Standardprojekt

Die serverseitige Authentifizierung für UI-Manager bietet erhöhte Sicherheit, indem sie den Zugriff durch nicht autorisierte UI-Clients verhindert. Bei der serverseitigen Authentifizierung für UI-Manager wird nur der UI-Manager authentifiziert.

Serverseitige Authentifizierung für Manager wird für alle Manager verwendet. Session Binding reduziert das Risiko von manipulierten Nachrichten und unberechtigtem Zugriff auf ein System.

Die Kommunikationssicherheit wird erhöht, da der Zugriff durch nicht autorisierte Manager verhindert wird. Bei dem Session Binding ist der Benutzername Teil des Zertifikats.

Passwort-Einstellungen

Wichtig:

Der Benutzer root kann nicht verwendet werden, um in ein SSA (server-side authentication) project. (UI) einzuloggen. Es können jedoch alle anderen Benutzer verwendet werden, z.B. der Benutzer "para". Die standardmäßig vordefinierten WinCC OA-Benutzer, die beim Anlegen eines neuen Projektes erstellt werden, finden Sie im Kapitel Benutzer. Um neue Benutzer anzulegen, lesen Sie ebenfalls das Kapitel Benutzer. Um Berechtigungen für Benutzer zu setzen, lesen Sie das Kapitel Gruppen.

Abbildung 1. Neues Projekt - Passwort Einstellungen
  • Passwort-Einstellungen werden geöffnet. Geben Sie hier die Benutzer und die Passwörter für das Projekt ein. Verwenden Sie das the Auge-Symbol, um das Passwort für einen Benutzer anzuzeigen und das Pfeil-Symbol, um ein Passwort zu generieren.
    Wichtig: Das Passwort muss mindestens 8 Zeichen lang sein und mindestens ein Spezialzeichen sowie einen Großbuchstaben enthalten! Ein Passwort muss für einen Benutzer definiert werden!
    • den pmon-Benutzer für die Projekt Administration - siehe auch Kapitel Prozess Monitor [PMON]. Der Benutzername kann geändert werden.
      Tipp: Der pmon-Benutzer muss nicht definiert werden. Ein Projekt kann auch ohne den pmon-Benutzer erstellt werden.
    • den root-Benutzer und
    • den para-Benutzer für das Projekt
      Einschränkung: Die Benutzer root und para können nicht geändert werden.
    • Zudem können optionale Benutzer für das Projekt definiert werden: operatorAll, operator und guest.
      Tipp: Die optionalen Benutzer müssen nicht definiert werden. Ein Projekt kann auch ohne die Benutzer erstellt werden.

      Für mehr Information über die unterschiedlichen Benutzer, siehe Kapitel ../../../UserAdmin/UserAdmin-08.html#UserAdmin-08__predefinedUsers.

Einstellungen für Serverseitige Authentifizierung

  • Die Einstellungen der serverseitigen Authentifizierung werden angezeigt. Geben Sie den Webserver-Host und Webserver-Port ein. Es kann der lokale oder ein bereits existierender Webserver für das Projekt verwendet werden. Die Defaultportnummer ist 443 unter Windows und 8079 unter Linux. Selektieren Sie danach ob Sie ein Projekt für UI Manager oder für alle Manager erstellen wollen.
Abbildung 2. Einstellungen für Zertifikate - Einstellungen für Serverseitige Authentifizierung
  • Wenn Sie ein Projekt für alle Manager selektiert haben (empfohlen), selektieren Sie dann die Zertifikate.
VORSICHT: Die Zertifikate für den Webserver werden automatisch ins Projekt kopiert. Die Webserver-Zertifikate werden für alle Features, die über den Webserver fungieren, benötigt. Solche Features sind u.a. der Desktop UI sowie der ULC UX.

Es können entweder dateibasierte oder Windows Certificate Store (Zertifikatsverwaltung)-Zertifikate verwendet werden.

VORSICHT: Unter Linux können Sie nur dateibasierte Zertifikate verwenden. Die Handhabung ist die gleiche wie unter Windows!

