Kommunikation authentifiziert werden sollen.
Besitzt jedes Gerät ein Zertifikat und vertrauen
die Geräte untereinander den Zertifikaten,
kann über die im OPC UA Client/Server in-
tegrierte TLS-Implementierung eine sichere
Kommunikation aufgebaut werden.
Die Herausforderung besteht allerdings darin,
jedes Gerät mit einem OPC UA Server oder
Client mit Zertifikaten und Schlüsseln auszu-
statten, sprich eine PKI aufzubauen und diese
in OPC-UA-Prozesse zu integrieren. Hinzu
kommt, dass die Schlüssel derzeit ohne be-
sonderen Schutz im Dateisystem des Gerätes
liegen. Letzteres lässt sich mithilfe von Code-
Meter beheben. Die CmDongles verfügen über
ein sicheres Speicherelement, welches dafür
geeignet ist, Schlüssel zu speichern. Damit die
Schlüssel, die in einem CmDongle abgelegt sind,
von OPC UA genutzt werden können, wird die
CodeMeter-Technologie in den OPC UA Client
und Server integriert, was die nachstehende
Abbildung zeigt.
Mit der CodeMeter
License Central und
der Erweiterung
CodeMeter Certifica-
te Vault Extension
bietet Wibu-Systems
die Möglichkeit,
Lizenzverwaltung
sowie Schlüssel- und
Zertifikatsveteilung
an einer zentralen
Stelle zu vereinen.
License
Central
1
Autorisiert CmDongle-ID von
Maschine A und Maschine C
2
Sendet CmDongle-ID
von Maschine A
3
CodeMeter
Certifi cate Vault
Extension
Erzeugt
Zertifi kat(e)
Certificate Authority
2
Sendet CmDongle-ID
von Maschine C
Schlüssel- und Zertifikatsverteilung
mit CodeMeter License Central Zur Lizenzverwaltung
4
kann die CodeMeter
Liefert verschlüsselte WibuCmRaC-Datei, die private
Schlüssel und Zertifi kate enthält
License Central über
Schnittstellen pro-
Maschine A
Maschine B
Maschine C
blemlos an bereits
CodeMeter
CodeMeter
CodeMeter
vorhandene CRM-,
CodeMeter
Certificate
CodeMeter
Certificate
Certificate
CodeMeter
Vault
Vault
Vault
ERP- oder E-Com-
merce-Lösungen an-
gebunden werden,
womit dann eine
Unterstützung der
etablierten Prozes-
se erreicht wird. Für
die Aktivierung von Lizenzen stehen einerseits
kein extern erzeugter RSA-Schlüssel verwen-
browserbasierte Lösungen und andererseits
det werden soll, kann von der Extension ein
Schnittstellen für die Integration in die eigene
Schlüsselpaar erzeugt werden.
Software zur Verfügung.
Für die eigentliche Generierung des Zertifikats
Für das Ausstellen, Verwalten und Verteilen
gibt es einen definierten Übergang in eine
von Schlüsseln bzw. Zertifikaten wird mit der
kundenspezifische Implementierung. Damit
CodeMeter Certificate Vault Extension eine
kann der Softwarehersteller oder Produktions-
Erweiterung der CodeMeter License Central
anlagenbetreiber entscheiden, auf welchem
zur Verfügung gestellt, mit der diese Aufgaben
Weg die Zertifikate erstellt werden. Hier
ausgeführt werden können. Es besteht hierbei
stehen alle Möglichkeiten vom Selbstsignieren
die Möglichkeit, die Zertifikate entweder bei
bis zu einer externen Zertifizierungsstelle
der Auftragserstellung oder bei der Aktivie-
offen, was in Schritt 3 der Abbildung beispiel-
rung der Lizenzen zu erzeugen. Die Extension
haft dargestellt ist.
bietet hierzu entsprechende Schnittstellen, die
von externen Prozessen mit den jeweils zu
Wurde das Zertifikat erstellt, wird es zusam-
verwendenden Daten für das zu erstellende
men mit dem privaten Schlüssel von der
Zertifikat aufgerufen werden können.
Extension mit Hilfe der License Central in eine
WibuCmRaU-Datei verpackt und zurück an
Die folgende Abbildung zeigt vereinfacht, wie
die Maschine übermittelt, wie Schritt 4 in der
über die CodeMeter License Central mit der
Abbildung zeigt. Zugleich wird der Schlüssel in
Certificate Vault Extension Schlüssel und Zerti-
der Datenbank der CodeMeter License Central
fikate verteilt werden können. Zunächst kann
gespeichert, wodurch es immer ein Backup
in der CodeMeter License Central konfiguriert
gibt. Nachdem die Update-Datei auf der Ma-
werden, welche Maschinen berechtigt sind, schine eingespielt wurde, kann der Schlüssel
ein Zertifikat bzw. einen Schlüssel zu erhalten,
über den CodeMeter Certificate Vault genutzt
das heißt, es wird ein Auftrag in der CodeMe-
werden, um eine sichere Kommunikation
ter License Central angelegt.
aufzubauen.
Aus Sicht der Softwarehersteller und Produk-
tionsanlagenbetreiber besteht die Anforderung,
die provisionierten Schlüssel und Zertifikate
zentral zu verwalten und auszustellen. Gleich-
zeitig sollen dabei bereits etablierte Prozesse
verwendet werden. Um ein Zertifikat zu erhalten, sendet eine
Maschine eine WibuCmRaC-Datei und alle
zusätzlichen Informationen, die für die Erstel-
lung des Zertifikats benötigt werden, an die
CodeMeter Certificate Vault Extension. Wenn
Die Integration erfolgt über den CodeMeter
Certificate Vault, welcher Schnittstellen zu
gängigen TLS-Implementierung wie zum
Beispiel OpenSSL anbietet. Der CodeMeter
Certificate Vault nutzt wiederum die Code-
Meter API, um auf die Schlüssel im CmDongle
zuzugreifen. Möchte beispielsweise, wie
in der Abbildung gezeigt, Maschine B mit
Maschine A kommunizieren, greift der OPC
UA Client bzw. Server zunächst auf seine TLS-
Implementierung zurück. In der Abbildung ist
dies OpenSSL. OpenSSL ist in diesem Beispiel
wiederum so in den OPC UA Client integriert,
dass es nicht auf die OpenSSL-eigene Soft-
wareimplementierung der kryptographischen
Algorithmen zugreift, sondern über CodeMeter
Certificate Vault auf die Hardwareimplemen-
tierung von zum Beispiel RSA im CmDongle.
Auf der Gegenseite läuft der gleiche Vorgang
in Maschine A ab, damit diese sich gegenüber
Maschine B authentifizieren kann.
Somit wäre die Frage, wie man Schlüssel sicher
mit OPC UA verwenden kann, beantwortet.
Bleibt noch zu klären, wie die Schlüssel auf
die Geräte und woher die dazu passenden
Zertifikate kommen.
5