Générés Automatiquement - Siemens SIMATIC NET Manuel De Configuration

Security
6.5 Gestion des clés et des certificats SSH/SSL
Chaque appareil RUGGEDCOM ROS est livré avec un certificat SSL auto-signé unique
ECC 256 et une paire de clés d'hôte RSA 2048 SSH générés et mis en service en
usine. L'administrateur peut charger un nouveau certificat et de nouvelles clés
qui écraseront ceux qui existent dans le système à tout moment. En outre, des
commandes CLI sont disponibles pour regénérer des certificats et des paires de clés
SSL ainsi que la paire de clés SSL d'hôte.
Il existe trois types de certificats et de clés utilisés dans RUGGEDCOM ROS :
Remarque
L'exposition d'un réseau à une unité ROS fonctionnant avec des clés par défaut
doit être évitée, même si elles sont toujours conçues pour être temporaires. La
meilleure manière de réduire ou d'éliminer cette exposition est de mettre en service
un certificat et des clés créés par l'utilisateur aussi rapidement que possible, de
préférence avant que l'unité ne soit en service dans le réseau.
Remarque
Par défaut, les certificats et les clés sont communs à toutes les versions de
RUGGEDCOM ROS sans certificat ou fichier de clé. C'est la raison pour laquelle il est
important d'autoriser la génération automatique de clés pour compléter ou mettre
en service des clés personnalisées. De cette manière, des clés au moins uniques
et au mieux traçables et vérifiables sont installées lors de l'établissement d'une
communication sécurisée avec l'unité.
•
•
•
130
Par défaut
Un certificat par défaut et des clés SSL/SSH sont intégrés au RUGGEDCOM ROS
et répandus dans toutes les unités RUGGEDCOM ROS partageant la même
image de firmware. Si aucun certificat SSL et aucun fichier SSL/SSH valide n'est
disponible sur l'appareil (comme c'est généralement le cas uniquement lors
de la mise à niveau depuis une ancienne version de ROS ne prenant pas en
charge les clés configurables par l'utilisateur et n'étant donc pas livrée avec des
clés uniques générées en usine), le certificat et les clés par défaut sont activés
temporairement afin que les sessions SSH et SSL (HTTPS) puissent être exécutées
jusqu'à ce que des clés générées ou mises en service soient disponibles.
Générés automatiquement
Si un certificat SSL et des clés SSL/SSH par défaut sont utilisés, RUGGEDCOM ROS
commence immédiatement à générer un certificat et des clés SSL/SSH uniques
pour l'appareil en arrière-plan. Si un certificat et des clés personnalisés sont
chargés pendant que des certificats et des clés générés automatiquement sont
en cours de génération, le générateur annule l'opération et le certificat et les clés
personnalisés sont utilisés.
Personnalisés (recommandé)
Les certificats et les clés personnalisés constituent l'option la plus sécurisée.
Ils donnent à l'utilisateur un contrôle complet de la gestion des certificats et
de clés, permettent la mise en service de certificats signés par une autorité de
certification publique ou locale, activent un accès strictement contrôlé aux clés
privées et permettent la répartition autoritaire de certificats SSL, de tout certificat
de CA et de clés SSH publiques.
RUGGEDCOM ROS v5.5
Manuel de configuration, 10/2020, C79000-G8977-1461-01