Es stehen drei Optionen zur Verfügung - die Zertifikate können wie folgt generiert werden:

Einstellungen für Zertifikate - automatisch generieren:

Selektieren Sie einen Pfad und setzen Sie ein Passwort für die Generierung von Zertifikaten. Das Passwort muss gesetzt werden. Die Zertifikate werden, wie der Name verrät, automatisch generiert. Zertifikate für die drei WinCC OA -Features: MxProxy,Webserver (Web Server) und SSA werden erstellt - siehe die Abbildung unterhalb.

Anmerkung: Die Zertifikate werden in einem separaten Verzeichnis mit dem Namen [proj_name_Certificates] im gleichen Verzeichnis, in dem das Projekt liegt, gespeichert. Alle unterhalb aufgelisteten Zertifikate außer dem Privatschlüssel "root-privkey.pem" werden in das config-Verzeichnis des WinCC OA-Projektes kopiert.
Abbildung 3. Automatisch erstellte Zertifikate
Abbildung 4. Einstellungen für Zertifikate - Automatisch generieren

Einstellungen für Zertifikate - Dateibasiert:

Die dateibasierten Zertifikate (.pem) müssen manuell erstellt werden. Wenn Zertifikate bereits existieren, können diese über den Dateiselektor selektiert werden. Selektieren Sie die Option Dateibasiert.

Abbildung 5. Einstellungen für Zertifikate - Dateibasiert
  • Selektieren oder erstellen Sie alle notwendigen Zertifikate (MxProxy, root(SSA) sowie Web Server - z.B. für ULC UX oder Desktop UI). Im Panel SSL Host Zertifikate wird die jeweils richtige Zertifikatsoption vorselektiert, z.B. Zertifikate für WCCILproxy für MxProxy.

VORSICHT: Die Zertifikatsdateien für MProxy und Web Server müssen im .pem Format vorliegen, um lesbar zu sein! Für MProxy können auch Windows Store-Zertifikate verwendet werden.

MxProxy:

Die MxProxy-Zertifikate sind die Zertifikate für den Multiplexing Proxy.

user-CA.pem: CA ist die Zertifizierungstelle. Im SSL-Panel heißt die Zertifizierungsstelle das Root-Zertifikat.

user-cert.pem: Das Zertifikat ist das Host-Zertifikat im SSL-Panel.

user-key.pem: Der private Schlüssel ist der Schlüssel für das Host-Zertifikat. Im SSL-Panel heißt der private Schlüssel "Root Key file".

SSA-Zertifikate für den Benutzer root:

Die root-Zertifikate sind Zertifikate für die serverseitige Authentifizierung von Managern:

proxy-CA.pem: CA ist die Zertifizierungstelle. Im SSL-Panel heißt die Zertifizierungsstelle das Root-Zertifikat.

proxy-host-cert.pem: das Zertifikat ist das Host-Zertifikat im SSL-Panel. Es können unterschiedliche Host-Zertifikate für das gleiche root-Zertifikat erstellt werden.

proxy-host-key.pem: Der private Schlüssel ist der Schlüssel für das Host-Zertifikat. Im SSL-Panel heißt der private Schlüssel Root Key file".

Anmerkung: Beachten Sie, dass die hier erstellten Zertifikate für Engineering-Zwecke erstellt werden (root (Admin)-Rechte). Zum sicheren Betrieb sollten Manager unter einem Benutzer mit eingeschränkten Rechten gestartet werden, z.B. Benutzer "Operator".

Ein Beispiel einer Konfiguration für unterschiedliche Benutzer finden Sie im Kapitel Beispiel für die Konfiguration - SSA für Manager. Ein Beispiel der Config-Einträge für SSA finden Sie im Kapitel Beispiel für Config-Einträge - SSA für Manager.

