TwinCAT-OEM-Zertifikate
Um die Funktionen zum Schutz von Anwendungssoftware nutzen zu können, ist ein von Beckhoff signiertes TwinCAT-OEM-Zertifikat erforderlich.
Das TwinCAT-OEM-Zertifikat ist ausschließlich für die Nutzung zusammen mit TwinCAT vorgesehen.
Mit TwinCAT Build 4024 können mit der TwinCAT OEM-Zertifikatsversion TC0008 zusätzlich mit TwinCAT 3 in C++ erstellte TwinCAT *.tmx-Dateien signiert werden.
Mit dem Launch von TwinCAT 3.1 Build 4024 ergeben sich bei TwinCAT-OEM-Zertifikaten einige Neuerungen gegenüber Build 4022:
- Update auf eine neuere Verschlüsselungsversion für die internen Zertifikatsdaten
- Einführung einer erweiterten Zertifikatsversion TC0008, mit der auch in TwinCAT 3 erstellte C++ TwinCAT-Treiber-Software signiert werden kann
- Diese Zertifikatsversion erfordert durch die Nutzung im Windows-Umfeld eine sichere Validierung der Antragstellerdaten.
- Dafür wurde der Prozess zur Beantragung eines TwinCAT-OEM-Zertifikats angepasst. Alle OEM-Zertifikate müssen zur Validierung der Adress- und Kontaktdaten offiziell bestellt werden. (Die Ausstellung eines TwinCAT-OEM-Zertifikats ist kostenlos.)
- TwinCAT-OEM-Zertifikate Extended Validation (TC0008) werden nur an Beckhoff Bestandskunden vergeben.
Bestellnummern TwinCAT-OEM-Zertifikate
TC0007: TwinCAT OEM Certificate Standard (TwinCAT Software Protection)
TC0008: TwinCAT OEM Certificate Extended Validation (wie TC0007, zusätzlich Signierung von mit TwinCAT 3 in C++ erstellte TwinCAT-Treiber-Software)
 | Gilt nur für TwinCAT 3.1 Build 4024.0: Erstellung einer User DB erfordert Crypto Version 1 Die Erstellung einer Benutzerdatenbank für die TwinCAT Software Protection darf in der TwinCAT-Version Build 4024.0 nur mit einem OEM-Zertifikat mit der Crypto Version 1 erfolgen! |
Bitte beachten:
- TC0008 beinhaltet auch alle Funktionalitäten von TC0007
- Die Standard-Zertifikatsversion TC0007 kann wahlweise mit der Verschlüsselungsversion von TwinCAT 3.1 Build 4022 oder 4024 ausgestellt werden.
- Die Zertifikatsversion TC0008 mit erweiterter Validierung kann nur mit der neueren Verschlüsselungsversion von TwinCAT 3.1 Build 4024 ausgestellt werden.
- Die Verschlüsselungsversion des Zertifikats wird beim Erstellen des „OEM Certificate Request Files“ durch den Anwender festgelegt (nicht bei der Bestellung!):
Kompatibilität von OEM-Zertifikaten: Build 4022 <-> Build 4024:
- Die Verschlüsselungsversion (=1) von Build 4022 (= z. B. ein mit Build 4022 erstelltes, bestehendes OEM-Zertifikat bzw. damit erzeugte UserDBs oder OEM Applikationslizenzen) können auch bei Build 4024 eingesetzt werden (umgekehrt funktioniert es nur bei Verwendung der Verschlüsselungsversion 1!)
- Ein TwinCAT OEM-Zertifikat (nur Standard) mit der Verschlüsselungsversion 1 von Build 4024 (bzw. damit erzeugte UserDBs oder OEM Applikationslizenzen) können mit TwinCAT 3.1 Build 4022 verwendet werden. (-> Build 4022 kann die Zertifikatsdaten der Verschlüsselungsversion 1 entschlüsseln)
- Ein TwinCAT OEM-Zertifikat mit der Verschlüsselungsversion 2 von Build 4024 (bzw. damit erzeugte UserDBs oder OEM-Applikationslizenzen) können nicht mit TwinCAT 3.1 Build 4022 verwendet werden! (-> Build 4022 kann die Zertifikatsdaten der Verschlüsselungsversion 2 nicht entschlüsseln!)
- TwinCAT OEM-Zertifikate mit unterschiedlichen Verschlüsselungsversionen können in TwinCAT 3.1 Build 4024 parallel verwendet werden: Ein OEM-Zertifikat mit der Verschlüsselungsversion von TwinCAT 3.1 Build 4022 für den Schutz der Anwendersoftware, und ein zweites OEM-Zertifikat mit der Verschlüsselungsversion von TwinCAT 3.1 Build 4024 für die Signierung von TwinCAT-Treiber-Software.
