Verwalten Von Ssh/Ssl-Schlüsseln Und -Zertifikaten - Siemens RUGGEDCOM ROS v5.5 Konfigurationshandbuch
Vorschau ausblenden
Andere Handbücher für RUGGEDCOM ROS v5.5:
- Konfigurationshandbuch (374 Seiten) ,
- Konfigurationshandbuch (340 Seiten) ,
- Konfigurationshandbuch (154 Seiten)
Inhaltsverzeichnis
Werbung
Sicherheit
6.5 Verwalten von SSH/SSL-Schlüsseln und -Zertifikaten
6.5
Verwalten von SSH/SSL-Schlüsseln und -Zertifikaten
RUGGEDCOM ROS nutzt Zertifikate und Schlüssel nach dem Standard X.509v3 für
den Aufbau sicherer Verbindungen für entfernte Logins (SSH) und den Web-Zugang
(SSL).
Sicherheitsgefahr – Risiko des unbefugten Zugriffs und/oder Missbrauchs
Siemens empfiehlt vor Inbetriebnahme des Geräts folgende Schritte:
•
•
Hinweis
Nur Admin-Benutzer können Zertifikate und Schlüssel in das Gerät schreiben.
Der Lieferumfang jedes RUGGEDCOM ROS-Geräts umfasst ein eindeutiges
selbstsigniertes SSL-Zertifikat auf Basis ECC 256 und ein SSH-Hostschlüsselpaar
auf Basis RSA 2048, die jeweils vom Werk generiert und bereitgestellt werden. Der
Administrator kann jederzeit neue Zertifikate und Schlüssel in das System laden, die
die bestehenden überschreiben. Zusätzlich stehen CLI-Befehle zur Verfügung, um das
SSL-Zertifikat und Schlüsselpaar sowie das SSH-Hostschlüsselpaar zu regenerieren.
In RUGGEDCOM ROS werden drei Arten von Zertifikaten und Schlüsseln verwendet:
Hinweis
Das Netzwerk sollte einem ROS-Gerät, das mit den Standardschlüsseln (wenn auch
immer nur temporär) arbeitet, nicht ausgesetzt werden. Die beste Möglichkeit, dies
zu reduzieren oder zu vermeiden, ist eine möglichst schnelle Bereitstellung von
benutzergenerierten Zertifikaten und Schlüsseln, vorzugsweise, bevor das Gerät mit
dem Netzwerk verbunden wird.
Hinweis
Die Standardzertifikate und Schlüssel werden in allen RUGGEDCOM ROS-Versionen
ohne Zertifikat- und Schlüsseldateien verwendet. Deshalb ist es wichtig, entweder
die Funktion Autogeneration für Schlüssel zuzulassen oder benutzerdefinierte
Schlüssel zur Verfügung zu stellen. Damit hat man mindestens eindeutige und
bestenfalls nachverfolgbare und prüfbare Schlüssel installiert, wenn die sichere
Kommunikation mit dem Gerät hergestellt wird.
•
138
NOTICE
Ersetzen Sie das vom Werk bereitgestellte selbstsignierte SSL-Zertifikat durch ein
von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiertes Zertifikat.
Konfigurieren Sie den SSH-Client für die Verwendung von diffie-hellman-
group14-sha1 oder besser
Anfangswert
Ein Standardzertifikat und SSL/SSH-Schlüssel sind in RUGGEDCOM ROS integriert
und sind in allen RUGGEDCOM ROS-Geräten mit dem gleichen Firmware-Image
identisch. Sind die gültigen SSL-Zertifikate oder SSL/SSH-Schlüsseldateien nicht
im Gerät verfügbar (dies ist eigentlich nur der Fall bei einem Upgrade von einer
alten ROS-Version, die benutzerkonfigurierbare Schlüssel nicht unterstützt und
daher nicht mit eindeutigen, werkgenerierten Schlüsseln ausgeliefert wurde),
RUGGEDCOM ROS v5.5
Konfigurationshandbuch, 10/2020, C79000-G8900-1467-01
Werbung
Inhaltsverzeichnis
