用戶自己生成 PKI 密鑰對(duì)和證書

時(shí)間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：137

用戶自己生成 PKI 密鑰對(duì)和證書



只有在使用無(wú)法自行創(chuàng)建 PKI 密鑰對(duì)和客戶端證書的 OPC UA 客戶端時(shí)，才會(huì)涉及此部分內(nèi)容。此時(shí)，可通過(guò) OpenSSL 生成一個(gè)私鑰和一個(gè)公鑰，生成一個(gè) X.509 證書，并對(duì)該證書進(jìn)行簽名。

使用 OpenSSL

OpenSSL 屬于傳輸層安全工具，可用來(lái)創(chuàng)建證書。您還可以使用其它工具，例如 XCA，一款密鑰管理軟件，該軟件具有圖形用戶界面，改進(jìn)了已頒發(fā)證書的總覽功能。

要在 Windows 系統(tǒng)中使用 OpenSSL，請(qǐng)按以下步驟操作：

在 OpenSSL 系統(tǒng)中，安裝 Windows。如果操作系統(tǒng)為 64 位，則 OpenSSL 將安裝在“C:\OpenSSL-Win64”目錄中。OpenSSL-Win64 作為開源軟件，可從不同的軟件提供商處下載。

創(chuàng)建一個(gè)目錄，如“C:\demo”。

打開命令提示符。為此，單擊“Start”，并在搜索欄中輸入“cmd”或“command prompt”。右鍵單擊結(jié)果列表中的“cmd.exe”，并以管理員身份運(yùn)行該程序。Windows 將打開命令提示符。

切換到“C:\demo”目錄。為此，可輸入以下命令：“cd C:\demo”。

設(shè)置以下網(wǎng)絡(luò)變量：

- set RANDFILE=c:\demo\.rnd

- set OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg

下圖顯示了包含以下命令的命令行窗口：

現(xiàn)在，啟動(dòng) OpenSSL。如果 OpenSSL 已安裝在 C:\OpenSSL-Win64 目錄中，則可輸入：C:\OpenSSL-Win64\bin\openssl.exe。下圖顯示的命令行窗口中包含以下命令：

生成私鑰。將密鑰保存到“myKey.key”文件。在本示例中，密鑰的長(zhǎng)度為 1024 位；為了實(shí)現(xiàn)較高的 RSA 安全性，實(shí)際長(zhǎng)度采用 2048 位。輸入以下命令：“genrsa -out myKey.key 2048”（在本示例中為“genrsa -out myKey.key 1024”）。下圖顯示了包含該命令的命令行以及 OpenSSL 輸出結(jié)果：

生成一個(gè) CSR (Certificate Signing Request)。為此，可輸入以下命令：“req -new -key myKey.key -out myRequest.csr”。在該命令的執(zhí)行過(guò)程中，OpenSSL 將查詢有關(guān)證書的信息：

- 國(guó)家/地區(qū)名稱：如，“DE”為德國(guó)，“FR”為法國(guó)

- 州或省名稱：例如“Bavaria”。

- 位置名稱：如，“Augsburg”

- 機(jī)構(gòu)名稱：輸入公司的名稱。

- 機(jī)構(gòu)單位名稱：如，“IT”

- 公共名稱：如，“OPC UA client of machine A”

- 電子郵件地址：

提示 針對(duì)固件版本為 V2.5、作為服務(wù)器的 S7-1500 CPU 的注意事項(xiàng) 客戶端程序的 IP 地址需存儲(chǔ)在 S7-1500 CPU 版本 V2.5（僅針對(duì)此版本）所創(chuàng)建證書的“主題備用名稱”(Subject Alternative Name) 字段中；否則 CPU 將不接受該證書。




輸入的信息將添加到證書中。下圖顯示了包含該命令的命令行以及 OpenSSL 輸出結(jié)果：

該命令將在包含有 Certificate Signing Request (CSR) 的 C:\demo 目錄中創(chuàng)建一個(gè)文件；在本示例中，為“myRequest.csr”。

使用 CSR

可通過(guò)以下兩種方式使用 CSR：

將 CSR 發(fā)送到證書頒發(fā)機(jī)構(gòu) (CA)：讀取特定證書頒發(fā)機(jī)構(gòu)的信息。證書頒發(fā)機(jī)構(gòu) (CA) 將檢查用戶的身份和信息（認(rèn)證），并使用該證書頒發(fā)機(jī)構(gòu)的私鑰對(duì)該證書進(jìn)行簽名。如，接收已簽名的 X.509 證書，并將該證書用于 OPC UA、HTTPS 或 Secure OUC (secure open user communication) 中。通信伙伴將使用該證書頒發(fā)機(jī)構(gòu)的公鑰檢查該證書是否確實(shí)由 CA 機(jī)構(gòu)頒發(fā)（即，該證書頒發(fā)機(jī)構(gòu)已確定您的信息）。

