Page 34 - BACnet_Europe-Journal_43
P. 34
BACnet Insight
das Zertifikat direkt von der CA beziehen oder eine Zertifi- Digitale Zertifikate – Selbstsigniert den vertrauenswürdigen Zertifikatsspeicher Ihres lokalen
katssignierungsanforderung (CSR) an die CA senden, um Computers installieren.
das entsprechende Zertifikat zu erhalten. Diese vertrau- Selbstsignierte digitale Zertifikate werden erstellt, indem
enswürdigen CAs stellen Zertifikate nur für Websites oder das Zertifikat mit dem privaten Schlüssel des Eigentümers Weitere Informationen finden Sie unter: Application Note:
Geräte mit einer öffentlichen IP-Adresse aus. Sie stellen signiert wird. Sie werden von dem Unternehmen oder Ent- How to Create and Use Self-Signed SSL Certificates
keine Zertifikate für Geräte in einem internen Netzwerk mit wickler erstellt, ausgestellt und signiert, das bzw. der für von Contemporary Controls, in dem erklärt wird, wie Sie
privaten IP-Adressen aus. die zu signierende Website/Software verantwortlich ist. Im OpenSSL hinzufügen und verwenden, um mit dem Win-
Gegensatz zu Zertifikaten, die von einer vertrauenswürdi- dows Package Manager WinGet ein selbstsigniertes Zer-
Digitale Zertifikate – Public-Key-Infrastruktur gen Zertifizierungsstelle ausgestellt werden, werden selbst- tifikat für Windows zu erstellen. WinGet ist ein kostenlo-
signierte Zertifikate nicht von einer externen Stelle über- ser open-source Paketmanager von Microsoft, mit dem
Für ein internes BMS-Netzwerk ist es nicht erforderlich, prüft. Selbstsignierte Zertifikate sind schnell, kostenlos Benutzer Anwendungen auf Computern mit Windows 10,
ein Zertifikat von einer öffentlichen Zertifizierungsstelle zu und einfach auszustellen. Sie eignen sich für lokale Ent- Windows 11 und Windows Server 2025 suchen, instal-
beziehen. Dies kann angesichts der beträchtlichen Anzahl wicklungs-, Test- oder Staging-Umgebungen, interne Netz- lieren, aktualisieren, entfernen und konfigurieren können.
von Geräten in einem Gebäude kostspielig sein. Die IT- werk-Websites und die Bereitstellung sicherer Webseiten Der Anwendungshinweis erklärt auch, wie dieses selbst-
Abteilung kann eine eigene Infrastruktur zur Generie- für Geräte. Sie müssen sich jedoch ihrer Einschränkungen signierte Zertifikat auf dem Gerät installiert wird und wie
rung dieser Schlüssel und Zertifikate implementieren. Der bewusst sein, z. B. dass sie trotz ihrer starken Verschlüsse- das es auf verschiedenen Windows-Rechnern herunter-
Begriff PKI (Public Key Infrastructure) wird verwendet, um lung nicht von einer anerkannten Behörde unterstützt wer- geladen und installiert wird, um die Sicherheitswarnung
diese Konfiguration zu definieren. Die Anbieter von Gebäu- den, sodass Browser auf anderen PCs Sicherheitswarnun- zu beseitigen. Es werden Anweisungen für häufig ver-
deautomationsprodukten verfügen möglicherweise auch gen für sie anzeigen. wendete Browser – Google Chrome, Microsoft Edge und
über spezielle Softwaretools zur Implementierung der PKI, Mozilla Firefox – sowie zur Umgehung der Sicherheitswar-
aber die Zertifikate und Schlüssel für alle Geräte an einem Digitale Zertifikate – OpenSSL nung bereitgestellt.
