Sichere Verbindung
Der IEC 61850 Client unterstützt eine Verschlüsselung der Kommunikation mittels TLS zwischen Client und Server. Wird TLS-Verschlüsselung vom Gerät nicht unterstützt, darf die Option nicht aktiviert werden.
Zertifikate
Für die Verschlüsselung der Kommunikation werden serverspezifische Zertifikate verwendet, die im Projektverzeichnis abgelegt werden müssen. Der Default Ablageort ist \data\IEC61850\cert. Mittels des Config-File Eintrags [iec61850]certPath kann ein individuelles Verzeichnis unterhalb von \data\IEC61850\ angelegt werden. Z.B. erzeugt der Eintrag [iec61850]certPath=“myCertifcates“ das Verzeichnis \data\IEC61850\ myCertifcates.
Es werden Zertifikate im Format *.pem unterstützt.
Passwortverschlüsselung
Für alle im Folgenden verschlüsselt im internen Datenpunkt abgelegten Passwörter gilt: Die Verschlüsselung erfolgt mittels eines Default-Zertifikates (driver_private.key), das im Zuge der WinCC OA Installation erzeugt und in /config abgelegt wird.
Security Tab
Der Security Tab zeigt die security-relevanten Einstellungen des Treibers. Mit Ausnahme des Passwortes werden die hier getroffenen Einstellungen auf dem gleichnamigen Element am internen Datenpunkt _IEC61850_IED in der Struktur .Config.Security gespeichert. Siehe dazu auch die Beschreibung des Datenpunkts.
General
Authentication Hier wird die Art der Verschlüsselung eingestellt. Verfügbar sind:
- None: Keine Verschlüsselung der Kommunikation.
- Password: Keine Verschlüsselung der Kommunikation. Das Passwort wird verschlüsselt am internen Datenpunkt abgelegt, aber im Klartext gesendet.
- TLS + Password: Die Kommunikation zwischen Client und Server wird mittels TLS vershlüsselt. Die Verwendung eines Passwortes ist optional.
Passwort Dieser Eintrag ist optional. Das Passwort wird verschlüsselt am internen Datenpunkt .Config/Password
abgelegt.
TLS Method
Legt die Art der TLS-Verschlüsselung fest. Diese muss mit der vom jeweiligen Server verwendeten Verschlüsselungsmethode übereinstimmen. Verfügbare Methoden sind:
- TLSv1
- TLSv1.1
- SSLv2
- SSLv3
- SSLv2and3
CA file path
Datei mit Zertifikaten der Certificate Authority (CA Zertifikate). Es kann über die Schaltfläche daneben ausgewählt werden.
CRL file path
Die Revocation List der Certificate Authority. Sie kann über die Schaltfläche daneben ausgewählt werden.
Ciphers
Der openSSL Cipher Suite String. Wird das Feld leer gelassen, wird der folgende
String verwendet:
"TLSv1:TLSv1.1:TLSv1.2:SSLv3:!SSLv2:!aNULL:!eNULL:!CAMELLIA:!EXPORT40:!EXPORT56:@STRENGTH"
CA verify depth
Die Verifikationstiefe (Depth of certificate chaining) für Certifcate Authority Files, d.h. die maximale Anzahl von CA Zertifikaten, die gelesen wird. Erlaubte Werte sind 0-99999.
MMS
Cert path
Das Zertifikat für die MMS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.
Common name
Der MMS common name. Dieser wird vom Server für empfange MMS Zertifikate erwartet. Der Name wird am internen Datenpunkt im Klartext gespeichert.
Key file path
Der Private Key für die MMS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.
Key pass
Die Sicherheitsfrage zur Entschlüsselung des Private Keys. Wird verschlüsselt am internen Datenpunkt abgelegt.
TLS
Cert path
Das Zertifikat für die TLS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.
Common name
Der TLS common name. Dieser wird vom Server für empfange TLS Zertifikate erwartet. Der Name wird am internen Datenpunkt im Klartext gespeichert.
Key file path
Der Private Key für die TLS TLS Verschlüsselung. Es kann über die Schaltfläche daneben ausgewählt werden.
Key pass
Die Sicherheitsfrage zur Entschlüsselung des Private Keys. Wird verschlüsselt am internen Datenpunkt abgelegt.
Renegotiation count
Die maximale Anzahl der ausgetauschten MMS Nachrichten, bevor die Verschlüsselung der Verbindung erneut verifiziert wird.
Renegotiation timeout
Die maximale Zeit in Sekunden, bevor die Verschlüsselung der Verbindung erneut verifiziert wird.