Siemens SIMATIC ET 200AL Manual página 1378
Ocultar thumbs
Ver también para SIMATIC ET 200AL:
- Manual de sistema (2080 páginas) ,
- Instrucciones de servicio resumidas (98 páginas) ,
- Manual de producto (91 páginas)
Publicidad
El servicio en cuestión, p. ej. el servidor OPC UA de la CPU, obtiene un certificado válido en los
pasos siguientes:
1. Un cliente GDS (cliente OPC UA) llama el método "CreateSigningRequest" para solicitar un
certificado de servidor con una Certificate Signing Request (CSR).
2. Dicha CSR debe ser firmada por una Certificate Authority (CA).
3. Seguidamente, la CSR firmada debe devolverse al servidor OPC UA de la CPU como
certificado.
El servidor OPC UA de la CPU facilita este método, siempre que el cliente tenga el derecho de
acceso a funciones "Administrar certificados", necesario para tal fin.
El método "CreateSigningRequest" admite las variantes siguientes:
• Actualización de certificados sin generar una nueva pareja de claves (se utilizan las claves
internas de la CPU que ya existen)
• Actualización de certificados generando una nueva pareja de claves (internas de la CPU)
Además, existe la posibilidad de generar certificados con parejas de claves creadas
externamente.
ATENCIóN
Procedimiento recomendado para la generación de certificados
En la medida de lo posible debe evitarse un transporte de claves privadas; una clave privada
no debe salir de un dispositivo.
Por este motivo se recomienda generar los certificados sin crear una nueva pareja de claves o
creando una pareja de claves dentro de la CPU.
Generar un certificado sin pareja de claves
• El método "CreateSigningRequest" devuelve una Certificate Signing Request (CSR), es
decir, un archivo (*.csr) con información específica del servidor o del servicio, p. ej., el
nombre de la aplicación y la URL.
• Fuera de la CPU, esta CSR debe ser validada y firmada por una Certificate Authority (CA) y,
a continuación, el certificado debe devolverse.
• Después, el certificado debe transferirse a la CPU con el método "UpdateCertificate"
(función Push).
Con este procedimiento, la clave no sale de la CPU.
Generar un certificado con pareja de claves creadas internamente
El procedimiento es similar al explicado en el apartado anterior; la única diferencia es que,
además de la CSR, se genera una pareja de claves. En el parámetro del método
"CreateSigningRequest" debe indicarse que se quiere crear una pareja de claves.
Con este procedimiento, la clave privada tampoco sale de la CPU.
La generación de una nueva pareja de claves produce una carga masiva en la CPU. La CPU
procesa esta petición durante un intervalo de tiempo prolongado con menor prioridad en el
área reservada a la carga por comunicación. La duración de este intervalo de tiempo depende
de la capacidad de prestaciones de la CPU.
Puesto que durante la generación de claves el porcentaje de carga por comunicación
configurado queda plenamente ocupado durante un tiempo prolongado, ajuste el porcentaje
de "Carga del ciclo por comunicación" de modo que no se exceda el tiempo de ciclo máximo y
haya reservas suficientes. Utilice para ello, por ejemplo, la página del servidor web
"Diagnostics > Runtime Information" ("Diagnóstico > Información sobre el tiempo de
ejecución") de la CPU. En ella encontrará información actual sobre la carga por programa/por
Comunicación
Manual de funciones, 11/2022, A5E03735817-AK
Comunicación OPC UA
10.2 Seguridad en OPC UA
197
Publicidad
