Zertifikate für BACnet/SC erstellen und importieren

BACnet/SC ist mit folgenden Betriebssystemen und Editionen kompatibel:

  • Microsoft Windows 10 64-Bit (Professional und Enterprise)
  • Microsoft Windows Server 2016 64-Bit (Build 1709 und höher) (Nicht unterstützt in Desigo CC V6.x)
    Hinweis: Wenn Sie versuchen, z.B. die .pfx-Datei z.B. in Windows Server 2016 Build 1607 zu importieren, wird ein Fehler aufgrund eines ungültigen Passworts angezeigt.
  • Microsoft Windows Server 2019 64-bit
  • Microsoft Windows Server 2022 64-bit

Führen Sie folgende Vorgänge nur durch, wenn Sie den BT-BACnet-Stack mit dem BACnet/Secure Connect (BACnet/SC)-Protokoll konfigurieren möchten.

BACnet/SC nutzt Zertifikate, um Ihre BACnet-Daten während der Übertragung über das Netzwerk zu verschlüsseln. Zwei Zertifikate bilden die SC-Konfiguration. Das eine ist das Zertifikat der Zertifizierungsstelle (CA oder Root), das Ihnen von ABT oder einem Drittanbieter zur Verfügung gestellt wird. Das andere Zertifikat ist das Host-Zertifikat, das Desigo CC vom CA-Zertifikat signiert ist. Das Bedienung-Zertifikat wird benötigt, um Desigo CC Teil des verschlüsselten BACnet/SC-Systems zu machen.

Für Siemens-Geräte mit ABT

ABT kann auf dem Computer installiert werden, auf dem GMS ausgeführt wird, oder auf einem anderen Computer.

Für Geräte von Drittanbietern

Verschiedene Anbieter haben ihre eigenen Prozesse für die Erstellung und den Import von Zertifikaten, wenn sich Desigo CC mit einem SC-Hub eines Anbieters verbinden soll.

Nachdem Sie eine .csr-Datei generiert haben, geben Sie diese an den Drittanbieter weiter. Dieser muss ein signiertes Zertifikat und das CA-(Root-)Zertifikat bereitstellen.

Win64 OpenSSL herunterladen

Anforderung zur Signierung des Zertifikats generieren

  1. Führen Sie auf Ihrer Managementstation die Eingabeaufforderung mit Administratorrechten aus, rufen Sie das Verzeichnis des installierten OpenSSL auf C:\program files\OpenSSL-win64\bin, und geben Sie folgenden Befehl ein:

    openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr

    Hinweis: Wenn Sie eine neuere Version von OpenSSL installieren und die Fehlermeldung „Ungültiges Passwort“ erhalten, müssen Sie Ihre Zertifikatsignieranforderung mit dem Parameter –legacy am Ende des Befehls openssl erstellen. Zum Beispiel:

    openssl req –new –newkey rsa:2048 –nodes –keyout server.key –out server.csr -legacy

    Der server.key muss privat gehalten werden.
    Füllen Sie nach der Aufforderung die Felder für Ihr Zertifikat aus. Richten Sie keine Passwortabfrage ein. Vergeben Sie einen geläufigen Namen wie MeinBACnetSCZert.

  • Es wird eine Datei server.csr erstellt, die Sie in ABT verwenden oder einem Dritten zum Signieren zur Verfügung stellen können.
  1. Signieren Sie das Zertifikat in ABT. (Als CA signiert ABT den öffentlichen Schlüssel mit seinem eigenen privaten Schlüssel und stellt ein Host-Zertifikat im Format .cer zur Verfügung.) Kopieren Sie die generierte .cer-Datei in Ihr openssl-Verzeichnis.
    Hinweis: Drittanbieter können diesen Schritt überspringen.

  1. Um eine Vertrauenskette zu bilden, klicken Sie in ABT Stammzertifikat exportieren, um ein Stammzertifikat der CA zu erhalten.
    Hinweis: Drittanbieter können diesen Schritt überspringen.

  • Eine [Projektname].crt-Datei wird erstellt und in Ihr OpenSSL-Verzeichnis kopiert.
  1. Gehen Sie sowohl bei ABT als auch bei Drittanbietern an der Eingabeaufforderung des Desigo CC-Managementstation zum OpenSSL-Verzeichnis und geben Sie den folgenden Befehl ein, um eine .pfx-Datei aus der .cer- und der .key-Datei zu generieren.

    openssl pkcs12 –export –in server.cer –inkey server.key –out server.pfx

Zertifikate für BACnet/SC auf Desigo CC-Managementplattform importieren

  1. Geben Sie in der Windows Suche Computerzertifikate verwalten (nicht Benutzerzertifikate verwalten) ein und starten Sie die Anwendung.
    Das Dialogfeld der Microsoft-Managementkonsole für Zertifikate wird angezeigt.

  1. Rechtsklicken Sie in der Struktur Zertifikate die Vertrauenswürdigen Stammzertifikatstellen, und wählen Sie Alle Aufgaben > Import.
    Das Startfenster des Assistenten Zertifikatimport wird angezeigt.

  1. Klicken Sie Weiter.
    Das Dialogfeld Dateiimport wird angezeigt.
  1. Klicken Sie Durchsuchen, wählen Sie das Stammzertifikat (CA) .crt von ABT oder dem Drittanbieter, klicken Sie Öffnen, und klicken Sie dann Weiter.
    Das Dialogfeld des Zertifikatspeichers wird angezeigt.

  1. Akzeptieren Sie den Standardspeicherort des Speichers und klicken Sie Weiter.
  1. Klicken Sie Fertigstellen und dann OK.
  1. Rechtsklicken Sie in der Struktur Zertifikate die Option Persönlich, und wählen Sie Alle Aufgaben > Import.
    Das Startfenster des Assistenten Zertifikatimport wird angezeigt.
  1. Klicken Sie Weiter.
    Das Dialogfeld Dateiimport wird angezeigt.
  1. Klicken Sie Durchsuchen, und wählen Sie ein Hostzertifikat (Dateityp pfx).

  1. Klicken Sie Öffnen und dann Weiter.
    Das Dialogfeld zum Schutz durch einen privaten Schlüssel wird angezeigt.

  1. Wenn es ein Passwort für dieses Zertifikat gibt, geben Sie es ein. Wählen Sie Diesen Schlüssel als exportierbar markieren, und klicken Sie dann Weiter.
    Hinweis: Aktivieren Sie nicht den starken Schutz durch einen privaten Schlüssel. Wenn Ihre Sicherheitsrichtlinie ihn automatisch aktiviert, müssen Sie den Windows-Dienst, der die Desigo CC-Dienste ausführt, verändern, sodass er unter einem Benutzerkonto mit Administratorrechten läuft.

  1. Akzeptieren Sie im Dialogfeld des Zertifikatspeichers den Standardspeicher und klicken Sie dann Weiter.
  1. Klicken Sie Fertigstellen und dann OK.
  • Die beiden Zertifikate, die Sie importiert haben, sind bereit für die Nutzung während der Konfiguration des BT-BACnet-Stacks.
  1. Löschen oder sichern Sie im OpenSSL-Verzeichnis den server.key.