OCPP Sicherheit

Sicherheitskonfiguration und Zertifikatsverwaltung für die OCPP-Kommunikation.

Sicherheitsprofile

Für die sichere Kommunikation zwischen dem Zentralsystem und den Ladepunkten unterstützt der OCPP-Manager die in der OCPP-Sicherheitsspezifikation definierten Sicherheitsprofile.

Profil 1: Ungesicherter Transport mit Basis-Authentifizierung

Dieses Profil beinhaltet keine Authentifizierung für das Zentralsystem oder Maßnahmen zur Einrichtung eines sicheren Kommunikationskanals. Daher sollte es nur in vertrauenswürdigen Netzwerken verwendet werden, beispielsweise in Netzwerken mit VPN zwischen Zentralsystem und Ladepunkt.

Die Authentifizierung des Ladepunkts erfolgt über HTTP-Basis-Authentifizierung. Der Benutzername muss der Ladepunkt-Identität (Client-ID) entsprechen und das Passwort ist ein 20-Byte-Schlüssel.

Beispiel: Ladepunkt-Identität "AL1000" mit Autorisierungsschlüssel 0001020304050607FFFFFFFFFFFFFFFFFFFFFFFF ergibt HTTP-Autorisierungs-Header: Authorization: Basic QUwxMDAwOgABAgMEBQYH////////////////

Profil 2: TLS mit Basis-Authentifizierung

Im TLS mit Basis-Authentifizierung-Profil wird der Kommunikationskanal mit Transport Layer Security (TLS) gesichert. Das Zentralsystem authentifiziert sich mit einem TLS-Serverzertifikat. Die Ladepunkte authentifizieren sich mit HTTP-Basis-Authentifizierung.

Für die Ladepunkt-Authentifizierung wird HTTP-Basis-Authentifizierung verwendet. Da TLS in diesem Profil verwendet wird, wird das Passwort verschlüsselt gesendet, wodurch die Risiken dieser Authentifizierungsmethode reduziert werden.

Profil 3: TLS mit Client-seitigen Zertifikaten

Im TLS mit Client-seitigen Zertifikaten-Profil wird der Kommunikationskanal mit Transport Layer Security (TLS) gesichert. Sowohl der Ladepunkt als auch das Zentralsystem authentifizieren sich mit Zertifikaten.

Das Zentralsystem authentifiziert den Ladepunkt über das TLS-Client-Zertifikat. Der Ladepunkt authentifiziert das Zentralsystem über das TLS-Server-Zertifikat. Das Zertifikat wird vom Zentralsystem mit dem konfigurierten Root-Zertifikat überprüft.

Wichtig:
Das Standard-Zertifikat sollte durch eines ersetzt werden, das von einer ordnungsgemäßen Zertifizierungsstelle ausgestellt wurde. Diese Verantwortung liegt beim Kunden.

Zertifikatsverwaltung

Zertifikate sind erforderlich, wenn ein Sicherheitsprofil mit TLS verwendet wird (Sicherheitsprofil >= 2).

Das Standard-WinCC OA-Zertifikatspanel kann verwendet werden, um Zertifikate für OCPP auf die gleiche Weise zu erstellen wie beim Erstellen von Zertifikaten für den Standard-WinCC OA-Webserver, wobei optional verschiedene Zertifikatsnamen verwendet werden können.

Die Zertifikate sollten im Konfigurationsverzeichnis des Projekts/Unterprojekts platziert werden. Die Konfigurationseinträge privateKey und publicKey geben den Pfad zu den Zertifikatdateien relativ zum Konfigurationspfad an.

Standardmäßig verwendet der OCPP WebSocket-Server die Zertifikate des Webservers.

Root-Zertifizierungsstelle

Für Sicherheitsprofil 3 muss das Zertifikat der Root-Zertifizierungsstelle mit dem Konfigurationseintrag rootCA angegeben werden.

Dies stellt sicher, dass nur Clients mit Client-Zertifikaten, die von der Root-Zertifizierungsstelle erstellt wurden, eine Verbindung zur Zentralstation herstellen können.

Sicherheitsempfehlungen

  • Verwenden Sie Sicherheitsprofil 2 oder 3 für Produktionsumgebungen
  • Ersetzen Sie Standard-Zertifikate durch Zertifikate einer ordnungsgemäßen Zertifizierungsstelle
  • Aktualisieren Sie Zertifikate regelmäßig vor Ablauf
  • Überwachen Sie Sicherheitsereignisse und Protokolle
  • Verwenden Sie starke Passwörter für Basis-Authentifizierung (20-Byte-Schlüssel)