Werbung
Hinweis
Nur Admin-Benutzer können Zertifikate und Schlüssel in das Gerät schreiben.
Der Lieferumfang jedes RUGGEDCOM ROS-Geräts umfasst ein eindeutiges
selbstsigniertes SSL-Zertifikat auf Basis ECC 256 und ein SSH-Hostschlüsselpaar
auf Basis RSA 2048, die jeweils vom Werk generiert und bereitgestellt werden. Der
Administrator kann jederzeit neue Zertifikate und Schlüssel in das System laden, die
die bestehenden überschreiben. Zusätzlich stehen CLI-Befehle zur Verfügung, um das
SSL-Zertifikat und Schlüsselpaar sowie das SSH-Hostschlüsselpaar zu regenerieren.
In RUGGEDCOM ROS werden drei Arten von Zertifikaten und Schlüsseln verwendet:
Hinweis
Das Netzwerk sollte einem ROS-Gerät, das mit den Standardschlüsseln (wenn auch
immer nur temporär) arbeitet, nicht ausgesetzt werden. Die beste Möglichkeit, dies
zu reduzieren oder zu vermeiden, ist eine möglichst schnelle Bereitstellung von
benutzergenerierten Zertifikaten und Schlüsseln, vorzugsweise, bevor das Gerät mit
dem Netzwerk verbunden wird.
Hinweis
Die Standardzertifikate und Schlüssel werden in allen RUGGEDCOM ROS-Versionen
ohne Zertifikat- und Schlüsseldateien verwendet. Deshalb ist es wichtig, entweder
die Funktion Autogeneration für Schlüssel zuzulassen oder benutzerdefinierte
Schlüssel zur Verfügung zu stellen. Damit hat man mindestens eindeutige und
bestenfalls nachverfolgbare und prüfbare Schlüssel installiert, wenn die sichere
Kommunikation mit dem Gerät hergestellt wird.
•
•
•
RUGGEDCOM ROS v5.6
Konfigurationshandbuch, 01/2022, C79000-G8900-1509-01
Anfangswert
Ein Standardzertifikat und SSL/SSH-Schlüssel sind in RUGGEDCOM ROS integriert
und sind in allen RUGGEDCOM ROS-Geräten mit dem gleichen Firmware-Image
identisch. Sind die gültigen SSL-Zertifikate oder SSL/SSH-Schlüsseldateien nicht
im Gerät verfügbar (dies ist eigentlich nur der Fall bei einem Upgrade von einer
alten ROS-Version, die benutzerkonfigurierbare Schlüssel nicht unterstützt und
daher nicht mit eindeutigen, werkgenerierten Schlüsseln ausgeliefert wurde),
werden die Standardzertifikate und Schlüssel temporär eingesetzt, so dass die
SSH- und SSL-Sitzungen (HTTPS) genutzt werden können, bis generierte oder
mitgelieferte Schlüssel verfügbar sind.
Autogeneriert
Werden standardmäßige SSL-Zertifikate und SSL/SSH-Schlüssel verwendet,
beginnt RUGGEDCOM ROS im Hintergrund sofort mit der Erstellung eines
eindeutigen Zertifikats und SSL/SSH-Schlüssels für das Gerät. Werden
benutzerdefinierte Zertifikate und Schlüssel geladen, während das Gerät
Zertifikate und Schlüssel autogeneriert, bricht der Generator den Schritt ab und
die benutzerdefinierten Zertifikate und Schlüssel werden verwendet.
Benutzerdefiniert (empfohlen)
Benutzerdefinierte Zertifikate und Schlüssel sind die sicherste Option. Sie
geben dem Benutzer absolute Kontrolle über die Verwaltung von Zertifikaten
6.5 Verwalten von SSH/SSL-Schlüsseln und -Zertifikaten
Sicherheit
159
Werbung
