Descargar Imprimir esta página

Siemens SIMATIC ET 200AL Manual De Sistema página 754

Sistema de periferia descentralizada
Ocultar thumbs Ver también para SIMATIC ET 200AL:

Publicidad

Manejo de certificados de servidor web para las CPU S7-1500 a partir del firmware V2.0
Para las CPU S7-1500 con versión de firmware anterior a V2.0, al ajustar las propiedades
del servidor web sin requisitos es posible que se haya elegido la opción "Permitir acceso
solo vía HTTPS".
Con estas CPU no es necesario ocuparse del manejo de certificados; la propia CPU genera
automáticamente los certificados necesarios para el servidor web.
Con las CPU S7-1500 con firmware V2.0 o superior, STEP 7 genera el certificado de
servidor (certificado de entidad final) para la CPU. En las propiedades de la CPU (Servidor
web > Seguridad del servidor) se asigna un certificado de servidor al servidor web.
Dado que siempre hay un nombre de certificado de servidor predeterminado, la sencilla
configuración del servidor web no varía: Active el servidor web y la opción "Permitir acceso
solo vía HTTPS". Al compilar, STEP 7 generará un certificado de servidor con el nombre
predeterminado.
Tanto si se utiliza el administrador de certificados en los ajustes globales de seguridad como
si no, STEP 7 dispone de toda la información necesaria para generar el certificado de
servidor.
Además existe la posibilidad de determinar las propiedades del certificado de servidor, p. ej.,
su nombre o su periodo de validez.
Cargar el certificado del servidor web
Al cargar la configuración hardware en la CPU, se carga también automáticamente el
certificado de servidor creado por STEP 7.
● Si se utiliza el administrador de certificados en los ajustes globales de seguridad, la
entidad emisora del proyecto (certificado CA) firma el certificado de servidor del servidor
web. En el momento de la carga se carga también automáticamente el certificado CA del
proyecto.
● Si no utiliza el administrador de certificados en los ajustes globales de seguridad, STEP 7
generará el certificado de servidor como certificado autofirmado.
Si se direcciona el servidor web de la CPU a través de la dirección IP de la CPU, cada vez
que se cambie la dirección IP de una interfaz Ethernet de la CPU será necesario generar y
cargar un nuevo certificado de servidor (certificado de entidad final). La razón es que al
cambiar la dirección IP cambia también la identidad de la CPU y, conforme a las reglas de
PKI, esta debe certificarse (firmarse).
Es posible evitar este problema direccionando la CPU mediante un nombre de dominio en
lugar de hacerlo con su propia dirección IP, p. ej., "myconveyer-cpu.room13.myfactory.com".
Para ello deberá administrar los nombres de los dominios de las CPU mediante un servidor
DNS.
Enviar un certificado CA del servidor web al navegador web
El usuario que accede vía HTTPS a las páginas web de la CPU debe instalar el certificado
CA de la CPU en el navegador web. Si el certificado no está instalado, se mostrará una
advertencia con la recomendación de no usar la página. Para ver la página, el usuario tiene
que "Agregar una excepción" de forma explícita.
El usuario puede descargar un certificado raíz (Certification Authority) válido de la página
web "Introducción" del servidor web en "Descargar certificado".
STEP 7 ofrece otra posibilidad para ello: Exporte el certificado CA del proyecto con el
administrador de certificados en los ajustes globales de seguridad de STEP 7. A
continuación importe el certificado CA al navegador.
Comunicación
Manual de funciones, 12/2017, A5E03735817-AF
Servicios de comunicación
3.6 Secure communication
55

Publicidad

loading