Sicherheitskonfiguration
Die folgenden Komponenten der Software WAGO Solution Builder können bei entsprechender Konfiguration sicher, das heißt verschlüsselt, miteinander kommunizieren:
- Webbrowser (mit der grafischen Benutzeroberfläche der software WAGO Solution Builder)
- WAGO Solution Builder Server
- Device Communication Server
- PostgreSQL Datenbank Server
Hierfür werden entsprechende Zertifikatsdateien benötigt sowie eine korrekte Konfiguration der Einzelkomponenten. Der Installationsprozess erzeugt optional die Ersteinrichtung für eine verschlüsselte Kommunikation und passende Zertifikate. Diese Zertifikate sind als „temporär“ anzusehen und dienen dazu, eine funktionsfähige, zertifikatsbasierte Verschlüsselung darzustellen.
Beim Installationsprozess werden die folgenden Zertifikate erzeugt:
Zertifikat | Dateiname | Beschreibung |
|---|---|---|
1 | WAGO_Solution_Builder_Installer.pem | Privatschlüssel und Zertifikat des „root CA“ in einer Datei |
2 | WAGO_Solution_Builder_Installer.crt | Zertifikat des „root CA“, extrahiert aus der .pem-Datei |
3 | server.key | Privatschlüssel eines Servers |
4 | server.crt | Zertifikat eines Servers |
Die Dateien werden im Ordner C:\ProgramData\WAGO Software\WAGO Solution Builder\Certificates abgelegt und in der jeweiligen Komponentenkonfigurationen verwendet. Das Zertifikat „root CA“ wird automatisch als „vertrauenswürdiges Zertifikat“ in den Zertifikatsmanager von Windows importiert. Dies ist notwendig, damit die erzeugten Serverzertifikate in den Komponenten und in den verschiedenen Browsern akzeptiert werden.
Sobald die Software WAGO Solution Builder produktiv genutzt wird, sollte auf öffentliche Zertifikate zurückgegriffen werden, die von der IT-Abteilung Ihres Unternehmens bereitgestellt werden. In dieser Produktivumgebung sind die folgenden Dateien notwendig (siehe auch Tabelle):
- WAGO_Solution_Builder_Installer.crt
- server.key
- server.crt
Diese drei Dateien müssen auf jeden Server kopiert werden, beziehungsweise dort physikalisch vorhanden sein. Zudem sollte Ihre IT-Abteilung dafür sorgen, dass vertrauenswürdige Zertifikate „root CA“ hinterlegt sind. Das beim Installationsprozess importierte Zertifikat sollte aus Sicherheitsgründen abschließend wieder entfernt werden.
Zur Konfiguration einer Produktivumgebung gibt es zwei Alternativen:
- Die offiziellen Zertifikatsdateien unter den bestehenden Namen im Zertifikatsordner ablegen. Es ist keine Änderung in den Serverkonfigurationen notwendig.
- Die Namen der offiziellen Zertifikatsdateien belassen und die Dateipfade in den Serverkonfigurationen anpassen.
Die nachfolgenden Serverkonfigurationen sind möglich:
Server | Pfad | Beschreibung |
|---|---|---|
WAGO Solution Builder | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ WSB\Config\customSecurity.json | „Path“ und „KeyPath“ durch eigene Dateinamen ersetzen. Hier kann auch die URL eingestellt werden, unter der die Software WAGO Solution Builder erreichbar ist. Der „Common Name (CN)“ des verwendeten Serverzertifikats muss mit dem „SYSTEM-USERNAME“ in der PostgreSQL-Konfiguration übereinstimmen. |
WAGO Device Communication Server | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ DCS\Config\customSecurity.json | „Path“ und „KeyPath“ durch eigene Dateinamen ersetzen. Hier kann auch die URL eingestellt werden, unter der der WAGO Device Communication Service erreichbar ist. |
WAGO Solution Builder PostgreSQL Datenbank | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\postgresql.conf | Die Pfade in den Zeilen mit ssl_ca_file, ssl_cert_file, ssl_key_file durch eigene Dateinamen ersetzen. |
C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\pg_ident.conf | Der Name unter „SYSTEM-USERNAME“ entspricht dem „Common Name (CN)“ des zugreifenden Serverzertifikats. Dieser Name muss identisch sein mit dem Serverzertifikat der Software WAGO Solution Builder. Die Zeile „localhost“ kann gelöscht werden. | |
C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\pg_hba.conf | Hier sind die Zugriffsarten definiert. Die Zeile vom Typ „hostssl“ ist relevant für den verschlüsselten Zugriff. Die restlichen Zeilen dienen dem lokalen Zugriff mit Passwortschutz. Nach Bedarf können auch diese Zeilen gelöscht werden. |
Nach jeder Anpassung ist ein Neustart des entsprechenden Dienstes notwendig. Hierzu das Programm „Dienste“ öffnen und einen Neustart auslösen.
Information zum sicheren Browserzugriff auf die Software WAGO Solution Builder
Die Browser Edge und Chrome verwenden den Zertifikatsmanager von Windows, um ein Zertifikat ohne weitere Einstellungen zu verifizieren. Im Browser Firefox muss der Zugriff auf den Zertifikatsmanager von Windows explizit freigegeben werden. Der Browser Firefox muss nach jeder Installation eines neuen Zertifikates neu gestartet werden, damit ein neues „root CA“ erkannt wird.
Schritte zur Einstellung in Firefox:
- Geben Síe in der Adresszeile about:config ein.
- Akzeptieren Sie die Meldung zu möglichen Risiken.
- Geben Sie in der Zeile „Filter“ security.enterprise_roots.enabled ein.
- Setzen Sie den Parameter auf die Einstellung true.
- Führen Sie einen Neustart durch.