Généralités sur la Sécurité

Le nœud Sécurité dans l'Application Explorer offre la possibilité de référencer des certificats de sécurité qui permettent l'échange sécurisé d'informations entre PcVue et d'autres composants avec lesquels il communique. Les certificats derrière le nœud sécurité sont des références à des certificats réels, conçus pour abstraire le nom et les caractéristiques du véritable certificat à d'autres fonctionnalités du logiciel PcVue. Vous pouvez référencer un certificat qui existe déjà, ou en créer un nouveau et le référencer.

Au moment de la rédaction de cette rubrique, les certificats de sécurité que vous référencez sur le nœud Sécurité ne sont utilisés que pour le driver OPC UA.

PKI du logiciel PcVue

Pour que les applications interagissent et échangent des données, une relation de confiance doit être établie entre elles lorsqu'une politique de sécurité autre que None est appliquée.

PcVue fournit une PKI intégrée configurée via un magasin de certificats local qui permet de gérer les certificats. Il se trouve dans le répertoire racine \PKI, au même niveau que le dossier \BIN et est organisé comme suit :

Les interactions avec la structure de ce dossier dépendent de la façon dont la relation de confiance est construite entre les applications : A l'aide de certificats signés par une AC ou auto-signés.

Il est important de noter que dans les deux situations le dossier \own contient :

  • Le certificat d'instance d'application contenant la clé publique dans le dossier \certs.

  • La clé privée de l'application hébergée dans le dossier \private.

Certificats de sécurité

L’utilisation d’une entité AC repose sur le principe des tiers de confiance (Trusted Third Party). Ce tiers de confiance est une entité qui facilite l'établissement de la confiance entre deux entités en faisant confiance à un tiers commun (et à ses jugements, par exemple, si elle révoque le certificat d'une entité), ici l'AC.

Si PcVue a besoin de communiquer avec un serveur par exemple, il n'a besoin que de faire confiance à l'AC (TTP) approuvée par ce serveur, en ajoutant les certificats de cette AC dans sa liste de confiance (réciproquement le serveur doit faire confiance à la même AC). Logiquement, si le certificat de l’AC n’est pas copié dans la liste de confiance, la PKI du logiciel PcVue échouera à authentifier le serveur et il ne sera pas possible d'établir un canal sécurisé.

L’établissement de la confiance diffère si les AC impliquées dans l’infrastructure sont multiples et reliées de façon hiérarchique. L'AC avec le niveau hiérarchique le plus élevé est considérée comme le tiers de confiance et la racine de cette chaîne, donc il est souvent appelé "ancre d'approbation" (trust anchor).

Reportez-vous à la rubrique Comment créer un certificat de sécurité pour en savoir plus sur la configuration d'un certificat.

Certificats auto-signés

Les fonctions de sécurité du logiciel PcVue offrent également la possibilité de créer des certificats auto-signés. Dans ce cas, le client et le serveur au sein de la PKI ne peuvent pas utiliser un tiers de confiance (AC) comme entité commune pour établir une relation de confiance. Etant donné qu'aucun tiers de confiance ne peut signer les certificats client et serveur, il n'y a aucune garantie sur l'origine de ces certificats, laissant les identités des applications incertaines. Cette sécurité de faible niveau ne doit être utilisée que dans des situations spécifiques telles que des phases de test, de PoC, etc. Elle est fortement découragée pour le déploiement en production.