Configuration de sécurité
Avec une configuration appropriée, les composants suivants du logiciel WAGO Solution Builder peuvent communiquer entre eux de manière sécurisée, c'est-à-dire cryptée :
- Navigateur Web (avec l'interface utilisateur graphique du logiciel WAGO Solution Builder)
- WAGO Solution Builder Server
- Device Communication Server
- Base de données PostgreSQL Server
Pour cela, des fichiers de certificat correspondants sont nécessaires ainsi qu'une configuration correcte des composants individuels. En option, le processus d'installation crée la configuration initiale pour une communication cryptée et des certificats appropriés. Ces certificats sont considérés comme « temporaires » et servent à représenter un cryptage fonctionnel basé sur des certificats.
Lors du processus d'installation, les certificats suivants sont générés :
Certificat | Nom du fichier | Description |
|---|---|---|
1 | WAGO_Solution_Builder_Installer.pem | Clé privée et certificat du « root CA » dans un fichier |
2 | WAGO_Solution_Builder_Installer.crt | Certificat du « root CA », extrait du fichier .pem |
3 | server.key | Clé privée d'un serveur |
4 | server.crt | Certificat d'un serveur |
Les fichiers sont stockés dans le dossier C:\ProgramData\WAGO Software\WAGO Solution Builder\Certificates et utilisés dans les configurations de composants correspondantes. Le certificat racine CA est automatiquement importé en tant que certificat approuvé dans le gestionnaire de certificats Windows. Cela est nécessaire pour que les certificats de serveur générés soient acceptés dans les composants et dans les différents navigateurs.
Dès que le logiciel WAGO Solution Builder est utilisé de manière productive, il est recommandé d'utiliser les certificats publics fournis par le service informatique de votre entreprise. Dans cet environnement de production, les fichiers suivants sont nécessaires (voir aussi tableau) :
- WAGO_Solution_Builder_Installer.crt
- server.key
- server.crt
Ces trois fichiers doivent être copiés sur chaque serveur ou y être physiquement présents. De plus, votre service informatique doit s'assurer que des certificats de confiance sont déposés sous « root CA ». Le certificat importé lors du processus d'installation doit ensuite être à nouveau supprimé pour des raisons de sécurité.
Pour configurer un environnement de production, il existe deux possibilités :
- Placer les fichiers de certificat officiels sous les noms existants dans le dossier de certificats. Aucune modification n'est nécessaire dans les configurations de serveur.
- Conserver les noms des fichiers de certificat officiels et adapter les chemins d'accès aux fichiers dans les configurations de serveur.
Les configurations de serveur suivantes sont possibles :
Serveur | Chemin | Description |
|---|---|---|
WAGO Solution Builder | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ WSB\Config\customSecurity.json | Remplacer Path et KeyPath par leurs propres noms de fichiers. Vous pouvez également paramétrer ici l'URL sous laquelle le logiciel WAGO Solution Builder est accessible. Le Common Name (CN) du certificat de serveur utilisé doit correspondre au SYSTEM-USERNAME dans la configuration PostgreSQL. |
WAGO Device Communication Server | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ DCS\Config\customSecurity.json | Remplacer Path et KeyPath par leurs propres noms de fichiers. Vous pouvez également paramétrer ici l'URL sous laquelle le service de communication d'appareil WAGO est accessible. |
Base de données PostgreSQL WAGO Solution Builder | C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\postgresql.conf | Remplacer les chemins d'accès dans les lignes avec ssl_ca_file, ssl_cert_file, ssl_key_file par leurs propres noms de fichier. |
C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\pg_ident.conf | Le nom sous « SYSTEM-USERNAME » correspond au « Common Name (CN) » du certificat du serveur d'accès. Ce nom doit être identique au certificat de serveur du logiciel WAGO Solution Builder. La ligne « localhost » peut être supprimée. | |
C:\ProgramData\WAGO Software\ WAGO Solution Builder\ postgres\data\pg_hba.conf | Les types d'accès sont définis ici. La ligne « hostssl » concerne l'accès chiffré. Les autres lignes servent à l'accès local avec protection par mot de passe. Ces lignes peuvent également être supprimées si nécessaire. |
Après chaque réglage, le service correspondant doit être redémarré. Pour ce faire, ouvrez le programme « Services » et redémarrez-le.
Information sur l'accès sécurisé du navigateur au logiciel WAGO Solution Builder
Les navigateurs Edge et Chrome utilisent le gestionnaire de certificats Windows pour vérifier un certificat sans paramètres supplémentaires. Dans le navigateur Firefox, l'accès au gestionnaire de certificats de Windows doit être explicitement autorisé. Le navigateur Firefox doit être redémarré après chaque installation d'un nouveau certificat pour qu'un nouveau « root CA » soit détecté.
Étapes pour le paramétrage dans Firefox :
- Saisissez about:config dans la ligne d'adresse.
- Acceptez le message sur les risques possibles.
- Dans la ligne « Filtre », saisissez security.enterprise_roots.enabled .
- Réglez le paramètre sur true.
- Redémarrez.