Expander Kommunikationssicherheit (auf Client/FEP)

Beim Erstellen oder Bearbeiten eines Client/FEP-Projekts können Sie im Expander Kommunikationssicherheit die Einzelheiten der Serverkommunikation konfigurieren.

Auf dem Client/FEP ist der Expander Kommunikationssicherheit nur während der Erstellung eines Client/FEP-Projekts und seiner Bearbeitung aktiviert.

  • Wenn Sie im automatischen Konfigurationsmodus ein Serverprojekt wählen, umfassen die Sicherheitseinstellungen den Kommunikationsmodus, den Server-Proxy-Port und den Zertifikattyp und werden mit denselben Angaben konfiguriert wie das gewählte Serverprojekt.
  • Im manuellen Konfigurationsmodus müssen Sie manuell dieselben Angaben für die Kommunikationssicherheit eingeben wie im gewählten Serverprojekt vorhanden.
    • Wenn Sie ein Serverprojekt mit sicherer Kommunikation konfigurieren, müssen Sie dasselbe Root-Zertifikat angeben, das auch auf dem Server verwendet wird.
      Das Host-Zertifikat und der Hostschlüssel (nur für .pem-basierte Zertifikate) können andere sein, aber sie müssen mit demselben Root-Zertifikat auf dem Server erstellt werden. Anderenfalls startet der Desigo CC Client nicht.

Nach der Erstellung eines Client/FEP-Projekts mit dateibasierten Zertifikaten (.pem) werden das Root- und das Host-Zertifikat sowie die Key-Datei des Host-Zertifikats für eine sichere Kommunikation nach ..\[Projektname]\Config kopiert, und die config-Datei wird aktualisiert. Im Falle von Zertifikaten aus dem Windows Zertifikatsspeicher wird nur die config-Datei aktualisiert.

Projekteinstellungen – Expander Kommunikationssicherheit

Element

Beschreibung

Kommunikation

Dieses Feld ist standardmässig deaktiviert und auf Gesichert gestellt.
Im automatischen Konfigurationsmodus wird dieses Feld gemäss der Client-Server-Kommunikation im Expander Kommunikationssicherheit des Serverprojekts eingestellt. Sie können die Einstellung nur ändern, wenn Sie in den manuellen Konfigurationsmodus wechseln.
Im manuellen Konfigurationsmodus ist dieses Feld aktiviert, und Sie können eine der folgenden Client-Server-Kommunikationsarten auswählen. Es wird jedoch dringend empfohlen, die Einstellung Gesichert zu verwenden.
Gesichert: Sie können über die Konfiguration des Proxy-Ports und der Root- und Host-Zertifikate eine gesicherte Kommunikation zwischen dem Server und Client/FEP festlegen.
Unabhängig: Bei Wahl dieser Option wird zwischen dem Client/FEP und dem Server keine Verbindung hergestellt.
Nicht gesichert: Diese Option erlaubt es Ihnen, eine nicht gesicherte Client-Server-Kommunikation einzurichten.

Server-Proxy-Port

Dieser ist nur aktiviert, wenn Sie den Client/Server-Kommunikationstyp als Gesichert angeben und ein Projekt im manuellen Konfigurationsmodus erstellen oder bearbeiten.
Geben Sie die Portnummer ein oder verwenden Sie das Drehfeld, um die Portnummer schrittweise nach oben oder unten zu ändern. Der Standardwert der Portnummer lautet 5678. Bei der gesicherten Client-Server-Kommunikation erfolgt die gesamte Kommunikation über diesen Serverport.

Zertifikatstyp

Standardmässig ist der Zertifikatstyp auf Windows-Zertifikatsspeicher gestellt. Dieses Feld ist nur aktiviert, wenn die Client-Server-Kommunikation Gesichert gewählt ist.
Im automatischen Modus wird der Zertifikatstyp in Abhängigkeit vom Zertifikatstyp des Serverprojekts festgelegt.
Im manuellen Modus sind die Schaltflächen für den Zertifikatstyp aktiviert, so dass Sie die Standardauswahl für Windows-Zertifikatsspeicher ändern können.
Sie können das Root- und Host-Zertifikat entweder aus dem Windows-Zertifikatsspeicher auswählen oder .pem-Datei verwenden.
Bei Verwendung einer .pem-Datei muss eine zusätzliche Key-Datei für das Host-Zertifikat ausgewählt werden.

