Gestion des certificats avec et sans PKI
Le module BMENUA0100 s'appuie sur des certificats pour l'authentification. Pour assurer la cybersécurité, chaque entité (y compris les clients OPC UA et le serveur OPC UA intégré au BMENUA0100) doit gérer une liste de confiance de tous les certificats d'équipements/applications qui communiquent avec elle.
La méthode de gestion des certificats dépend de la conception de votre système, qui peut appliquer ou non une infrastructure de clé publique (PKI) avec une autorité de certification (CA).
Gestion des certificats sans PKI :
Utilisez cette méthode de gestion des certificats si votre système n'inclut pas d'autorité de certification. Cette méthode de gestion est prise en charge par les modules BMENUA0100 dotés du micrologiciel de version v1.0 ou supérieure. Gérez les certificats dans les pages Web , de la manière suivante :
Réglez sur .
Gérez la à l'aide des fonctions et pour créer une liste blanche des clients OPC UA autorisés à communiquer avec le module BMENUA0100.
Exportez le certificat du module BMENUA0100 vers les équipements clients OPC UA à l'aide de la commande de la page .
Gestion des certificats avec PKI :
Utilisez cette méthode de gestion des certificats si votre système inclut une autorité de certification (CA). Cette méthode de gestion est prise en charge par les modules BMENUA0100 dotés du micrologiciel de version v1.1 ou supérieure. Gérez les certificats dans les pages Web , de la manière suivante :
Réglez :
: si tous les équipements client OPC UA installés prennent en charge PKI.
: si certains équipements client OPC UA installés ne prennent pas en charge PKI.
Si est réglé sur :
Inscrivez manuellement chaque module BMENUA0100 auprès de l’autorité de certification.
Si est réglé sur :
Inscrivez manuellement chaque module BMENUA0100 auprès de l’autorité de certification.
Gérez la à l'aide des fonctions et pour créer une liste blanche des clients OPC UA autorisés à communiquer avec le module BMENUA0100.
Mise à jour de la liste de certificats approuvés
Après la première installation du BMENUA0100 avec micrologiciel version 2.0 (BMENUA0100.2) ou supérieure, vous devez supprimer tous les certificats ajoutés par l'utilisateur de la Liste de certificats approuvés dans la page Web Gestion des certificats. Les méthodes possibles sont les suivantes :
Suppression manuelle des certificats concernés à l'aide de la commande Supprimer ou
Réglage du commutateur rotatif de réglage de la cybersécurité sur la position Security Reset (réinitialisation de la sécurité).
Une fois la liste de certificats approuvés nettoyée, vous pouvez la réalimenter avec des certificats auto-signés ou émis par une autorité de certification.
Cette tâche doit être effectuée uniquement lors de la première installation du micrologiciel de version 2.0 ou supérieure. Il n'est pas nécessaire de répéter la procédure pour les installations suivantes de versions de micrologiciel supérieures.
Présentation de l'authentification
Un client OPC UA ou un module BMENUA0100 peut être authentifié de trois façons :
Pour la version 1.0 ou supérieure du micrologiciel :
Certificat auto-signé (uniquement)
Pour la version 1.10 ou supérieure du micrologiciel :
Certificat PKI émis par une autorité de certification tierce uniquement
Certificat PKI émis par une autorité de certification et un certificat auto-signé
Pour assurer le niveau de cybersécurité requis, chaque entité (client OPC UA, BMENUA0100) doit gérer une liste de confiance de tous les certificats d'équipements/applications qui communiquent avec elle.
Pour la version 1.10 ou supérieure du micrologiciel, le module BMENUA0100 crée un certificat auto-signé aux fins suivantes :
Configuration des paramètres de cybersécurité via les pages Web du module
Diagnostic du module via ses pages Web
Mise à niveau du micrologiciel
Certificats d'instance d'application OPC UA permettant aux clients OPC UA d'accéder au serveur OPC UA intégré au module BMENUA0100.
Pour la version 1.0 du micrologiciel, le module crée deux certificats : un certificat HTTPS et un certificat OPC UA.