Web Server:

Webserver-Zertifkate, werden, wie weiter oben erwähnt, für alle Features, die über den Webserver fungieren, benötigt. Solche Features sind u.a. der Desktop UI sowie der ULC UX.

certificate.pem: Das Zertifikat ist das Host-Zertifikat im SSL-Panel.

privkey.pem: Der private Schlüssel ist der Schlüssel für das Host-Zertifikat. Im SSL-Panel heißt der private Schlüssel Root Key file".

Abbildung 6. Einstellungen für Zertifikate - Dateibasiert - Zertifikate erstellen oder selektieren
Abbildung 7. Einstellungen für Zertifikate - Dateibasiert - erstellte Zertifikate

Einstellungen für Zertifikate - Windows-Zertifikatsverwaltung

Um Windows Store-Zertifikate zu verwenden, müssen die Zertifikate in Windows-Zertifikatsverwaltung-Format konvertiert werden (.pfx) und in die Windows-Zertifikatsverwaltung importiert werden. Wie die Zertifikate konvertiert und importiert werden können, lesen Sie im Kapitel Windows Certificate Store.

  • Selektieren Sie die Option Windows Zertifikatsverwaltung und klicken Sie auf Weiter.

    Abbildung 8. Einstellungen für Zertifikate - Windows-Zertifikatsverwaltung (Windows Certificate Store) Zertifikate
  • Erstellen Sie die Zertifikate für den MxProxy und SSA (root) über das SSL-Panel. Konvertieren Sie die erstellten Zertifikate in das passende Windows Certificate Store-Format und importiert sie diese in die Windows-Zertifikatsverwaltung - siehe Kapitel Windows Certificate Store.

    Fingerabdruck des Zertifikats verwenden:

    Wenn viele Zertifikate verwendet werden, kann es vorkommen, dass zwei Zertifikate mit demselben Namen existieren, aber der Inhalt jeweils unterschiedlich ist. Um sicherzustellen, dass die Zertifikate eindeutig sind, sollten Thumbprint-Zertifikate verwendet werden. Diese sind immer eindeutig.

    Wenn Sie die Checkbox Fingerabdruck des Zertifikats verwenden aktivieren, tragen Sie die Thumbprints der Zertifikate in die Zertifikatstextfelder ein (siehe Screenshot unterhalb). Außerdem müssen Sie die Thumbprints für die Config-Einträge in der Config-Datei verwenden - siehe Kapitel Multiplexing Proxy-Zertifikate mit Thumbprints und SSA-Zertifikate mit Thumbprints.
    Abbildung 9. Fingerabruck des Zertifikats verwenden - Thumbprint-Zertifikate
    VORSICHT: Für den Web Server können keine Windows-Zertifikatsverwaltungszertifikate verwendet werden. Für den Webserver geben Sie die Pfade der dateibasierten Zertifikate "certificate.pem" und "privkey.pem" ein - siehe die Abbildung unterhalb.
  • Geben Sie danach die Zertifikate im Windows-Zertifikatsverwaltungsformat ein:

    z.B.: MACHINE:MY:SSA_host oder MACHINE:MY:SSA_host. Wenn Sie den USER-Account beim Import der Zertifikate in die Windows-Zertifikatsverwaltung selektiert haben, verwenden Sie diesen, z.B. USER:MY:SSA_host.

VORSICHT:

Für das "Trusted Root Certification" certificate also das Root-Stammzertifikat, das in der Windows-Zertifikatsverwaltung im Verzeichnis "Trusted Root Certification" liegt, verwenden Sie das Präfix "ROOT", z.B. MACHINE:ROOT:rootProxy. Siehe auch das Beispiel unterhalb.

Abbildung 10. Einstellungen für Zertifikate - Windows Certificate Store-Zertifikate

Unterhalb finden Sie eine Abbildung, die demonstriert wie die Windows-Zertifkatsverwaltungszertifikate richtig eingegeben und verwendet werden.

Abbildung 11. Einstellungen für Manager - Windows Certificate Store Zertifikate - selektierte Dateien (Windows-Zertifkatsverwaltung -> Einstellungen für Zertifikate-Panel)