S E C U R I T Y
CodeMeter und X.509-Zertifikate
Wenn man sich mit Sicherheit und Authentifizierung beschäftigt, stößt man zwangsläufig früher oder später auf das Thema
Zertifikate. Für viele sind Zertifikate schwer zu greifen, denn meist ist es kompliziert und aufwändig, sie in der Praxis einzu-
setzen und zu verwalten.
Aus diesem Grund möchten wir etwas Licht ins
Dunkel bringen und zunächst einmal Zertifikate
erläutern und anschließend einen Weg aufzei-
gen, wie CodeMeter genutzt werden kann, um
das Management und die Prozesse rund um
Zertifikate zu vereinfachen und zu unterstützen.
X.509-Zertifikate und Pub-
lic-Key-Infrastrukturen (PKI)
Mittels Zertifikaten werden Identitäten an
öffentliche Schlüssel gebunden und somit
auch an den zugehörigen privaten Schlüssel.
Zertifikate werden ausschließlich mit Public-
Key-Verfahren wie RSA oder ECC verwendet.
Bei diesen Verfahren besteht der Schlüssel aus
einem privaten und einem dazu passenden
öffentlichen Schlüssel; daher spricht man immer
von einem Schlüsselpaar.
Der Begriff Identität umfasst hier nicht nur
die Identität von Personen, sondern auch die
von Maschinen, Geräten und Rollen. Damit
ein Zertifikat Identitäten mit Schlüsselpaaren
verknüpfen kann, enthält es Informationen
über die Identität, wie zum Beispiel den
Gerätenamen oder die IP-Adresse, und über
den öffentlichen Schlüssel.
Nun hat man zwar diese Verknüpfung her-
gestellt, aber noch keinen Nachweis darüber,
dass die angegebene Identität tatsächlich zu
dem Besitzer des angegebenen Schlüsselpaares
gehört. Aus diesem Grund benötigt man eine
dritte Stelle, welche überprüft und bestätigt,
dass die angegebene Identität tatsächlich
zu dem verwendeten Schlüssel gehört. Dafür
4
damit einen Single-Point-of-Failure dar.
werden die Public-Key-Infrastrukturen benö-
tigt, die aus einem oder mehreren hierarchisch
Im Folgenden wird anhand von OPC UA erläutert,
gegliederten Vertrauensankern (Certificate
wie Zertifikate zur Authentifizierung genutzt
Authority, kurz CA) bestehen. Um also ein Zer-
werden können.
tifikat zu erhalten, muss ein Zertifikatsantrag
(Certificate Signing Request, kurz CSR) an eine
Sichere Kommunikation
CA gestellt werden. Dieser Antrag ist mit dem
mit OPC UA und CodeMeter
zum Zertifikat passenden privaten Schlüssel
Zur Kommunikation zwischen Maschinen und
signiert, sodass die CA prüfen kann, ob der
Geräten wird in Industrieanlagen vermehrt
Antragssteller im Besitz des privaten Schlüssels
OPC UA eingesetzt. Da diese Kommunikation
ist. Zusätzlich muss die CA prüfen, ob die
zumeist auch sensible Daten enthält, die nicht
angegebene Identität im Zertifikat mit der des
manipuliert und abgegriffen werden sollen,
Antragsstellers übereinstimmt. Bei Personen
muss diese abgesichert werden. OPC UA sieht
geschieht dies üblicherweise durch Vorlage
hierfür X.509-Zertifikate vor, mit denen sowohl
eines Ausweises oder telefonische Überprüfung.
der Client als auch der Server in der OPC-UA-
Bei Zertifikaten für Geräte und Maschinen
kann der Antrag entweder
über den „Maschinenverant-
Maschine A
Maschine B
wortlichen“, also wieder eine
OPC UA
OPC UA
OPC UA
OPC UA
Person, deren Identität ge-
Client
Server
Client
Server
prüft werden kann, gestellt
werden oder vorzugsweise an-
OpenSSL
OpenSSL
hand eindeutiger Geräte-
Sichere OPC UA
Verbindung mittels
merkmale, die automatisiert
CodeMeter Certificate Vault
CodeMeter Certificate Vault
CodeMeter
von der CA geprüft werden
CodeMeter Embedded
CodeMeter Embedded
können. Fallen die Prüfungen
positiv aus, signiert die CA
das Zertifikat und beglaubigt
damit die Verknüpfung von
Identität und Schlüsselpaar.
Beim X.509-Zertifikatsystem
liegt also alles Vertrauen in
den CAs, da einem Zertifikat
Maschine A,
Maschine A,
Maschine B,
Maschine B,
OPC UA Server
OPC UA Client
OPC UA Client
OPC UA Server
nur vertraut werden kann,
privater
privater
privater
privater
Schlüssel
Schlüssel
Schlüssel
Schlüssel
wenn der ausstellenden CA
Zertifi kate
Zertifi kate
Zertifi kate
Zertifi kate
vertraut wird. Eine CA stellt