Inhaltsverzeichnis
Werbung
Kapitel 3
Geräetemanagement
Jedes RUGGEDCOM ROS-Gerät wird mit einem eindeutigen SSH-Hostschlüsselpaar auf RSA-2048-Basis und
einem selbstsignierten Zertifikat auf RSA-2048-Basis ausgeliefert, die vom Werk generiert und bereitgestellt
werden. Der Administrator kann jederzeit neue Zertifikate und Schlüssel in das System laden, die die bestehenden
überschreiben. Zusätzlich stehen CLI-Befehle zur Verfügung um das SSL-Zertifikat und Schlüsselpaar sowie das
SSH-Hostschlüsselpaar zu regenerieren.
In RUGGEDCOM ROS werden drei Arten von Zertifikaten und Schlüsseln verwendet:
HINWEIS
Das Netzwerk sollte einem ROS-Gerät, das mit den Standardschlüsseln (wenn auch immer nur
temporär) arbeitet, nicht ausgesetzt werden. Die beste Möglichkeit, dies zu reduzieren oder zu
vermeiden, ist eine möglichst schnelle Bereitstellung von benutzergenerierten Zertifikaten und
Schlüsseln, vorzugsweise, bevor das Gerät mit dem Netzwerk verbunden wird.
HINWEIS
Die Standard-Zertifikate und Schlüssel werden in allen RUGGEDCOM ROS-Versionen ohne Zertifikat-
und Schlüsseldateien verwendet. Deshalb ist es wichtig, entweder die Funktion Autogeneration für
Schlüssel zuzulassen oder benutzerdefinierte Schlüssel zur Verfügung zu stellen. Damit hat man
mindestens eindeutige und bestenfalls nachverfolgbare und prüfbare Schlüssel installiert, wenn die
sichere Kommunikation mit dem Gerät hergestellt wird.
• Standard
Ein Standardzertifikat und SSL/SSH-Schlüssel sind in RUGGEDCOM ROS integriert und sind in allen RUGGEDCOM
ROS-Geräten mit dem gleichen Firmware-Image identisch. Sind die gültigen SSL-Zertifikate oder SSL/SSH-
Schlüsseldateien nicht im Gerät verfügbar (dies ist eigentlich nur der Fall bei einem Upgrade von einer alten
ROS-Version, die benutzerkonfigurierbare Schlüssel nicht unterstützt und daher nicht mit eindeutigen,
werkgenerierten Schlüsseln ausgeliefert wurde), werden die Standard-Zertifikate und Schlüssel temporär
eingesetzt, so dass die SSH- und SSL-Sitzungen (HTTPS) genutzt werden können, bis generierte oder
mitgelieferte Schlüssel verfügbar sind.
• Autogeneriert
Werden Standard-SSL-Zertifikate und SSL-/SSH-Schlüssel verwendet, beginnt RUGGEDCOM ROS im Hintergrund
sofort mit der Erstellung eines eindeutigen Zertifikats und SSL-/SSH-Schlüssel für das Gerät. Dieser Schritt kann
einige Minuten dauern, je nach Länge des angeforderten Schlüssels und je nach Auslastung des Geräts zu
dem Zeitpunkt. Werden benutzerdefinierte Zertifikate und Schlüssel geladen, während das Gerät Zertifikate
und Schlüssel autogeneriert, bricht der Generator den Schritt ab und die benutzerdefinierten Zertifikate und
Schlüssel werden verwendet.
• Benutzerdefiniert (empfohlen)
Benutzerdefinierte Zertifikate und Schlüssel sind die sicherste Variante. Sie geben dem Benutzer absolute
Kontrolle über die Verwaltung von Zertifikaten und Schlüsseln, ermöglichen die Bereitstellung von Zertifikaten,
die von einer öffentlichen oder lokalen Certificate Authority signiert sind, vergebken streng kontrollierte
Zugriffsrechte auf geheime Schlüssle und erlauben die verbindliche Verteilung von SSL-Zertifikaten, allen CA-
Zertifikaten und öffentlichen SSH-Schlüsseln.
HINWEIS
Der geheime RSA-Schlüssel oder EC-Schlüssel, der dem SSL-Zertifikat entspricht, muss dem Zertifikat in
der Datei ssl.crt angehängt werden.
INHALT
•
Abschnitt 3.4.1, „SSL-Zertifikate"
•
Abschnitt 3.4.2, „SSH-Host-Schlüssel"
•
Abschnitt 3.4.3, „Verwalten von öffentlichen SSH-Schlüsseln"
50
Verwalten von SSH--Schlüsseln, SSL-Schlüsseln und
RUGGEDCOM ROS
Benutzerhandbuch
Zertifikaten
- Quicklinks:
- Merkmale und Vorteile
- Login (Anmelden)
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
