處理客戶端和服務(wù)器證書

時間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：255

處理客戶端和服務(wù)器證書



僅當 OPC UA 服務(wù)器可向 OPC UA 客戶端證明身份時，才能建立服務(wù)器與客戶端之間的安全連接。服務(wù)器證書可用于證實身份。

OPC UA 服務(wù)器的證書

激活 OPC UA 服務(wù)器并確認安全提示后，STEP 7 會自動為服務(wù)器生成證書，并將其保存在 CPU 的局部證書目錄中?？梢允褂?CPU 的局部證書管理器查看并管理此目錄（導出或刪除證書）。

下圖所示為包含 OPC UA 服務(wù)器自動生成的證書的 CPU 局部證書管理器：




或者，您還可以自行生成服務(wù)器證書。

在建立連接時，服務(wù)器證書將從服務(wù)器傳送到客戶端?？蛻舳藢z查該證書。

客戶端用戶將確定是否信任該服務(wù)器證書。

此時，客戶端用戶需確定是否信任該服務(wù)器證書。如果信任該服務(wù)器證書，則客戶端將服務(wù)器證書存儲在包含可信服務(wù)器證書的目錄中。

在以下示例中，顯示了客戶端“"UA Sample Client"”的對話框。如果用戶單擊“是”(Yes) 按鈕，則客戶端將信任此服務(wù)器證書：




客戶端證書來自哪里？

S7-1500 的客戶端

如果使用 S7-1500 CPU 的 OPC UA 客戶端（已啟用 OPC UA 客戶端），可使用 STEP 7 V15 及較高版本為這些客戶端創(chuàng)建證書。

在項目樹中，選擇將用作客戶端的 CPU。

雙擊“設(shè)備組態(tài)”(Device configuration)。

在該 CPU 的屬性中，單擊“保護和安全 > 證書管理器”(Protection & Security > Certificate manager)。

在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開一個對話框。

單擊“添加”(Add) 按鈕。

從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

注：

必須在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中輸入用于訪問系統(tǒng)中 CPU 的 IP 地址。

因此，在生成客戶端證書之前，需要對 CPU 的 IP 接口進行組態(tài)。

單擊“確定”(OK)。

此時，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

右鍵單擊該行，并在快捷菜單中選擇“導*書”(Export certificate) 條目。

選擇該客戶端證書的目標存儲目錄。

其它制造商的客戶端

如果使用來自制造商或 OPC 基金會的 UA 客戶端，則會在安裝期間或在**調(diào)用程序時自動生成客戶端證書。需要在 STEP 7 中通過全局證書管理器導入這些證書，并將其用于相應(yīng)的 CPU（如前文所示）。

用戶自己編程 OPC UA 客戶端時，可生成相應(yīng)的證書；請參見“客戶端的實例證書”部分。也可通過工具生成證書（如，使用 OpenSSL 或 OPC 基金會的證書生成器）：

使用 OpenSSL 時的操作步驟：“用戶自己生成 PKI 密鑰對和證書”。

使用 OPC 基金會的證書生成器時：“創(chuàng)建自簽名的證書”。

向服務(wù)器宣布客戶端證書

您需要向服務(wù)器發(fā)送客戶端證書，以允許建立安全連接。

為此，請執(zhí)行以下操作步驟：

選擇服務(wù)器本地證書管理器中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項。這會使全局證書管理器可用。

可以在用作服務(wù)器的 CPU 的特性“保護和安全 > 證書管理器”(Protection & Security > Certificate manager) 下找到此選項。

如果項目未受保護，請在 STEP 7 的項目樹中選擇“安全設(shè)置 > 設(shè)置”(Security settings > Settings)，然后單擊“保護此項目”(Protect this project) 按鈕并登錄。

“全局安全設(shè)置”(Global security settings) 菜單項隨即顯示在 STEP 7 項目樹的“安全設(shè)置”(Security setting) 下。

雙擊“全局安全設(shè)置”(Global security settings)。

雙擊“證書管理器”(Certificate manager)。

STEP 7 將打開全局證書管理器。

單擊“受信任證書”(Trusted certificates) 選項卡。

在此選項卡的空白區(qū)域（而非證書上）中，右鍵單擊鼠標。

選擇快捷菜單中的“導入”(Import) 命令。

將顯示用于導入證書的對話框。

選擇服務(wù)器信任的客戶端證書。

單擊“打開”(Open)，導入證書。

客戶端證書現(xiàn)已包含在全局證書管理器中。

請留意剛剛導入的客戶端證書 ID。

單擊用作服務(wù)器的 CPU 的特性中的“常規(guī)”(General) 選項卡。

單擊“OPC UA > 服務(wù)器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。

在“安全通道”(Secure Channel) 對話框中向下滾動至“受信客戶端”(Trusted clients) 部分。

雙擊表中空行的“<新增>”(<add new>)。隨即會在該行中顯示瀏覽按鈕。

單擊該按鈕。

選擇已導入的客戶端證書。

單擊帶有綠色復選標記的按鈕。

編譯項目。

將組態(tài)加載到 S7-1500 CPU。

結(jié)果：

服務(wù)器現(xiàn)已信任此客戶端。如果還將服務(wù)器證書視為受信證書，則服務(wù)器和客戶端之間可建立安全連接。

自動接受客戶端證書

如果選擇選項“運行時自動接受所有客戶端證書”(Automatically accept all client certificates during runtime)（位于“受信客戶端”(Trusted clients) 列表下），則服務(wù)器會自動接受所有客戶端證書。

