Device certificates

[dott.cicala]

Dal TIA17 in poi è possibile utilizzare alcune precauzioni come ad esempio la comunicazione sicura fra PLC-HMI, questo però comporta l'uso di certificati che è molto facile generare direttamente nel progetto.

 

Generando un certificato, questo avrà una data di inizio e una di fine che vengono impostate automaticamente, ovviamente è anche possibile definire date a piacere.

La data di inizio validità del certificato corrisponderà alla data di creazione del certificato stesso e quella di fine viene impostata automaticamente a circa 12 anni da quella di creazione.

 

Se ci si dimentica però che molte cpu perdono data e ora se lasciate spente per più di una quindicina di giorni e alla riaccensione saltano indietro nel tempo al 2012,

con il certificato generato successivamente alla data di reinizializzazione, tutto ciò che riguarderà il certificato non funzionerà più.

Nel caso di HMI, questo non si collegherà più alla cpu e mostrerà i tanto famosi cancelletti, nel caso di OPC-UA.... ecc ecc 

Per evitare rotture imposto manualmente tutti i certificati usando  come anno di inizio il 1970 e come fine il 2050, almeno in quel lasso di tempo non potranno scadere.

 

C'è qualche altra soluzione più intelligente?

 

 

 

 

 

 

 

[dina_supertramp]

La cybersecurity ormai è parte integratde anche per chi opera nell'OT, come noi softwaristi PLC.
Dobbiamo adeguarci.
E' necessaria? Non sempre, dipende dal sistema.

Pensa ad un attacco su di un laminatoio a caldo, oppure su impianto trattamento acque di un intera città...disastro.
Pensa ad un attacco su di una sbobinatrice messa da sola in fondo ad un capannone...non succederà neanche perché magari non è in rete.

 

30 minuti fa, dott.cicala ha scritto:

C'è qualche altra soluzione più intelligente?

No.
Però puoi disabilitare la comunicazione sicura...

[dott.cicala]

Eh no non posso disabilitare, proprio per quello che hai detto.

Più che altro ci si deve ricordare, nel caso di cambi password o se si rifà il wizard, di controllare le date.

[dina_supertramp]

5 minuti fa, dott.cicala ha scritto:

Più che altro ci si deve ricordare, nel caso di cambi password o se si rifà il wizard, di controllare le date.

Si...sono tutte cose di cui dobbiamo tenere conto e traccia durante lo sviluppo e la vita del software.

[Mattia Spoldi]

io da alcuni clienti faccio così. Il cliente ha un server, con installato un server NTP, nella configurazione del plc, gli dico di andare a prendersi l'ora da quel server, poi nel plc, uso una libreria siemens che mi permette di creare un server NTP interno, all'hmi dico di prendersi l'ora dal server dentro al plc, in questo modo resta sempre tutto sincronizzato con l'ora reale.

 

Ovviamente, devi mettere la macchina in rete

[dott.cicala]

Ma se il plc rimane spento per un mese e alla riaccensione si reinizializza al 2012 e non c'è ancora la rete con NTP che succede?

 

[Mattia Spoldi]

 

4 minuti fa, dott.cicala ha scritto:

Ma se il plc rimane spento per un mese e alla riaccensione si reinizializza al 2012 e non c'è ancora la rete con NTP che succede?

 

parte al 2012, poi appena "va su" la rete si sincronizza

[dott.cicala]

A me è successo che dopo la risincronizzazione il certificato non fosse più valido, con tutte le conseguenze del caso. Riproverò

[dina_supertramp]

Il 28/01/2025 alle 18:24 , Mattia Spoldi ha scritto:

io da alcuni clienti faccio così. Il cliente ha un server, con installato un server NTP, nella configurazione del plc, gli dico di andare a prendersi l'ora da quel server, poi nel plc, uso una libreria siemens che mi permette di creare un server NTP interno, all'hmi dico di prendersi l'ora dal server dentro al plc, in questo modo resta sempre tutto sincronizzato con l'ora reale.

Condivido.

Dal cliente se possibile chiedo al cliente di fornirmi un NTP server, e faccio come già indicato da @Mattia Spoldi.
Il PLC si becca l'ntp dalla rete del cliente e poi il PLC fa da master orario per la mia rete di automazione macchina.
Se il cliente non mi fa da ntp server, cerco per lo meno di lasciare il PLC ad un orario che ha preso dal mio PC l'ultima volta che mi ci sono collegato.
 

[Mattia Spoldi]

al limite si potrebbe provare a fare una cosa, non è proprio il massimo, ma dovrebbe stare più o meno in piedi,

nel caso di mancanza server NTP del cliente,  imposti l'ora del plc usando il pc, continui a salvarti in una variabile ritentiva del plc la data e l'ora correnti, all'accensione del quadro, 

se la data e ora correnti sono maggiori di quella salvata, non fai niente e continui ad aggiornarti la variabile ritentiva, se invece sono minori, riapplichi quella salvata in precedenza, così se ti spengono il quadro per un mesetto e perdi l'ora, alla riaccensione si "sistema" da solo, anche se sarà indietro di un mese i  certificati non dovrebbero dar fastidio.

 

Ovviamente dovrai sempre avere sul plc il blocco del server ntp per fornire l'ora al pannello

[cdc]

Noi indipendentemente da tutto, all'accensione e ogni x minuti sincronizziamo data e ora del PLC con data e ora dell'HMI.

[dott.cicala]

Grazie a tutti per i suggerimenti.

 

C'è qualcuno che usa la comunicazione sicura HMI e  che ha provato a portare indietro la data dell'orologio della cpu rispetto alla data in cui è stato generato il certificato?

Il certificato non risulta più valido e l'hmi va offline.

 

C'è qualcuno che ha provato a riportare la data della cpu all'interno del periodo di validità del certificato e ha constatato che il pannello ritorna online?