Digitale Signatur für Projektdaten erstellen
| Hinweis
Das Feature Paket-Signierung ist für PLCnext Technology-Steuerungen mit der Firmware-Version 2025.0 oder neuer verfügbar. |
Mit PLCnext Engineer können Sie die Binärdaten (Programme und Quellen des PLCnext Engineer-Projekts; gilt für nicht sicherheitsrelevante und sicherheitsrelevante Daten), die auf die Zielsteuerung geschrieben werden sollen, durch eine digitale Signatur schützen. Die digitale Signatur gewährleistet die Herkunft, Integrität und Sicherheit der Daten. Die Signatur wird vor dem Laden der Daten in den Speicher geprüft.
Die digitale Signatur wird mit dem privaten Schlüssel eines Zertifikats zur Code-Signierung erstellt. Das Zertifikat für die Code-Signierung stellt sicher, dass die Daten, die der Benutzer auf die Ziel-Steuerung schreibt, seit ihrer Signierung nicht manipuliert oder verändert wurden.
Um eine digitale Signatur zur Absicherung der Daten während des Schreibens auf die Steuerung zu erstellen, müssen folgende Informationen und Daten im 'Paket-Signierung'-Editor (Editor des Steuerungsknotens) angegeben werden:
- Signierungszertifikat (verpflichtend)Pfad zum Signierungszertifikat-Container im PKCS12-Format (.pkcs12 oder .pfx), den Sie zum Erzeugen der digitalen Signatur verwenden wollen, sowie das Kennwort für den Zertifikat-Container. Der Container muss den privaten Schlüssel, den passenden öffentlichen Schlüssel sowie die Zertifikatskette (d.h. die Trust-Liste) enthalten.
Der Signierungszertifikat-Container und das zugehörige Kennwort sind zwingend notwendig, damit die Binärdaten für das Schreiben signiert werden können. - Zeitstempel-Server (optional)Beim Erzeugen der digitalen Signatur wird dieser immer ein Zeitstempel hinzugefügt. Standardmäßig (wenn kein Zeitstempelserver angegeben ist) wird die digitale Signatur mit dem Zeitstempel des lokalen Computers versehen (aktuelles UTC-Datum und Zeit). Um einen Zeitstempel hinzuzufügen, der von einem Zeitstempel-Server (vertrauenswürdiger Dienst eines Drittanbieters) stammt, geben Sie die Serveradresse (URI des Zeitstempel-Servers) und die für die Authentifizierung verwendeten Anmeldeinformationen (Benutzername, Passwort und Domäne) ein. Wenn keine Anmeldedaten eingegeben werden, werden die Standard-Anmeldedaten verwendet.Der Zeitstempel selbst wird mit dem ausgewählten Signierungszertifikat signiert und anschließend von der Firmware der Steuerung geprüft und verifiziert. Ein entsprechender öffentlicher Schlüssel muss auch in der Trust-Liste (Liste der vertrauenswürdigen Zertifikate) enthalten sein.Der Zeitstempel stellt sicher, dass die Daten zu einem bestimmten Zeitpunkt signiert wurden (Zeitpunkt der Signaturerstellung) und seitdem nicht mehr verändert wurden. Durch die Zeitstempelung der digitalen Signatur bleibt die Signatur der Daten auch dann erhalten, wenn das Signierungszertifikat abgelaufen ist.
Hinweis
Die Zeitstempelung über einen Zeitstempel-Server erfordert eine Internetverbindung. (Für die Verifizierung auf der Steuerung ist keine Internetverbindung erforderlich.)Hinweis
Wenn Sie sich bei einem Dienst wie einem Zeitstempel-Server anmelden, benötigt der Server möglicherweise sowohl Domänen- als auch Proxy-Informationen (siehe unten), um zu überprüfen, ob Sie ein autorisierter Benutzer sind, und um Ihre Anfrage durch das entsprechende Netzwerk zu leiten. - Proxy Zeitstempel-Server (optional)Adresse des für die Anfrage verwendeten Proxy-Servers (z. B. http://proxy.example.com) und die für die Authentifizierung verwendeten Anmeldeinformationen (Benutzername, Passwort und Domäne). Wenn keine Angaben gemacht werden, wird der Standard-Webproxy verwendet.