Inhaltsverzeichnis
Werbung
Zertifikate und Schlüssel
In diesem Abschnitt werden die Security-Schlüssel und -Zertifikate thematisiert, die Sie
benötigen, um TLS, VPN (IPsec, OpenVPN) und SINEMA RC einzurichten.
• Im Gerät ist ein vorinstalliertes X.509-Zertifikat mit Schlüssel vorhanden. Ersetzen Sie
dieses Zertifikat durch ein selbst erstelltes Zertifikat mit Schlüssel. Verwenden Sie ein
Zertifikat, das entweder durch eine zuverlässige externe oder interne Zertifizierungsstelle
signiert ist.
• Nutzen Sie eine Zertifizierungsstelle inklusive Schlüsselwiderruf und -verwaltung, um die
Zertifikate zu signieren.
• Stellen Sie sicher, dass benutzerdefinierte private Schlüssel geschützt und unzugänglich
für unbefugte Personen sind.
• Ändern Sie bei Verdacht auf eine Sicherheitsverletzung sofort alle Zertifikate und
Schlüssel.
• SSH- und SSL-Schlüssel stehen Admin-Benutzern zur Verfügung. Stellen Sie sicher, dass Sie
geeignete Sicherheitsvorkehrungen ergreifen, wenn Sie das Gerät außerhalb der
vertrauten Umgebung versenden:
– Ersetzen Sie die SSH- und SSL-Schlüssel vor dem Versand durch Wegwerfschlüssel.
– Nehmen Sie die vorhandenen SSH- und SSL-Schlüssel außer Betrieb. Erstellen und
• Verwenden Sie passwortgeschützte Zertifikate im Format "PKCS #12".
• Verwenden Sie Zertifikate mit einer Schlüssellänge von 4096 Bit.
• Verifizieren Sie Zertifikate anhand des Fingerprints auf Server- und Clientseite, um "Man-
in-the-middle"-Angriffe zu verhindern. Verwenden Sie hierzu einen zweiten, sicheren
Übertragungsweg.
• Bevor Sie das Gerät zur Reparatur an Siemens zurückschicken, ersetzen Sie die aktuellen
Zertifikate und Schlüssel durch temporäre Wegwerfzertifikate und -schlüssel, die bei der
Rückkehr des Geräts zerstört werden können.
SCALANCE MUM856-1
Betriebsanleitung, 08/2021, C79000-G8900-C628-02
Programmieren Sie bei Rückkehr des Geräts neue Schlüssel für das Gerät.
Security-Empfehlungen
11
Werbung
Inhaltsverzeichnis
