x.509-Zertifikat

Um die Authentizität von Berichten sicherzustellen, die von Bediengeräten generiert werden, kann JMobile HMI RuntimeBerichte mit signierten Dateien erstellen, um die Authentizität und Integrität der generierten Berichte zu überprüfen.

JMobile HMI Runtime verwendet asymmetrische Kryptographie-Schlüssel zum Signieren von Dateien und den x.509-Standard zum Verwalten öffentlicher Schlüsselzertifikate. Das Bild zeigt die Architektur.

Der öffentliche Schlüssel kann von einer Zertifizierungsstelle (Certificate Authority, CA) signiert werden, die seine Authentizität garantiert.

Workflow
  1. Jedes Bediengerät enthält zwei Schlüssel:
    • Key1 ist der geheime Schlüssel, mit dem die vom Bediengerät erzeugten Berichte signiert werden. Dieser Schlüssel ist sicher im Bediengerät gespeichert.
    • Key2 ist der öffentliche Schlüssel, mit dem jeder die Echtheit der vom Bediengerät signierten Berichte überprüfen kann.
  2. Die Makros „Ereignisarchiv speichern" oder „Grafikbericht drucken" können zur Erstellung von signierten Berichten verwendet werden (siehe "Ereignisarchiv speichern" oder "Grafikbericht drucken" für weitere Details)
  3. Für die .csv-Datei kann der öffentliche Schlüssel und die signierte Datei verwendet werden, um zu überprüfen, ob der Bericht authentisch und nicht verändert ist. (Siehe "Signierte CSV-Dateien"
  4. Für die .pdf-Datei kann der PDF Reader verwendet werden, um zu überprüfen, ob der Bericht authentisch und nicht verändert ist. (Siehe "Signierte PDF-Dateien"
Die internen x.509-Zertifikatsdateien

Jedes Bediengerät verfügt bereits über ein selbstsigniertes Zertifikat. Sie können es verwenden, eine Zertifizierungsstelle bitten, es zu signieren, ein neues mit den von Ihnen gewünschten Informationen erstellen oder Ihr eigenes Zertifikat hochladen und verwenden. Alle Vorgänge sind über das Gerät „Systemeinstellungen" verfügbar (siehe Abschnitt x.509-Zertifikat in "Systemeinstellungen").

Beachten Sie, dass Sie den privaten Schlüssel niemals vom Bediengerät aus abrufen können. Sie können stattdessen ein Zertifikat mit sowohl privaten als auch öffentlichen Schlüsseln bereitstellen.

Selbstsignierte Zertifikate nutzen

Um das selbstsignierte Zertifikat zu verwenden, müssen Sie nichts tun. Verwenden Sie einfach die Makros, die signierte Berichte erstellen. Auch wenn das Zertifikat aus den Makros zur Verfügung gestellt wird, können Sie über die „Systemeinstellungen" Ihre Kopie des Zertifikats abrufen ( um sicher zu gehen, dass das Zertifikat original ist).

Nutzung eines x.509-Zertifikats, signiert von einer Zertifizierungsstelle

Um Ihr signiertes HMI-Zertifikat von einer Zertifizierungsstelle zu verwenden, müssen Sie die Antragsdatei für die Zertifikatssignierung im Bereich „Systemeinstellungen" herunterladen. Versenden und Beantragen bei einer Zertifizierungsstelle, um das Zertifikat zu signieren (in der Regel ist dies ein kostenpflichtiger Vorgang). Dann wird das signierte Zertifikat auf das Bediengerät hochgeladen.

Nach dem Abrufen der Datei „Antrag für ein signiertes Zertifikat", die an die Zertifizierungsstelle gesendet werden muss, stellen Sie sicher, dass Sie niemals ein neues Zertifikat generieren, da sonst der interne private Schlüssel, der mit dem an die Zertifizierungsstelle gesendeten Zertifikat verknüpft ist, verloren geht.

Verwenden Ihres eigenen Zertifikats

Wenn Sie über ein eigenes Zertifikat verfügen und dieses verwenden möchten, können Sie es über das Panel „Systemeinstellungen" in das Bediengerät hochladen. Beachten Sie, dass Sie sowohl private als auch öffentliche Schlüssel zur Verfügung stellen müssen.

Wenn das Zertifikat einen privaten Schlüssel enthält, wird der aktuelle private Schlüssel durch den im Zertifikat enthaltenen Schlüssel ersetzt und es ist nicht möglich, ihn wiederherzustellen.

Beispiel für ein Zertifikat mit öffentlichen und privaten Schlüsseln (Zertifikate sind Base64-verschlüsselt).

Sie können innerhalb jedes Bediengeräts dieselbe Zertifikatsdatei importieren, um eine einzige öffentliche Zertifikatsdatei für alle Ihre Bediengeräte zu erhalten.

JMobile PC Runtime

Wenn Sie JMobile PC Runtime verwenden, finden Sie das Zertifikatsdateien im folgenden Ordner:
%AppData%\Exor\<Version>\server\config\ssl-certificate