KEYnote 39 Deutsch - Frühjahrsausgabe 2020 - Page 5

Kommunikation authentifiziert werden sollen. Besitzt jedes Gerät ein Zertifikat und vertrauen die Geräte untereinander den Zertifikaten, kann über die im OPC UA Client/Server in- tegrierte TLS-Implementierung eine sichere Kommunikation aufgebaut werden. Die Herausforderung besteht allerdings darin, jedes Gerät mit einem OPC UA Server oder Client mit Zertifikaten und Schlüsseln auszu- statten, sprich eine PKI aufzubauen und diese in OPC-UA-Prozesse zu integrieren. Hinzu kommt, dass die Schlüssel derzeit ohne be- sonderen Schutz im Dateisystem des Gerätes liegen. Letzteres lässt sich mithilfe von Code- Meter beheben. Die CmDongles verfügen über ein sicheres Speicherelement, welches dafür geeignet ist, Schlüssel zu speichern. Damit die Schlüssel, die in einem CmDongle abgelegt sind, von OPC UA genutzt werden können, wird die CodeMeter-Technologie in den OPC UA Client und Server integriert, was die nachstehende Abbildung zeigt. Mit der CodeMeter License Central und der Erweiterung CodeMeter Certifica- te Vault Extension bietet Wibu-Systems die Möglichkeit, Lizenzverwaltung sowie Schlüssel- und Zertifikatsveteilung an einer zentralen Stelle zu vereinen. License Central 1 Autorisiert CmDongle-ID von Maschine A und Maschine C 2 Sendet CmDongle-ID von Maschine A 3 CodeMeter Certifi cate Vault Extension Erzeugt Zertifi kat(e) Certificate Authority 2 Sendet CmDongle-ID von Maschine C Schlüssel- und Zertifikatsverteilung mit CodeMeter License Central Zur Lizenzverwaltung 4 kann die CodeMeter Liefert verschlüsselte WibuCmRaC-Datei, die private Schlüssel und Zertifi kate enthält License Central über Schnittstellen pro- Maschine A Maschine B Maschine C blemlos an bereits CodeMeter CodeMeter CodeMeter vorhandene CRM-, CodeMeter Certificate CodeMeter Certificate Certificate CodeMeter Vault Vault Vault ERP- oder E-Com- merce-Lösungen an- gebunden werden, womit dann eine Unterstützung der etablierten Prozes- se erreicht wird. Für die Aktivierung von Lizenzen stehen einerseits kein extern erzeugter RSA-Schlüssel verwen- browserbasierte Lösungen und andererseits det werden soll, kann von der Extension ein Schnittstellen für die Integration in die eigene Schlüsselpaar erzeugt werden. Software zur Verfügung. Für die eigentliche Generierung des Zertifikats Für das Ausstellen, Verwalten und Verteilen gibt es einen definierten Übergang in eine von Schlüsseln bzw. Zertifikaten wird mit der kundenspezifische Implementierung. Damit CodeMeter Certificate Vault Extension eine kann der Softwarehersteller oder Produktions- Erweiterung der CodeMeter License Central anlagenbetreiber entscheiden, auf welchem zur Verfügung gestellt, mit der diese Aufgaben Weg die Zertifikate erstellt werden. Hier ausgeführt werden können. Es besteht hierbei stehen alle Möglichkeiten vom Selbstsignieren die Möglichkeit, die Zertifikate entweder bei bis zu einer externen Zertifizierungsstelle der Auftragserstellung oder bei der Aktivie- offen, was in Schritt 3 der Abbildung beispiel- rung der Lizenzen zu erzeugen. Die Extension haft dargestellt ist. bietet hierzu entsprechende Schnittstellen, die von externen Prozessen mit den jeweils zu Wurde das Zertifikat erstellt, wird es zusam- verwendenden Daten für das zu erstellende men mit dem privaten Schlüssel von der Zertifikat aufgerufen werden können. Extension mit Hilfe der License Central in eine WibuCmRaU-Datei verpackt und zurück an Die folgende Abbildung zeigt vereinfacht, wie die Maschine übermittelt, wie Schritt 4 in der über die CodeMeter License Central mit der Abbildung zeigt. Zugleich wird der Schlüssel in Certificate Vault Extension Schlüssel und Zerti- der Datenbank der CodeMeter License Central fikate verteilt werden können. Zunächst kann gespeichert, wodurch es immer ein Backup in der CodeMeter License Central konfiguriert gibt. Nachdem die Update-Datei auf der Ma- werden, welche Maschinen berechtigt sind, schine eingespielt wurde, kann der Schlüssel ein Zertifikat bzw. einen Schlüssel zu erhalten, über den CodeMeter Certificate Vault genutzt das heißt, es wird ein Auftrag in der CodeMe- werden, um eine sichere Kommunikation ter License Central angelegt. aufzubauen. Aus Sicht der Softwarehersteller und Produk- tionsanlagenbetreiber besteht die Anforderung, die provisionierten Schlüssel und Zertifikate zentral zu verwalten und auszustellen. Gleich- zeitig sollen dabei bereits etablierte Prozesse verwendet werden. Um ein Zertifikat zu erhalten, sendet eine Maschine eine WibuCmRaC-Datei und alle zusätzlichen Informationen, die für die Erstel- lung des Zertifikats benötigt werden, an die CodeMeter Certificate Vault Extension. Wenn Die Integration erfolgt über den CodeMeter Certificate Vault, welcher Schnittstellen zu gängigen TLS-Implementierung wie zum Beispiel OpenSSL anbietet. Der CodeMeter Certificate Vault nutzt wiederum die Code- Meter API, um auf die Schlüssel im CmDongle zuzugreifen. Möchte beispielsweise, wie in der Abbildung gezeigt, Maschine B mit Maschine A kommunizieren, greift der OPC UA Client bzw. Server zunächst auf seine TLS- Implementierung zurück. In der Abbildung ist dies OpenSSL. OpenSSL ist in diesem Beispiel wiederum so in den OPC UA Client integriert, dass es nicht auf die OpenSSL-eigene Soft- wareimplementierung der kryptographischen Algorithmen zugreift, sondern über CodeMeter Certificate Vault auf die Hardwareimplemen- tierung von zum Beispiel RSA im CmDongle. Auf der Gegenseite läuft der gleiche Vorgang in Maschine A ab, damit diese sich gegenüber Maschine B authentifizieren kann. Somit wäre die Frage, wie man Schlüssel sicher mit OPC UA verwenden kann, beantwortet. Bleibt noch zu klären, wie die Schlüssel auf die Geräte und woher die dazu passenden Zertifikate kommen. 5