用戶對(duì) CSR 進(jìn)行自簽名：使用用戶的私鑰。該選項(xiàng)將在下一個(gè)操作步驟中介紹。

自簽名證書

輸入以下命令，生成一個(gè)證書并對(duì)自簽名（自簽名證書）：“x509 -req -days 365 -in myRequest.csr -signkey myKey.key -out myCertificate.crt”。

下圖顯示了包含以下命令和 OpenSSL 的命令行窗口：

該命令將生成一個(gè) X.509 證書，其中包含通過(guò) CSR 傳送的屬性信息（在本示例中，為“myRequest.csr”），例如有效期為一年（-days 365）。該命令還將使用私鑰對(duì)證書進(jìn)行簽名（在本示例中為“myKey.key”）。通信伙伴可使用公鑰（包含在證書中）檢查您是否擁有屬于該公鑰的私鑰。這樣還可以防止公鑰被攻擊者濫用。

通過(guò)自簽名證書，用戶可確定自己證書中的信息是否正確。此時(shí)，*依靠任何機(jī)構(gòu)即可檢查信息是否正確。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• 西門子S7-200 SMART在工業(yè)除塵系統(tǒng)中的應(yīng)用

  西門子S7-200 SMART在工業(yè)除塵系統(tǒng)中的應(yīng)用1.項(xiàng)目介紹? ?由于工業(yè)場(chǎng)所會(huì)產(chǎn)生大量的廢氣粉塵，濾筒除塵器作為過(guò)濾粉塵的高效凈化設(shè)備在大氣治理項(xiàng)目中應(yīng)用越來(lái)越廣泛。除塵系統(tǒng)由以下幾部分組成：濾筒除塵器、外置風(fēng)機(jī)、旋風(fēng)除塵器、管路系統(tǒng)及電控系統(tǒng)。電控系統(tǒng)主要的功能為：風(fēng)機(jī)變頻控制、管路風(fēng)閥控制及壓差清灰系統(tǒng)。考慮系統(tǒng)控制簡(jiǎn)單，因此選用西門子新一代小型自動(dòng)化產(chǎn)品中的SMAR

• MPI和工業(yè)以太網(wǎng)

  通過(guò)工業(yè)以太網(wǎng)設(shè)定S7-300 CPU 的時(shí)間一般有兩種選擇，可以用CP343-1IT 或者其它的CP(例如：CP343-1)并且用S7通訊或UDP通訊。通常用CP343-1 IT 作為通訊處理器，原因是它可以通過(guò)SIMATIC模式或者通過(guò)NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)來(lái)完成時(shí)間設(shè)置。 如果沒有 CP343-1 IT ，則需要一個(gè)S7-400 作為主時(shí)鐘通過(guò)相關(guān)的功能塊調(diào)用給S7-300提供時(shí)鐘。例如通過(guò)

• S7-1500和仿真WinCC Runtime Advanced

  首先必須設(shè)置 PG/PC 接口，以確保仿真的操作面板或仿真的 Runtime與仿真的 PLC 之間建立通信。描述參考如下?S7-1500?和 HMI 操作面板或者 HMI Runtime Advanced 的仿真測(cè)試項(xiàng)目。打開 HMI 操作面板或 WinCC Runtime Advanced 的 “Connections” 編輯器。選擇想仿真使用的連接并且注意設(shè)置 "Acces

• S7-1200 MC_MoveJog

  MC_MoveJog指令名稱：點(diǎn)動(dòng)指令功能：在點(diǎn)動(dòng)模式下以*的速度連續(xù)移動(dòng)軸。使用技巧：正向點(diǎn)動(dòng)和反向點(diǎn)動(dòng)不能同時(shí)觸發(fā)?！鹤⒁狻徊糠州斎?輸出管腳沒有具體介紹，請(qǐng)用戶參考MC_Power指令中的說(shuō)明。①JogForward：正向點(diǎn)動(dòng)，不是用上升沿觸發(fā)，JogForward為1時(shí)，軸運(yùn)行；JogForward為0時(shí)，軸停止。類似于按鈕功能，按下按鈕，軸就運(yùn)行，松開按鈕，軸停止運(yùn)行。②JogBack