigurationspanels erneut.
Figure 1. Datenbank beenden
  • Wählen Sie das Backend und selektieren unter "Basiskonfiguration" die Datenbankverbindung.
  • Ändern Sie die Verbindung von <$host1> auf https://IP-Addresse des Datenbank-Hosts:8086. $host1/$host2
  • werden als Platzhalter in redundanten Systemen verwendet.
Figure 2. Basiskonfiguration - Datenbankverbindung auf "https" ädern
  • Klicken Sie auf "Speichern" im unteren Teil des Panels.
  • Starten Sie das Backend (Out-of-proc) über die "Backend beenden"-Schaltfläche der Backend-Registerkarte-> Allgemeine Einstellungen neu:
Figure 3. Registerkarte "Backend"-> Allgemeine Einstellungen-> "Backend beenden"-Schaltfläche

oder das NGA (In-proc) neu indem Sie den NextGen-Archiver in der WinCC OA-Konsole neu starten.

Figure 4. WinCC OA-Konsole - NexGen-Archiver neu starten
  • Um zu testen, ob SSL richtig funktioniert, öffnen Sie eine Kommandozeile innerhalb des bin-Unterordners in ihrem WinCC OA-Installationsverzeichnis und geben den folgenden Befehl ein.
influx -ssl -unsafeSsl

Wenn SSL nicht funktioniert - wenn z.B. die Verbindung im Konfigurationspanel nicht geändert wurde - siehe Hinweis unterhalb, wird die folgende Meldung angezeigt:

"Failed to connect to https://IP address:8086: Get https://IP address:8086:ping: dial tcp IP address:8086: connectex: No connection could be made because the target machine actively refused it.Please check your connection settings and ensure 'influxd' is running."

Note:
Nach Änderung der Verbindungssicherheit (https-enabled) der Datenbank erscheint die Fehlermeldung: "WCCOAnextgenarch(118), 2021.04.19 12:24:53.469, IMPL, SEVERE, 0, , Could not connect to the InfluxDB® database process within the specified timeout period. Check path settings in config/influxdb.conf in the project directory (from _NGA_B_InfluxDB) " innerhalb des WinCC OA-Logs, wenn die "Datenbankverbindung" nicht korrekt im Konfigurationspanel eingegeben wurde. Siehe Schritt oberhalb, um die "Datenbankverbondung" korrekt einzugeben.