BACnet Insight


          Zertifikats-Handling in BACnet/SC


          Certificate Handling in BACnet/SC





          BACnet/SC (Secure Connect) ist angetre-  basiert die Kommunikation anschließend auf dauerhaften   bei der Umsetzung von  BACnet/SC-Projekten. Viele  grö-
          ten, gleich zwei große Schwächen klassischer   WebSocket-Secure-Verbindungen (TCP) mit dem Hub und   ßere Hersteller von Leittechnik-Systemen, welche gleich-
          BACnet/IP-Installationen zu beseitigen: die problemati-  nicht mehr auf lose Messages (UDP) zwischen den Teilneh-  zeitig Hardware und Software etwa für Management-Auf-
          sche Integration in vorhandene IT-Infrastrukturen auf-  mern selbst. Besondere Beachtung verdient hier der Begriff   gaben anbieten, haben die Herausforderung erkannt. Hier
          grund einer UDP-basierten Peer-to-Peer-Kommunika-  „WebSocket Secure“. Was bedeutet das und wie wird die   übernimmt die Software den Part der Zertifikatserstellung
          tion inkl. Broadcasts sowie deren latente Unsicherheit   Sicherheit dabei erreicht?  sowie deren Verteilung auf die eingesetzten Geräte. Die
          durch Klartext-Kommunikation.                                        Mechanismen dahinter sind jedoch in der Regel proprietär
          BACnet/SC (Secure Connect) has set out to eliminate   WSS (WebSocket Secure) ist ein Protokoll für sichere bidi-  – oder anders formuliert: Jeder Hersteller kocht sein eige-
          two major weaknesses of classic BACnet/IP   rektionale Verbindungen und verwendet aktuell den Ver-  nes Süppchen. Einfachheit erkauft man sich daher teilweise
          installations: the challenges of integrating into existing   schlüsselungsstandard  TLS 1.3, welcher auch bei der   mit der Bindung an einen einzigen Anbieter.
          IT infrastructures due to UDP-based peer-to-  Kommunikation mittels https im  Web genutzt wird. Die   Es stellt sich die Frage, wie man  BACnet/SC-Hubs und
          peer communication, which includes broadcasts,   Absicherung wird mit Zertifikaten, also digitalen Ausweisen,   -Nodes  unterschiedlicher  Hersteller  mit  gültigen  Zertifi-
          and the inherent insecurity caused by clear text   erreicht, welche für zwei Aufgaben herangezogen werden:  katen versorgt. Zum Glück gibt es ein hilfreiches und als

          communication.                    ƒ  eindeutige Identifikation der Kommunikationspartner,   Open Source frei verfügbares Software-Tool, welches
                                            ƒ  erschlüsselung der Kommunikation, so dass nur die   einem bei  der  Aufgabe unter die  Arme greift, XCA  von

                                              V
          In diesem Artikel geht es darum, die zusätzlichen Aufga-  beteiligten Endpunkte diese verstehen.  Christian Hohnstädt [1]. Dessen Nutzung wird in vielen
          ben beim Handling der Sicherheit in heterogenen Umge-                BACnet/SC-Projekten folgendermaßen ablaufen:
          bungen mit Geräten und Software verschiedener Herstel-  Zur Erfüllung dieser Aufgabe findet sich auf jedem Teilneh-  1.  einmalige Erstellung eines selbst signierten Wurzel-Zer-
          ler zu erläutern.                 mer im BACnet/SC-Netzwerk ein Trio zusammengehören-  tifikats, welches die sogenannte Certification Authority
                                            der Dateien. Das Wurzelzertifikat einer sogenannten Certifi-  (CA) ausweist,
          Nabe und Speiche                  cation Authority (CA), das öffentliche Operationial Certificate   2.  Erzeugung von Signatur-Anfragen auf allen beteiligten
                                            des Gerätes bzw. der Software und der dazugehörende,   Endpunkten (Hubs und Nodes), sogenannte Certificate
          Die Kommunikation in BACnet/SC setzt auf das „Hub and   geheime Private Key. Dieser sollte, wie der Name schon   Signing Requests (CSR),
          Spoke (Nabe und Speiche)“-Konzept, das bedeutet: Im Zen-  sagt, das Gerät nie verlassen und in fremde Hände gege-  3.  Download der CSR und Import in XCA,
          trum steht ein als Hub (Server) fungierendes Gerät oder eine   ben werden.  4.  Signieren der CSR mit dem  Wurzel-Zertifikat aus 1.,
          Software. Weitere  BACnet/SC-Teilnehmer  verbinden  sich               wodurch die Geräte-Zertifikate entstehen, in BACnet/SC
          als sogenannte Nodes (Clients) damit. In vielen Schaubil-  Handarbeiten  Operational Certificates genannt,
          dern sind solche Verbindungen eben wie die Speichen eines            5.  Export des CA-Zertifikats aus 1. und der Geräte-Zerti-
          Rades dargestellt, an deren Enden sich die Nodes befinden   Die Erzeugung und das Handling von TLS-Zertifikaten sind   fikate aus 4. und paarweiser Upload auf die jeweiligen
          – mit dem Hub im Zentrum. Im Gegensatz zu BACnet/IP   nicht trivial und bedeuten einen zusätzlichen  Aufwand   Teilnehmer.



                                                                                                        © ASHRAE






                                                                                    BACnet/SC-Topologie.
                                                                                    BACnet/SC Topology.
















          Zertifikat-Bedienoberfläche am Beispiel
          einer WAGO-Steuerung.
          Certificate user interface example using   Benutzeroberfläche XCA von Christian Hohnstädt.
          a WAGO controller.                       User interface of the XCA tool by Christian Hohnstädt.


          24  BACnet Europe Journal 41 09/24