Oliver Winzenried, Wibu Systems: "Das Ausrollen und Verwalten von Zertifikaten wird zur Kernfrage des gesamten Sicherheitskonzeptes."

© Wibu

Neu ist, dass die Sicherheitsmechanismen direkt in die entsprechenden Kommunikations-Stacks integriert wurden. Mit anderen Worten: Jeder, der ein OPC-UA-fähiges Gerät oder eine OPC-UA-fähige Software anbietet, bekommt diese Sicherheitsmechanismen frei Haus geliefert. Lediglich die Verwaltung der X.509-Zertifikate muss von den Konfigurationstools der Hersteller implementiert werden.

Genau an dieser Stelle tut sich allerdings eine weitere Problematik auf: Denn laut Oliver Winzenried ist das Ausrollen, Verwalten und Erneuern der Zertifikate gerade in eingebetteten Systemen, die in einem Schaltschrank installiert sind, meist selbst keine Benutzeroberfläche haben und oft nicht einmal ein Dateisystem besitzen, heute noch eine Herausforderung, mit der sich die Hersteller schwer tun und für die bisher keine einheitliche Lösung existiert.

Vor diesem Hintergrund arbeitet die OPC Foundation aktuell mit Hochdruck an einer Lösung, um die Zusammenarbeit von OPC-UA-Geräten und -Anwendungen mit den Tools zum Verwalten von X.509-Zertifikaten zu standardisieren. Hierbei wird von zwei Ansätzen ausgegangen:

• Das UA-Gerät holt sich seine Zertifikate von einer zentralen Stelle selbstständig ab (pull model) oder
• ein zentraler Server versorgt alle Geräte im Netzwerk mit entsprechenden Zertifikaten (push model).

Die Administration kann somit an einer zentralen Stelle erfolgen, ähnlich wie bei einem Domain-Controller. Trotzdem sind auch die Hersteller der OPC-UA-fähigen Applikationen und Konfigurationstools gefragt: Sie müssen diese Schnittstelle integrieren und ihre Konfigurationstools mit verständlichen Oberflächen ausstatten. Genau an dieser Stelle setzt eine Zusammenarbeit von Ascolab und Wibu-Systems an – nämlich bestehende und etablierte Tools zur Verwaltung und Verteilung von Zertifikaten, Rechten und Rollen mit standardisierten OPC-UA-konformen Schnittstellen auszustatten und praxistaugliche Konzepte zum Verteilen der Zertifikate zu erarbeiten.

Wie eine solche Lösung konkret aussehen kann, zeigt Wibu-Systems am Messestand in Halle 7 (Stand 640) anhand einer Demo: Gespeichert werden die Zertifikate dabei in sogenannten CmContainern, die entweder in einem Smartcard-basierten Dongle liegen oder in einer wiederum signierten und verschlüsselten Datei. Diese Datei, auch CmActLicense genannt, wird an das Zielsystem durch Aktivierung gebunden und ist dann nur auf diesem System nutzbar. Ein ähnliches Verfahren ist von der Aktivierung von Software wie Microsoft Windows oder Adobe Acrobat bekannt. Ist der Container einmal auf dem Zielsystem – also einem Sensor, Aktor oder einer Steuerung – vorhanden, so lässt er sich eindeutig identifizieren. Dadurch können Zertifikate automatisiert verteilt werden und liegen gesichert auf dem Zielsystem – unabhängig davon, ob eine Hardware von Wibu-Systems zum Einsatz kommt, oder die rein softwarebasierte Variante. Die Hardware selbst ist für viele Schnittstellen, wie USB, (µ)SD, CF oder CFast, verfügbar.