Les dates d'expiration des certificats approuvés sont définies par rapport aux paramètres internes de date et d'heure du module BMENUA0100. Pour éviter toute incohérence, utilisez le service NTP pour mettre à jour les paramètres de date et d'heure du module BMENUA0100 et vérifiez que le serveur NTP est accessible et qu'il a mis à jour les paramètres de date et d'heure.
Si vous recevez un message d'erreur signalant un certificat incorrect en raison d'un nom d'hôte non valide lors d'une tentative de connexion de votre client OPC UA au serveur BMENUA0100 en IPv6, cela peut être dû à une adresse IPv6 compressée (raccourcie). Dans ce cas, vérifiez l’adresse IPv6 utilisée et, si nécessaire, remplacez-la par un format non compressé.
Le module BMENUA0100 ne gère pas automatiquement les dates d'expiration des certificats. Vous devez gérer ces dates d'expiration manuellement.
Gestion des certificats
Dans les pages Web du module BMENUA0100, à partir de la page , sélectionnez pour afficher les liens vers les pages suivantes de gestion des certificats d'instance d'application :
Consultez les sections Utilisation des objets GPO/LGPO et Application de la gestion des stratégies de groupe MMC pour plus d'informations sur les outils Windows™ que vous pouvez utiliser pour gérer les certificats.
Extensions de certificat
Pour prendre en charge la communication avec le module BMENUA0100, les certificats auto-signés et CA doivent inclure des extensions spécifiques, à savoir :
Certificats auto-signés :
Utilisation des clés (marqué comme critique) :
Signature numérique
Chiffrement de clé (pas d'utilisation pour la suite TLS basée sur des clés éphémères telles que TLS_ECDHE_xxxx ; utilisation pour TLS_RSA_xxxx)
Signature des certificats de clé : lorsque la clé publique du sujet est utilisée pour vérifier les signatures sur les certificats de clé publique (valeur TRUE)
Non-répudiation (exigence de la norme OPC UA)
Chiffrement des données (exigence de la norme OPC UA)
Autre nom du sujet : Ce champ accepte les valeurs suivantes : Adresse IP V4/V6, URI
Contraintes de base :
le champ CA indique si la clé publique certifiée peut être utilisée pour vérifier les signatures de certificat (valeur TRUE) et la contrainte de longueur de chemin 0
Identificateur de la clé du sujet :
moyen d'identifier les certificats qui contiennent un hachage public SHA-1 160 bits particulier de la valeur de la chaîne de bits de la clé publique du sujet (à l'exclusion de la balise, de la longueur et du nombre de bits inutilisés).
Extension de l'utilisation améliorée des clés :
id-kp-serverAuth en cas d'authentification du serveur Web TLS
id-kp-clientAuth en cas d'authentification du client Web TLS
Certificats CA :
Utilisation des clés (marqué comme critique) :
Signature numérique
Chiffrement de clé (pas d'utilisation pour la suite TLS basée sur des clés éphémères telles que TLS_ECDHE_xxxx ; utilisation pour TLS_RSA_xxxx)
Signature des certificats de clé : lorsque la clé publique du sujet est utilisée pour vérifier les signatures sur les certificats de clé publique (valeur FALSE)
Non-répudiation (exigence de la norme OPC UA)
Chiffrement des données (exigence de la norme OPC UA)
Autre nom du sujet : Ce champ accepte les valeurs suivantes : Adresse IP V4/V6, URI
Contraintes de base :
Champ CA : indique si la clé publique certifiée peut être utilisée pour vérifier les signatures de certificat (valeur FALSE)
Extension de l'utilisation améliorée des clés :
id-kp-serverAuth en cas d'authentification du serveur Web TLS
id-kp-clientAuth en cas d'authentification du client Web TLS
Points de distribution de liste de certificats de confiance
Identificateur de clé de l'autorité :
Identification de la clé publique correspondant à la clé privée utilisée pour signer un certificat.
