Sicherheitseinstellungen
Sicherheitsstrategie
Der WinCC OA OPC UA Server unterstützt folgende Profile:
-
None -
Basic128Rsa15 -
Basic256 -
Basic256Sha256 -
Aes128_Sha256_RsaOaep -
Aes256_Sha256_RsaPss
Die Liste oberhalb ist von dem unsichersten zum sichersten Mechanismus sortiert.
Durch Verwendung der Config-Einträge [opcuasrv] uaSecurityPolicy und
[opcuasrc] uaSecurityMode kann das minimal
erforderliche Profil und der Modus festgelegt werden.
Wenn ein Client versucht sich mit einem schwächeren Profil oder Modus zu verbinden, wird dieser Versuch abgelehnt.
Um beispielsweise die minimale Sicherheitsstufe (Basic256Sha256 und
Sign&Encrypt) einzustellen, müssen die Config-Einträge
folgendermaßen gesetzt werden:
[opcuasrc]
uaSecurityPolicy = 3
uaSecurityMode = 2Nachrichten-Sicherheitsmodell
Der WinCC OA OPC UA Server unterstützt folgende Modi:
-
None -
Sign -
Sign&Encrypt
None
Die Kommunikation ist weder signiert noch verschlüsselt und soll daher nur in separaten Netzwerken verwendet werden.
Sign
Die Kommunikation ist signiert, jedoch nicht verschlüsselt.
Bei diesem Modus sind die übertragenen Daten vor Manipulation geschützt, aber können noch gelesen werden. Zugangsdaten (z.B. Passwörter) können dabei nicht durch Dritte eingesehen werden.
Sign&Encrypt
Die Kommunikation ist sowohl signiert als auch verschlüsselt.
Bei diesem Modus sind die übertragenen Daten vor Manipulation als auch vor dem Lesen durch Dritte geschützt.
