Sichere Verbindung

Der IEC 61850 Client unterstützt eine Verschlüsselung der Kommunikation mittels TLS zwischen Client und Server. Wird TLS-Verschlüsselung vom Gerät nicht unterstützt, darf die Option nicht aktiviert werden.

Zertifikate

Für die Verschlüsselung der Kommunikation werden serverspezifische Zertifikate verwendet, die im Projektverzeichnis abgelegt werden müssen. Der Default Ablageort ist \data\IEC61850\cert. Mittels des Config-File Eintrags [iec61850]certPath kann ein individuelles Verzeichnis unterhalb von \data\IEC61850\ angelegt werden. Z.B. erzeugt der Eintrag [iec61850]certPath=“myCertifcates“ das Verzeichnis \data\IEC61850\ myCertifcates.

Es werden Zertifikate im Format *.pem unterstützt.

Anmerkung: Das Verzeichnis wird automatisch erstellt, sobald des IEC 61850 Client Konfigurationspanel geöffnet wird.

Passwortverschlüsselung

Für alle im Folgenden verschlüsselt im internen Datenpunkt abgelegten Passwörter gilt: Die Verschlüsselung erfolgt mittels eines Default-Zertifikates (driver_private.key), das im Zuge der WinCC OA Installation erzeugt und in /config abgelegt wird.

VORSICHT: Da diese Zertifikate für alle WinCC OA-Installationen der jeweiligen Version gleich sind, ist es, um vor Angriffen geschützt zu sein, unbedingt erforderlich, individuelle Zertifikate zu erstellen. Siehe dazu Treiber-Zertifikat

Security Tab

Der Security Tab zeigt die security-relevanten Einstellungen des Treibers. Mit Ausnahme des Passwortes werden die hier getroffenen Einstellungen auf dem gleichnamigen Element am internen Datenpunkt _IEC61850_IED in der Struktur .Config.Security gespeichert. Siehe dazu auch die Beschreibung des Datenpunkts.

Abbildung 1. Security Tab
Anmerkung: Die Schaltflächen neben den Eingabefeldern für die jeweiligen Zertifikatsnamen öffnen entweder das Default Verzeichnis (\data\IEC61850\cert) oder das mittels [iec61850]certPath festgelegte Verzeichnis. Wählen Sie anschließend das jeweils benötigte Zertifikat aus.

General

Authentication Hier wird die Art der Verschlüsselung eingestellt. Verfügbar sind:

  • None: Keine Verschlüsselung der Kommunikation.
  • Password: Keine Verschlüsselung der Kommunikation. Das Passwort wird verschlüsselt am internen Datenpunkt abgelegt, aber im Klartext gesendet.
  • TLS + Password: Die Kommunikation zwischen Client und Server wird mittels TLS vershlüsselt. Die Verwendung eines Passwortes ist optional.

Passwort Dieser Eintrag ist optional. Das Passwort wird verschlüsselt am internen Datenpunkt .Config/Password abgelegt.

TLS Method

Legt die Art der TLS-Verschlüsselung fest. Diese muss mit der vom jeweiligen Server verwendeten Verschlüsselungsmethode übereinstimmen. Verfügbare Methoden sind:

  • TLSv1
  • TLSv1.1
  • SSLv2
  • SSLv3
  • SSLv2and3

CA file path

Datei mit Zertifikaten der Certificate Authority (CA Zertifikate). Es kann über die Schaltfläche daneben ausgewählt werden.

CRL file path

Die Revocation List der Certificate Authority. Sie kann über die Schaltfläche daneben ausgewählt werden.

Ciphers

Der openSSL Cipher Suite String. Wird das Feld leer gelassen, wird der folgende String verwendet: "TLSv1:TLSv1.1:TLSv1.2:SSLv3:!SSLv2:!aNULL:!eNULL:!CAMELLIA:!EXPORT40:!EXPORT56:@STRENGTH"

CA verify depth

Die Verifikationstiefe (Depth of certificate chaining) für Certifcate Authority Files, d.h. die maximale Anzahl von CA Zertifikaten, die gelesen wird. Erlaubte Werte sind 0-99999.

MMS

Cert path

Das Zertifikat für die MMS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.

Common name

Der MMS common name. Dieser wird vom Server für empfange MMS Zertifikate erwartet. Der Name wird am internen Datenpunkt im Klartext gespeichert.

Key file path

Der Private Key für die MMS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.

Key pass

Die Sicherheitsfrage zur Entschlüsselung des Private Keys. Wird verschlüsselt am internen Datenpunkt abgelegt.

TLS

Cert path

Das Zertifikat für die TLS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.

Common name

Der TLS common name. Dieser wird vom Server für empfange TLS Zertifikate erwartet. Der Name wird am internen Datenpunkt im Klartext gespeichert.

Key file path

Der Private Key für die TLS TLS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.

Key pass

Die Sicherheitsfrage zur Entschlüsselung des Private Keys. Wird verschlüsselt am internen Datenpunkt abgelegt.

Renegotiation count

Die maximale Anzahl der ausgetauschten MMS Nachrichten, bevor die Verschlüsselung der Verbindung erneut verifiziert wird.

Renegotiation timeout

Die maximale Zeit in Sekunden, bevor die Verschlüsselung der Verbindung erneut verifiziert wird.