Configuration PKI
Utilisez la page pour spécifier les types de certificats acceptés par le serveur OPC UA intégré au module, comme suit :
Mode PKI |
Description |
|---|---|
Auto-signé uniquement |
Seuls les certificats de la liste ("liste blanche") ont à être gérés. |
CA uniquement |
Tous les équipements du système ont besoin de certificats signés par une autorité de certification. |
Auto-signé et CA |
Les certificats sont gérés comme suit :
|
Le schéma suivant illustre les actions utilisateur et les événements liés à la modification du réglage de mode PKI :
Inscription manuelle
Après avoir configuré le module BMENUA0100 dans Control Expert, vous pouvez utiliser la page pour obtenir un fichier CSR à soumettre à une autorité de certification. Après avoir envoyé le fichier CSR, vous pouvez extraire le certificat CA correspondant. Ensuite, vous pouvez insérer ce certificat CA dans le module BMENUA0100. Les opérations combinées d'obtention et d'insertion inscrivent manuellement un certificat émis par une autorité de certification tierce. Une fois le certificat inséré, le serveur OPC UA l'applique pour signer et crypter sa communication avec le client OPC UA.
Assurez-vous que le client NTP est activé.
Vérifiez que le paramètre d'heure du module BMENUA0100 est l'heure réelle.
Vous trouverez ci-dessous une vue d'ensemble du processus d'inscription manuelle d'un certificat :
1 BMENUA0100 importe un certificat CA à partir de l'autorité de certification
2 BMENUA0100 génère une demande de signature de certificat (CSR)
3 BMENUA0100 exporte le fichier CSR vers l’autorité de certification
4 L’autorité de certification exécute la requête CSR et génère un certificat
5 BMENUA0100 importe le certificat émis par l'autorité de certification
Reportez-vous à la vidéo Schneider Electric illustrant l'utilisation du mode PKI "Auto-signé et CA" sur le module BMENUA0100, disponible sur https://www.se.com/us/en/faqs/FAQ000191153/.
Gestion de liste de confiance de clients
Seuls les clients OPC UA qui ont fourni un certificat d'instance d'application au module BMENUA0100 peuvent communiquer avec le serveur OPC UA intégré au module. Le module met en oeuvre une gestion locale (basée sur le module) des certificats d'instance d'application OPC UA, lesquels sont stockés dans une liste de confiance. Utilisez les commandes des pages Web pour , ou un certificat.
Pour ajouter un certificat à la liste :
Etape |
Action |
|---|---|
1 |
Dans le menu Gestion de la liste de confiance, cliquez sur . |
2 |
Cliquez sur , puis naviguez jusqu'au certificat que vous souhaitez ajouter à la liste et sélectionnez-le. |
3 |
Cliquez sur pour ajouter le certificat. |
4 |
Cliquez sur pour enregistrer la modification dans la configuration. |
Pour supprimer un certificat de la liste :
Étape |
Action |
|---|---|
1 |
Dans la liste de confiance, cliquez sur le certificat à supprimer |
2 |
Sélectionnez . |
3 |
Cliquez sur pour supprimer le certificat de la liste. |
4 |
Cliquez sur pour enregistrer la modification dans la configuration. |
Exportation de certificats d'équipement
Vous pouvez exporter le certificat du module BMENUA0100 pour HTTPS et OPC UA sur la page en cliquant sur le bouton
Certificats CA
Le certificat d'autorité de certification est un certificat de clé publique qui identifie l'autorité de certification (CA) dans une infrastructure de clé publique (PKI). Utilisez la page pour insérer le ou les certificats d'autorité de certification dans l'équipement.
Pour ajouter un certificat de l’autorité de certification à la liste de certificats CA :
Étape |
Action |
|---|---|
1 |
Ouvrez les pages Web du module et entrez les informations suivantes dans la boîte de dialogue :
Cliquez sur . |
2 |
Sélectionnez pour accéder à l'onglet gestion des certificats, puis sélectionnez . |
3 |
Dans la liste , cliquez sur pour ajouter le certificat d'autorité de certification à la liste. |
4 |
Appliquez les modifications à la configuration de cybersécurité. |