注意 調(diào)試后的設(shè)置 為了避免安全風險，在調(diào)試后，需再次取消選中“運行過程中自動接受客戶端證書”(Automatically accept client certificates during runtime) 選項。




組態(tài)服務(wù)器的安全設(shè)置

下圖顯示了適合對消息進行簽名和加密的服務(wù)器安全設(shè)置。




默認情況下，服務(wù)器證書創(chuàng)建時使用 SHA256 簽名。并啟用以下安全策略：

無
不安全端點

提示 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服務(wù)器的安全通道設(shè)置中啟用了所有安全策略（默認設(shè)置），即采用端點“無”(None)（不安全），則服務(wù)器和客戶端之間還可能存在非安全數(shù)據(jù)通信（既未簽名也未加密）。由于選擇“不安全”(No security)，客戶端的身份仍然未知。無論后續(xù)為哪種安全設(shè)置，每個 OPC UA 客戶端隨后都可以連接到服務(wù)器。 組態(tài) OPC UA 服務(wù)器時，請確保**擇與您的設(shè)備或工廠的安全概念兼容的安全策略。應(yīng)禁用所有其它安全策略。 建議：如果可能，請使用“Basic256Sha256”設(shè)置。




Basic128Rsa15 - 簽名
不安全端點，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點通過簽名確保數(shù)據(jù)的完整性。

Basic128Rsa15 - 簽名和加密
安全端點，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點通過簽名和加密確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名
安全端點，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點通過簽名確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名和加密
安全端點，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點通過簽名和加密確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名
端點進行安全連接，支持一系列 256 位哈希和 256 位加密算法。
該端點通過簽名確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名和加密
安全端點，支持一系列 256 位哈希和 256 位加密算法。
該端點將通過簽名與加密機制確保數(shù)據(jù)的完整性和保密性。

要啟用安全設(shè)置，請單擊相關(guān)行的復選框。

提示 如果設(shè)置為“Basic256Sha256 - 簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 簽名并加密”(Basic256Sha256 -Sign & Encrypt)，則 OPC UA 服務(wù)器和 OPC UA 客戶端必須使用“SHA256”簽名的證書。 對于“Basic256Sha256-簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256-簽名并加密”(Basic256Sha256 -Sign & Encrypt) 設(shè)置，STEP 7 中的證書頒發(fā)機構(gòu)將使用“SHA256”自動對證書進行簽名。




“不安全”安全策略和通過用戶名和密碼進行身份驗證

可執(zhí)行以下組合設(shè)置：

“不安全”安全策略和通過用戶名和密碼進行身份驗證

S7-1500 的 OPC UA 服務(wù)器支持該組合設(shè)置。OPC UA 客戶端可連接并加密認證數(shù)據(jù)，反之亦然。

S7-1500 CPU 的 OPC UA 客戶端也支持該組合設(shè)置：但在運行時，僅當通過電纜發(fā)送加密的認證數(shù)據(jù)時才能連接！


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• V90伺服回原點

  回原點“原點”也可以叫做“參考點”，“回原點”或是“尋找參考點”的作用是：把軸實際的機械位置和S7-1200程序中軸的位置坐標統(tǒng)一，以進行**位置定位。一般情況下，西門子PLC的運動控制在使能**位置定位之前必須執(zhí)行“回原點”或是“尋找參考點”?！皵U展參數(shù)-回原點”分成“主動”和“被動”兩部分參數(shù)。主動在這里的“擴展參數(shù)-回原點-主動”中“主動”就是傳統(tǒng)意義上的回原點或是尋找參考點。當軸觸發(fā)了主動

• PLC data types (UDT)

  PLC data types (UDT)使用的 UDT以下 PLC 數(shù)據(jù)類型 (UDT) 用于塊庫：TransmitBlockCPU 與 TIM 之間的 UDT 數(shù)據(jù)傳送使用“Dat256D_S / Dat256D_R”典型值時，將 UDT 復制到相應(yīng) CPU 的“PLC 數(shù)據(jù)類型”(PLC data types) 目錄中。典型值不會自動引用 UDT。UDT *進行任何參數(shù)分配。

• WinCC V7.5 模擬量報警組態(tài)

  由模擬量觸發(fā)的**過限制值、值相同以及值不同的報警稱為模擬量報警，例如溫度**較小值，水位**過警戒線等。1.首先在項目管理器左邊菜單中雙擊“報警記錄”。2.在彈出的報警記錄編輯器中選擇“限值監(jiān)視”。3.在右邊消息列表中選擇“變量”。4.選擇需要監(jiān)視的模擬量。5.點擊圖中變量左邊的箭頭。6.在下一行的下拉列表中選擇比較方式。7.這里我們選擇上限，消息號填寫2，比較值填寫80，那么當變量值大于等于80，

• 手動導入設(shè)置

  手動導入設(shè)置可從初始化文件手動導入 TIA Portal 設(shè)置，以覆蓋其他用戶的設(shè)置。操作步驟在“選項”(Options) 菜單中，選擇“設(shè)置”(Settings) 命令。將顯示 TIA Portal 中的設(shè)置信息。在區(qū)域?qū)Ш街校x擇條目“常規(guī)”(General)。在“導入/導出設(shè)置”(Import/export settings) 區(qū)域中，單擊“導入設(shè)置...”(Import settings.