Speicherhinweise für den Anwendungsbereich: Schutz der OEM-Anwendungssoftware
Mit dem in allen Zertifikatsversionen enthaltenen OEM Key können die Funktionen zum Schutz der TwinCAT 3 Anwendungssoftware genutzt werden:
- Erstellen einer Benutzerdatenbank (User DB) zur Benutzerzugriffssteuerung
- Erstellen von OEM-Applikationslizenzbeschreibungsdateien
(Basis für das Ausstellen von OEM-Applikationslizenzen) - Ausstellen (Signieren) von OEM-Applikationslizenzen
Das OEM-Zertifikat Standard (TC0007) wird ausschließlich für diese drei Tätigkeiten benötigt.
| Auf welchem Rechner muss das OEM-Zertifikat TC0007 gespeichert werden? Das OEM-Zertifikat sollte sich ausschließlich auf dem Rechner befinden, auf dem die drei oben aufgeführten Tätigkeiten ausgeführt werden. |
Das OEM-Zertifikat TC0007 ist nicht erforderlich:
- Zur Nutzung einer User DB
- Zum Programmablauf
- Zur Nutzung von OEM-Applikationslizenzen
Das Zertifikat sollte aus Sicherheitsgründen auf keinen Fall auf Steuerungsrechnern ausgeliefert werden oder auf allen möglichen Rechnern mit dem TwinCAT Engineering aufgespielt werden.
Beim Einsatz von OEM-Lizenzen wird das OEM-Zertifikat ausschließlich einmalig zum Ausstellen der Lizenz benötigt (da das Lizenzfile hiermit signiert wird).
Speicherhinweise für den Anwendungsbereich: Signierung von TwinCAT-Treiber-Software
Mit dem in der Zertifikatsversion TC0008 (TwinCAT OEM Certificate Extended Validation) enthaltenen OEM Key kann zusätzlich mit TwinCAT 3 in C++ erstellte TwinCAT-Treiber-Software signiert werden.
Sofern Sie TC0008 nur für diesen Einsatzzweck nutzen, gilt:
| Auf welchem Rechner muss das OEM-Zertifikat TC0008 gespeichert werden? Das OEM-Zertifikat sollte sich ausschließlich auf dem Rechner befinden, auf dem mit TwinCAT 3 in C++ erstellte TwinCAT-Treiber-Software signiert wird. |
Falls Sie TC0008 ebenfalls für die TwinCAT Software Protection nutzen, gelten auch die diesbezüglichen Hinweise für die Rechner, auf denen das Zertifikat gespeichert sein darf/sollte.
Das OEM-Zertifikat TC0008 ist nicht zum Ablauf der damit signierten TwinCAT-Treiber-Software erforderlich.
Das Zertifikat soll auf keinen Fall auf Steuerungsrechnern ausgeliefert werden oder auf allen möglichen Rechnern mit TwinCAT Engineering aufgespielt werden.
| Verwendung eines sicheren PCs Verwenden Sie für Tätigkeiten, die den Umgang mit dem Passwort des Private Keys des OEM-Zertifikats erfordern, einen sicheren PC, um ein Ausspähen des Passwortes vorzubeugen. |
Gültigkeit des TwinCAT OEM-Zertifikats
Die Gültigkeit des OEM-Zertifikats ist aus Sicherheitsgründen auf zwei Jahre begrenzt.
Der OEM kann vor Ablauf der zwei Jahre (und auch noch danach) eine Verlängerung seines Zertifikats beantragen, um ohne Unterbrechung weiterarbeiten zu können. (Siehe OEM-Zertifikat verlängern)
Was passiert, wenn die Gültigkeit des Zertifikats abgelaufen ist?
Diese Funktionen sind mit einem ungültigen (abgelaufenen) OEM-Zertifikat nicht mehr möglich:
- Erstellen einer Benutzerdatenbank
- Erstellen von OEM-Applikationslizenzbeschreibungsdateien
- Ausstellen (Signieren) von OEM-Applikationslizenzen
- Signieren von C++ Executables (Build 4024) mit dem OEM-Zertifikat
Alles andere funktioniert weiterhin:
- Die Programmausführung ist weiterhin möglich.
- Ausgestellte OEM-Lizenzen behalten weiterhin ihre Gültigkeit.
- Mit TC0008 signierte C++ Executables laufen weiterhin (Build 4024).
- Die Benutzerdatenbank behält weiterhin ihre Gültigkeit und der Administrator kann auch weiterhin Änderungen/Anpassungen in der Datenbank machen. (Eine neue Benutzerdatenbank kann jedoch nicht mehr erstellt werden.)