Communication Security
5.2 DIGSI 5 Client-Authentifizierung
2c
Bestätigungscodes für sicherheitskritische Handlungen (Funktion wie gehabt)
3
Kommunikation mit gegenseitiger Authentifizierung und Verschlüsselung zwischen DIGSI 5 und
dem SIPROTEC 5-Gerät
Beim Aufbau der Verbindung mit einem SIPROTEC 5-Gerät übergibt DIGSI 5 sein digitales Client-Zertifikat (im
Folgenden Client-Zertifikat genannt) an das Gerät zur Authentifizierung. Wenn Sie für Ihre DIGSI 5-Installa-
tion statt der Siemens-Standardzertifikate ein eigenes Client-Zertifikat verwenden möchten, dann benötigen
Sie eine Public Key Infrastructure (PKI) mit einer betriebsbereiten Certificate Authority (CA) für die Erstellung
oder digitale Signierung solcher Client-Zertifikate. Weitere Informationen zur Installation einer PKI für Ihre
betrieblichen Anforderungen finden Sie im Handbuch SICAM GridPass
gridpass).
Vor der Verwendung der Funktion zur Client-Authentifizierung in DIGSI müssen Sie zuerst die Windows-Benut-
zerkonten, die für die Verwendung von DIGSI 5 autorisiert sind, konfigurieren und entsprechend auch die
SIPROTEC 5-Geräte.
Um die neue Funktion DIGSI Client-Authentifizierung zu konfigurieren, gehen Sie wie folgt vor:
•
Richten Sie einen DIGSI 5 CA-Store (CA = Certificate Authority) ein.
•
Konfigurieren Sie die Sicherheitsfunktion DIGSI 5 Client-Authentifizierung.
•
Verifizieren Sie die konfigurierte CA über einen Web-Browser.
Weitere Informationen zu diesen Schritten finden Sie in den folgenden Kapiteln.
Konfiguration
5.2.2
5.2.2.1
DIGSI 5 CA-Store einrichten
Um eigene Client-Zertifikate zu verwenden, müssen Sie DIGSI 5 zuerst das entsprechende Zertifikat der
ausgebenden CA mitteilen. Das ist die CA, mit der Sie die Client-Zertifikate erstellen, die Sie (neben den
entsprechenden Private Keys) auf allen für die Nutzung von DIGSI 5 autorisierten Windows-Benutzerkonten
installieren.
Dazu müssen Sie Ihre ausgebende CA zum DIGSI 5 CA-Speicher hinzufügen. Der DIGSI 5 CA-Speicher
verwaltet eine Liste aller CAs, die für Dienste konfiguriert werden können, die eine sichere Authentifizierung
basierend auf Ihrer PKI erfordern.
Sie können auf den DIGSI 5 CA-Speicher über das Menü Werkzeuge > Certificate Authorities (CA)
verwalten zugreifen:
[sc_Manage_CA, 1, de_DE]
Es gibt 2 Möglichkeiten, eine bestehende Zertifizierungsstelle (CA) zum DIGSI 5 CA-Speicher hinzuzufügen:
•
Import der CA aus dem Windows System CA-Speicher
•
Import aus einer Datei
Import der CA aus dem Windows System CA-Speicher
Wenn Sie Ihre ausgebende CA bereits im Windows CA-Speicher installiert haben, können Sie diese von
²
dort importieren. Öffnen Sie die Registerkarte Windows System CA-Speicher und wählen Sie die CA aus,
die Sie zum DIGSI 5 CA-Speicher hinzufügen möchten.
52
(http://www.siemens.com/sicam-
SIPROTEC 5, Sicherheit, Handbuch
C53000-H5000-C081-2, Ausgabe 12.2019