Bezpečnostní certifikát SSL pro servery Merbon SCADA

Server IIS, na kterém je instalován Merbon SCADA server, by měl obsahovat bezpečnostní certifikát SSL. Jinak hrozí, že některé prohlížeče budou považovat web za nebezpečný a vydávat varovná hlášení, či dokonce zcela odmítnou stránky zobrazit.
Protokol HTTPS/SSL dokáže zajistit důvěrnost dat na cestě od klienta k serveru a zpět, tzn. tok dat mezi prohlížečem a serverem nemůže odposlouchávat žádná třetí strana. Standardní TCP port pro komunikaci přes HTTPS/SSL je 443, zatímco standardní port pro HTTP je 80.
Adresy stránek zabezpečených pomocí SSL začínají https://. Prohlížeče zobrazují u zabezpečených webů v řádku adresy ikonku zámku a podbarvují řádek různými barvami – zelenou pro plně vyhovující, žlutou nebo oranžovou pro částečně vyhovující (např. vyhovující certifikát, ale vydaný pro jinou doménu) a červenou pro nevyhovující certifikát. Při vytvoření certifikátu přes OpenSSL nebo IIS (certifikát podepsaný sám sebou) může při přístupu přes Internet pak prohlížeč hlásit, že se jedná o nedůvěryhodný web. Tento problém řeší certifikát od externí autority.
Vydání certifikátu u externí autority je placená služba (řádově 200…1000 Kč ročně). Její cena závisí na důvěryhodnosti vydávající autority, délce platnosti certifikátu, stupni zabezpečení atd. Certifikáty je nutné prodlužovat, neboť jejich platnost je omezená. Datum expirace je uloženo přímo v certifikátu a prohlédnout si jej můžete například v internetovém prohlížeči. Jakmile certifikátu platnost vyprší, je automaticky považován za neplatný. Max. délka platnosti je (zpravidla) 2 roky. Znamená to, že i když při instalaci server takto certifikujeme, po dvou letech provozu (tedy ještě daleko před koncem záruky, která činí u projektů na klíč až 5 let) SCADA sama od sebe „přestává fungovat“.
Pro případ, že Merbon SCADA server bude provozován výhradně ve vnitřní síti (intranetu), tj. bez přístupu z internetu, není SSL přístup nutný a prohlížeč akceptuje i nezabezpečený přístup (http://, TCP port 80). Pak stačí postupovat podle standardního návodu pro instalaci Merbon SCADA serveru.
Je-li ovšem na Merbon SCADA server vyžadován i přístup z internetu, server IIS by měl být vybaven certifikátem SSL. Certifikát vystavuje některá z certifikačních autorit. Je vázán na název domény, přes níž se na server přistupuje, tedy např. merbonscada.firma.com. Tento název je nutné upřesnit s poskytovatelem internetového připojení, resp. se správcem sítě, v níž Merbon SCADA server poběží. Správce musí rovněž zajistit dostupnost Merbon SCADA serveru z internetu.
Certifikát je soubor obvykle s příponou .pfx. Existují i jiné formáty, server IIS však vyžaduje .pfx soubor. Importuje se v nastavení IIS serveru (Certifikáty serveru) a pak se vybírá v nastavení webu MerbonScada_Web (Vazby, Přidat…, typ: https na port 443, následně se vybere soubor certifikátu importovaný v předchozím kroku).
Jelikož certifikát má omezenou platnost, je nutné vyřešit i jeho pravidelnou aktualizaci. U systémových projektů Domat dodávaných na klíč zajišťuje Domat obnovu certifikátu na dobu dvou let nebo do skončení záruky podle smlouvy o dílo. Poté je nutné obnovu buď objednat zvlášť v rámci servisních prací, nebo zajistit vlastními prostředky provozovatele.
Je-li licence Merbon SCADA dodávána v rámci produktového prodeje, získání certifikátu, jeho instalace a konfigurace IIS serveru jsou plně v rukou systémového integrátora – instalační firmy nebo IT oddělení provozovatele IIS serveru. Doporučujeme proto všem integrátorům, aby se před uváděním zakázky do provozu důkladně seznámili s problematikou SSL certifikátů a prostředím, v jakém bude Merbon SCADA server provozován. Je vhodné zajistit nastavení přístupu přes internet, název domény a vydání certifikátu předem. Ušetří se tím čas strávený při oživování. Je dobré počítat s čistým časem nutným pro konfiguraci IIS serveru cca. do 30 minut, tím se nemyslí komunikace se správcem sítě nebo internetového připojení a obstarávání certifikátu u certifikační autority.
Obecně platí, že péči o certifikát, jeho získání, instalaci a aktualizace má provozovatel IIS serveru (ne dodavatel systému SCADA).

Postup pro instalaci certifikátu v IIS

Otevřete Správce IIS (v C:\Windows\System32\inetsrv soubor InetMgr.exe)
Vyberte vlevo nahoře server a zvolte Certifikáty serveru
bezpecnostni_certifikat_1
Vyberte Akce – Importovat:

bezpecnostni_certifikat_2

Vyberte soubor certifikátu a zadejte heslo pro import, které poskytla certifikační autorita. Klikněte na OK. Certifikát je importován do serveru.
V nastavení IIS vyberte web Merbon SCADA a vpravo ve vlastnostech zvolte Upravit web, Vazby…

bezpecnostni_certifikat_3

Přidejte vazbu typu https a vyberte importovaný certifikát.

bezpecnostni_certifikat_4

Potvrďte OK a restartujte web. Web je nyní opatřen certifikátem.

bezpecnostni_certifikat_5