Standort, unabhängig von ihrer Marke, müssen mit dem-
selben Tool generiert werden, um die Interoperabilität zu Sie können ein selbstsigniertes Zertifikat mit OpenSSL Fazit
gewährleisten. Die Zertifikate auf den Geräten laufen eben- erstellen und installieren, einem häufig verwendeten
falls ab und müssen erneuert werden. Befehlszeilenprogramm zum Generieren von Schlüsseln, HTTPS verschlüsselt die Datenübertragung, um die Daten-
Erstellen von Zertifikatssignierungsanforderungen (CSRs) integrität zu gewährleisten und zu verhindern, dass Infor-
Geräte, die in internen Netzwerken verwendet werden, kön- und Verwalten von Zertifikaten. mationen während der Übertragung verändert, beschädigt
nen auch ein selbstsigniertes digitales Zertifikat verwen- oder gestohlen werden. SSL/TLS-Protokolle authentifizie-
den, damit ein Webbrowser Ihren internen Geräten vertraut. Laut der OpenSSL-Dokumentation unter https://docs. ren Benutzer, um Informationen zu schützen und sicher-
Ein selbstsigniertes Zertifikat ist eine Art SSL/TLS-Berech- openssl.org/master/man7/ossl-guide-introduction zustellen, dass sie nicht an unbefugte Benutzer weiterge-
tigungsnachweis, den Sie selbst signieren, anstatt ihn von „ist OpenSSL ein robustes, kommerzielles Toolkit mit vol- geben werden. HTTPS erfordert digitale Zertifikate, um die
einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle lem Funktionsumfang für allgemeine Kryptografie und Eigentümerschaft und Integrität der Domain zu überprüfen.
signieren zu lassen. Wenn Sie keine IT-Abteilung haben, sichere Kommunikation. Seine Funktionen werden über Für externe Netzwerke sollten Sie diese Berechtigungs-
können Sie das selbstsignierte Zertifikat selbst erstellen. eine Befehlszeilenanwendung bereitgestellt, mit der Benut- nachweise von einer vertrauenswürdigen Drittanbieter-Zer-
Darüber hinaus entfallen durch die Erstellung eines selbst- zer verschiedene kryptografische Funktionen wie die Gene- tifizierungsstelle beziehen.
signierten Zertifikats für interne Netzwerkgeräte die Kosten rierung von Schlüsseln und Zertifikaten ausführen können.
für die Beschaffung eines Zertifikats von einer vertrauens- Darüber hinaus enthält es zwei Bibliotheken, mit denen Selbstsignierte Zertifikate sind wertvoll für die Einrich-
würdigen Drittanbieter-Zertifizierungsstelle. Anwendungsentwickler kryptografische Funktionen imple- tung sicherer Kommunikationskanäle für interne Netz-
mentieren und sicher über ein Netzwerk kommunizieren werke, wenn Sie die Umgebung kontrollieren. Sie bieten
können. Schließlich verfügt es auch über eine Reihe von eine schnelle Bereitstellung und Kosteneinsparungen und
Anbietern, die Implementierungen einer breiten Palette von eignen sich ideal für Tests, lokale Entwicklung oder interne
About the Author kryptografischen Algorithmen bereitstellen. OpenSSL ist Anwendungen. Das Verständnis dieser Konzepte ist für die
vollständig Open Source. Version 3.0 und höher werden Implementierung von Sicherheit für IP-Geräte im Allgemei-
Harpartap Parmar is a Director of Product unter der Apache v2-Lizenz vertrieben.” nen von entscheidender Bedeutung. Für die auf BACnet
Management at Contemporary Controls, which
designs and manufactures BACnet building controls basierende Gebäudeautomation liefern sie das grundle-
and IP networking equipment. Parmar focuses on Wenn Sie OpenSSL nicht auf Ihrem Windows-PC instal- gende Wissen für eine erfolgreiche und robuste Implemen-
network security, IP routers and their application liert haben, können Sie ein OpenSSL-Paket installieren. tierung von BACnet/SC.
to Building Automation. He has over 25 years
of experience at Contemporary Controls with a Wenn Sie von einem anderen PC aus auf das HTTPS-Gerät
range of networking, control, and communication zugreifen, wird eine Sicherheitswarnung angezeigt. Sie
products. müssen das selbstsignierte Zertifikat herunterladen und in
Über den Autor
Harpartap Parmar ist Leiter des Produktmanage-
ment bei Contemporary Controls, einem Herstel-
ler und Entwickler für BACnet- und Netzwerkge-
räte. Sein Spezielgebiet konzentriert sich vor allem
auf Netzwerksicherheit und deren Anwendung in
der Gebäudeautomation. Er verfügt über mehr als Harpartap Parmar
25 Jahre Erfahrung bei Contemporary Controls mit Leiter ProduktmanagementContemporary Controls
einer Reihe von Netzwerk-, Steuerungs- und Kom-
munikationsprodukten. hparmar@ccontrols.comwww.ccontrols.com
34 BACnet Europe Journal 43 09/25
