Security
6.5 Gestion des clés et des certificats SSH/SSL
6.5
Gestion des clés et des certificats SSH/SSL
RUGGEDCOM ROS utilise des certificats et des clés X.509v3 pour établir des
connexions distantes sécurisées (SSH) et un accès Web (SSL).
Risque de sécurité : risque d'accès et/ou d'exploitation non autorisés
Siemens recommande de procéder comme suit avant la mise en service de
l'appareil :
•
•
Remarque
Seuls les administrateurs peuvent écrire des certificats et des clés pour l'appareil.
Chaque appareil RUGGEDCOM ROS est livré avec un certificat SSL auto-signé unique
ECC 256 et une paire de clés d'hôte RSA 2048 SSH générés et mis en service en
usine. L'administrateur peut charger un nouveau certificat et de nouvelles clés
qui écraseront ceux qui existent dans le système à tout moment. En outre, des
commandes CLI sont disponibles pour regénérer des certificats et des paires de clés
SSL ainsi que la paire de clés SSL d'hôte.
Il existe trois types de certificats et de clés utilisés dans RUGGEDCOM ROS :
Remarque
L'exposition d'un réseau à une unité ROS fonctionnant avec des clés par défaut
doit être évitée, même si elles sont toujours conçues pour être temporaires. La
meilleure manière de réduire ou d'éliminer cette exposition est de mettre en service
un certificat et des clés créés par l'utilisateur aussi rapidement que possible, de
préférence avant que l'unité ne soit en service dans le réseau.
Remarque
Par défaut, les certificats et les clés sont communs à toutes les versions de
RUGGEDCOM ROS sans certificat ou fichier de clé. C'est la raison pour laquelle il est
important d'autoriser la génération automatique de clés pour compléter ou mettre
en service des clés personnalisées. De cette manière, des clés au moins uniques
et au mieux traçables et vérifiables sont installées lors de l'établissement d'une
communication sécurisée avec l'unité.
•
138
NOTA
Remplacez le certificat SSL auto-signé fourni en usine par un certificat signé par
une autorité de certification (CA) de confiance.
Configurez le client the SSH pour qu'il utilise diffie-hellman-group14-sha1 ou
mieux
Par défaut
Un certificat par défaut et des clés SSL/SSH sont intégrés au RUGGEDCOM ROS
et répandus dans toutes les unités RUGGEDCOM ROS partageant la même
image de firmware. Si aucun certificat SSL et aucun fichier SSL/SSH valide n'est
disponible sur l'appareil (comme c'est généralement le cas uniquement lors
de la mise à niveau depuis une ancienne version de ROS ne prenant pas en
charge les clés configurables par l'utilisateur et n'étant donc pas livrée avec des
RUGGEDCOM ROS v5.5
Manuel de configuration, 01/2021, C79000-G8977-1486-01