Root-Zertifikat

Dieses Feld ist standardmässig aktiviert und das Root-Zertifikat ist ausgewählt, sofern auf dem Client/FEP als Standard gesetzt.
Abhängig vom ausgewählten Zertifikatstyp können Sie entweder den Windows-Zertifikatsspeicher oder die Festplatte (.pem-Datei) nach dem Root-Zertifikat durchsuchen.
Wenn Sie ein Zertifikat aus dem Windows-Zertifikatsspeicher einsetzen wollen, wählen Sie über Durchsuchen im Feld Speicherort zwischen Lokale Zertifikate oder Benutzerzertifikate und können das Root-Zertifikat dann auf dem Register Stammzertifizierungsstellen auswählen.
Hinweis: Die SMC zeigt ein Zertifikat (Root/Host) in Rot oder als nicht konfiguriert in Rot an, wenn es aus dem Windows-Zertifikatsspeicher gelöscht wurde, abgelaufen ist oder nicht konfiguriert ist.

Host-Zertifikat

Dieses Feld ist standardmässig aktiviert und das Host-Zertifikat ist ausgewählt, sofern auf dem Client/FEP als Standard gesetzt.
Abhängig vom ausgewählten Zertifikatstyp können Sie entweder den Windows-Zertifikatsspeicher oder die Festplatte (.pem-Datei) nach dem Host-Zertifikat durchsuchen.
Wenn Sie ein Zertifikat aus dem Windows-Zertifikatsspeicher einsetzen wollen, können Sie über Durchsuchen im Feld Speicherort zwischen Lokale Zertifikate und Benutzerzertifikate wählen und das Host-Zertifikat dann auf dem Register Eigene Zertifikate auswählen.
Hinweis 1: Wenn Sie ein Zertifikat aus dem Windows-Zertifikatsspeicher einsetzen, muss das Host-Zertifikat einen exportierbaren privaten Schlüssel enthalten. Dies können Sie in einer Vorschau des Host-Zertifikats überprüfen.
Hinweis 2: Das Host-Zertifikat und der Hostschlüssel (nur .pem-dateibasierte Zertifikate) müssen mit dem von Ihnen bereitgestellten Root-Zertifikat generiert werden. Wenn Sie ein Host-Zertifikat aus dem Benutzerspeicher wählen, ist Hinzufügen deaktiviert. Da es sich um einen lokalen Benutzerspeicher auf dem Computer des Benutzerkontos handelt, können Sie der Liste der Host-Zertifikatbenutzer keine Benutzer hinzufügen.

Hostschlüssel

Dieses Feld ist nur aktiviert, wenn Sie eine gesicherte Client-Server-Kommunikation und einen dateibasierten (.pem-Datei) Zertifikatstyp wählen. Sie können das System nach einem dateibasierten (.pem) Hostschlüsselzertifikat durchsuchen.

Host-Zertifikatbenutzer

Standardmässig wird die Gruppe bzw. werden die Benutzer des Host-Zertifikats angezeigt, die Sie auf dem Client/FEP als Standard festgesetzt haben. Hinzufügen ist immer aktiviert, so dass Sie weitere Benutzer hinzufügen können. Sie können auch Benutzer aus der Liste entfernen, ausgenommen sind Systembenutzer und die Administratorgruppe, sofern in der Liste enthalten.
Dieses Feld ist nur für gesicherte Client-Server-Kommunikation und Zertifikate des Windows-Zertifikatsspeichers verfügbar.
Hinweis 1: Nur Benutzer oder Gruppen, die für das gewählte Host-Zertifikat zugelassen sind, können den Desigo CC Client auf dem Client/FEP-Bedienplatz starten.
Hinweis 2: Selbst wenn ein Client/FEP-Benutzer in der Administratorgruppe enthalten ist und diese berechtigt ist, den privaten Schlüssel des Host-Zertifikats zu nutzen, müssen Sie den Benutzer ausdrücklich zur Nutzung des privaten Schlüssels des Host-Zertifikats berechtigen. Sie können der Liste der Benutzer des Host-Zertifikates einen Benutzer ohne Administratorrechte hinzufügen, so dass dieser auf einem Client/FEP mit dem Desigo CC Client arbeiten kann.