Der sichere Datenaustausch ist eines der grundlegenden Elemente der Digitalisierung der Fabrik von heute und morgen. Egal ob im Web oder in der Fabrikhalle: x.509-Zertifikate ermöglichen wesentliche Cybersecurity-Mechanismen für eine zuverlässige Kommunikation. Ob zur Geräteidentifikation oder zur Absicherung der Datenkommunikation mit TLS, X.509-Zertifikate sind die Grundlage.
An dieser Stelle setzt Open Industrial PKI an.
Open Industrial PKI ist eine gemeinsame Initiative des Campus Schwarzwald und von Keyfactor. Damit soll Unternehmen ein kostenloser Service zur Ausstellung und Verwaltung von X.509-Zertifikaten über standardisierte Schnittstellen wie EST oder CMP mit vordefinierten Entitätsprofilen zur Verfügung gestellt werden. Im Rahmen des Dienstes werden vorkonfigurierte Profile für Client-Server-Zertifikate (z.B. für OPC UA oder MQTT), Geräteidentitäten oder Code Signing-Zertifikate angeboten[1]Digitale Identitäten für Maschinen – wie geht das?.
Das ist um so wichtiger, da es oft keine PKI-Infrastruktur gibt, um Zertifikate auszustellen und zu verwalten.
Weitere Informationen:
Auszug:
Die Veröffentlichungen .. bemängelten die fehlende Spezifikation eines sicheren Vertrauensaufbaus und -managements. Zwar wird der Einsatz einer Public Key Infrastruktur (PKI) vom Standard empfohlen, die Integration dieser PKI wird jedoch offengelassen. Dabei ist sowohl unklar, wie Clients und Server mit Zertifikaten provisioniert werden, als auch, wie die Integration der PKI-Dienste in die OPC UA Architektur umgesetzt werden soll. Für letzteres definiert der Standard in Part 12 die Übernahme einzelner PKIDienste durch den Global Discovery Server (GDS). Hierzu fehlt es momentan zudem noch an praxistauglichen Implementierungen. In Abschnitt 5.3 werden zudem relevante Standardisierungslücken adressiert.
PKI and User Access Rights Management for OPC UA based Applications
References