Validace certifikátu SSL

Protokol SSL (Secure Socket Layer) je bezpečnostní vrstva vložená mezi vrstvu transportní (TCP/IP) a vrstvu aplikační (např. HTTP), která poskytuje zabezpečení komunikace šifrováním a umožní autentizaci (ověření totožnosti) komunikujících stran. Výsledkem je pak zabezpečené (šifrované) připojení, např. protokolem HTTPS.

Upozornění: validaci (ověření) certifikátu používejte pouze v případě, že jste seznámeni s možnými důsledky, které ze zapnutí této funkce plynou. Vzhledem k omezené platnosti certifikátů se totiž po určité době může stát, že platnost certifikátu vyprší (pro každý certifikát je platnost různá).

Důsledkem toho nebude PLC umožněna zabezpečená komunikace přes internet, takže přestane komunikovat s Mervis Proxy, Mervis DB, či dalšími servery. Následné nahrání platných certifikátů do PLC je již možné pouze lokálně a je tedy nutný servisní výjezd k PLC.

Validace certifikátu, případně Ověření certifikátu znamená, že Mervis RT komunikuje s cloudovými servery (Proxy, DB, SCADA) pomocí zabezpečeného šifrovaného připojení SSL a zabezpečení ověřuje vůči dostupným certifikátům, ty jsou vydávány certifikačními autoritami.

Aby bylo možné využít této funkce je nutné zajistit:

  1. Dostupnost aktuálních certifikátů
    • certifikáty jsou aktuální v době vydání operačního systému Mervis OS, počínaje verzí Mervis OS 2.4.2.28
    • certifikáty je možné aktualizovat nahráním z Mervis IDE (návod níže)
  2. Nastavení SSL adres ke cloudovým službám, případně povolení SSL
    • Mervis DB:
      https://db.unipi.technology/plc/save
    • Mervis Proxy:
      https://proxy.unipi.technology:6678
  3. Povolení validace certifikátu v konfiguraci RT

Pokud výše uvedené nebude dodrženo, komunikace se nenaváže.

Ukázka nastavení Mervis Proxy a DB v konfiguraci RT:

Parametry Mervis Proxy


Parametry Mervis DB

Pro nahrání certifikátů do PLC je nutné mít založenou sestavu v Mervis IDE a přiřazené PLC.

Pro přidání/nahrazení certifikátů klikněte pravým tlačítkem na položku PLC a v nabídce vyberte:
Operace s PLC → Nahrání certifikátů


Otevře se dialog, kde máte celkem 4 řádky, níže naleznete popis prvních dvou:

  • Výchozí CA: tyto certifikáty jsou aktuální v době generování obrazu Mervis OS, jejich nahráním se nahradí výchozí certifikáty
  • Uživatelská CA: tyto certifikáty nejsou ve výchozím stavu v RT obsaženy, nahráním lze doplnit chybějící certifikáty, výchozí CA nejsou nijak ovlivněny

Po kliknutí na OK budou certifikáty nahrány do PLC.

Poznámka: přípona názvu souboru může být libovolná

Aktualizace certifikátů kvůli končící platnosti

Platnost certifikátů vydaných po 1.9.2022 je maximálně 1 rok, proto je důležité certifikáty pravidelně aktualizovat. Aktualizace je možná nahrazením výchozích CA novými veřejnými certifikáty (souborem s certifikáty) dle návodu výše, nebo nahráním nejaktuálnější verze Mervis OS do PLC.

Poznámka: aktuální certifikáty stahujte pouze z důvěryhodných webů.

Nahrazení výchozích certifikátů vlastními

V některých případech (např. v rámci intranetu) je užitečné i zabezpečení vlastními certifikáty, kdy naopak veřejné certifikáty vůbec nevyužijete. V tomto případě si nachystejte soubor s certifikáty a nahrajte je jako výchozí CA, čímž výchozí certifikáty nahradíte vlastními.

Doplnění vlastních certifikátů bez ovlivnění výchozích certifikátů

V případech, kdy je PLC např. ve velké podnikové síti, ale má i přístup do internetu, je vhodné zvolit kombinaci veřejných a vlastních certifikátů.

Váš soubor s certifikáty proto nahrávejte jako uživatelské CA, zároveň ale je možné nahrát i aktualizaci výchozích CA. Pokud si nepřejete výchozí certifikáty aktualizovat, ponechejte políčko prázdné.