Regelung des Zugriffs auf den PLC-Quellcode
TwinCAT 3 bietet ab der Version Build 4024 die Möglichkeit, PLC-Quellcode zu verschlüsseln und den Zugriff auf den PLC-Quellcode über ein Rechte-Management zu regeln. Zentrales Element ist eine Benutzerdatenbank (User DB), die unter Einbezug des OEM-Zertifikats (als Verifizierungsbasis) erstellt wird.
Anmerkung: Das OEM-Zertifikat ist nur für die Erstellung der Benutzerdatenbank erforderlich, nicht für deren Nutzung oder Modifikation.
Voraussetzung für die Nutzung dieser Funktion: Ausstellung eines TwinCAT OEM Zertifikates
Systemvoraussetzungen
- TwinCAT 3 OEM-Zertifikat TC0007 (Crypto-Version 1 oder 2)
- Betriebssystem: mind. Windows 7 (auch als Embedded-Version)
- TwinCAT-Version: mind. TwinCAT 3.1 Build 4024
 | Sicherer Schutz nur bei Verwendung der neuesten TwinCAT-3-Version Verwenden Sie für einen sicheren Schutz (z. B. eine sichere Verschlüsselung) immer die neueste TwinCAT-3-Version. Diese bietet die höchste Sicherheit. Verwenden Sie mindestens TwinCAT 3.1 Build 4024.x. |
Allgemeine Hinweise
- Beachten Sie die generellen Informationen zu OEM-Zertifikaten.
- Das OEM-Zertifikat wird nur einmalig zum Erstellen der User DB benötigt.
- Änderungen der User DB müssen danach lediglich vom Admin der User DB signiert werden (ohne Einsatz des OEM-Zertifikats).
- Der Administrator der User DB muss unbedingt ein starkes Passwort haben. Ansonsten ist die User DB leicht angreifbar.
- Die Gültigkeit der User DB ist unabhängig von der Gültigkeitsdauer des OEM-Zertifikates. Die User DB bleibt also auch nach Ablauf der Gültigkeitsdauer des OEM-Zertifikats gültig und kann auch danach noch modifiziert werden.
- Anmerkungen zur späteren Verlängerung des Zertifikats (nach 2 Jahren) finden Sie hier OEM-Zertifikat verlängern.
- Wichtig: Hinterlegen Sie das Passwort des OEM-Zertifikats und des Administrators der User DB an einer sicheren Stelle. Beckhoff kann die Passwörter bei Verlust nicht wiederherstellen!
- Das OEM-Zertifikat ist nicht auf den Zielsystemen erforderlich und sollte dort aus Sicherheitsgründen nicht gespeichert werden!
Vorgehensweise
Der folgende Ablauf beschreibt den einfachsten Fall:
- Es gibt einen Benutzer („Admin“), der vollen Zugriff auf das Projekt hat
- Alle anderen („Guest“) dürfen das Projekt weder ansehen noch verändern.
- Der Admin authentifiziert sich über ein (sicheres!) Passwort
Links zur Dokumentation
- OEM-Zertifikat beantragen (bestellen)
- OEM-Zertifikat installieren
- Benutzerdatenbank erstellen
Für den einfachsten Standardfall müssen sie lediglich den Namen des Administrators und sein Passwort definieren und keine weiteren Einstellungen (z. B. kein Anlegen weiterer Benutzer) in der User DB vornehmen. - Benutzerdatenbank mit Projekt verbinden
- Verschlüsselung der Projektdatei einstellen
- Zugriffsrechte für PLC Projektwurzel einstellen