S7-1500 CPU 的客戶端證書處理

時(shí)間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：271

S7-1500 CPU 的客戶端證書處理



客戶端證書來(lái)自何處？

如果使用 S7-1500 CPU 的 OPC UA 客戶端（OPC UA 客戶端已啟用），則可按照以下章節(jié)中的詳細(xì)介紹，使用 STEP 7 V15.1 及較高版本為這些客戶端創(chuàng)建證書。

如果使用來(lái)自制造商或 OPC 基金會(huì)的 UA 客戶端，則會(huì)在安裝期間或在**調(diào)用程序時(shí)自動(dòng)生成客戶端證書。在 STEP 7 中，需要通過(guò)全局證書管理器導(dǎo)入這些證書，并在相應(yīng)的 CPU 中使用。

如果自行編寫 OPC UA 客戶端程序，則可以通過(guò)程序生成證書。也可通過(guò)工具生成證書（如，使用 OpenSSL 或 OPC 基金會(huì)的證書生成器）：

有關(guān)使用 OpenSSL 的操作步驟，請(qǐng)參見此處：“用戶自己生成 PKI 密鑰對(duì)和證書”。

有關(guān)使用 OPC 基金會(huì)的證書生成器的步驟，請(qǐng)參見此處：“創(chuàng)建自簽名證書”。

S7-1500 CPU 的 OPC UA 客戶端證書

僅當(dāng) OPC UA 服務(wù)器將 OPC UA 客戶端證書歸類為可信任證書時(shí)，服務(wù)器與客戶端之間才能建立安全連接。

因此，需要讓服務(wù)器知曉該客戶端證書。

在以下章節(jié)中，將介紹較初如何為 S7-1500 CPU 的 OPC UA 客戶端生成證書，并提供給服務(wù)器。

1.生成并導(dǎo)出客戶端證書

要進(jìn)行安全連接，需生成一個(gè)客戶端證書，如果服務(wù)器和客戶端位于不同項(xiàng)目中，還需要導(dǎo)出該證書。

如果客戶端和服務(wù)器位于相同項(xiàng)目中，則*導(dǎo)出客戶端以及進(jìn)行后續(xù)導(dǎo)入。

要求

CPU 的 IP 接口已組態(tài)，IP 地址可用。

背景：在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中，輸入用于訪問(wèn)系統(tǒng)中該 CPU 的 IP 地址。

創(chuàng)建 OPC UA 客戶端接口

為 S7-1500 CPU 生成客戶端證書的較簡(jiǎn)單方法是組態(tài)一個(gè)客戶端接口。

為選擇或生成客戶端證書而提供的客戶端接口的組態(tài)，參見“創(chuàng)建和組態(tài)連接”。

或者可按以下方法生成客戶端證書：

在項(xiàng)目樹中，選擇將用作客戶端的 CPU。

雙擊“設(shè)備組態(tài)”(Device configuration)。

在該 CPU 的屬性中，單擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager)。

在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開一個(gè)對(duì)話框。

單擊“添加”(Add) 按鈕。

從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

單擊“確定”(OK)。

此時(shí)，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

如果服務(wù)器位于另一項(xiàng)目中：右鍵單擊此行，并從快捷菜單中選擇“導(dǎo)*書”(Export certificate)。

選擇該客戶端證書的目標(biāo)存儲(chǔ)目錄。

2.向服務(wù)器通告該客戶端證書

用戶需要將該客戶端證書發(fā)送至服務(wù)器，以便允許建立安全連接。

為此，請(qǐng)執(zhí)行以下操作步驟：

如果客戶端是在另一項(xiàng)目中組態(tài)的，并且已在該項(xiàng)目中創(chuàng)建并導(dǎo)出客戶端證書：

- 選擇服務(wù)器本地證書管理器中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項(xiàng)。這會(huì)使全局證書管理器可用。

可以在用作服務(wù)器的 CPU 的特性“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager) 下找到此選項(xiàng)。

- 如果項(xiàng)目未受保護(hù)，請(qǐng)?jiān)?STEP 7 的項(xiàng)目樹中選擇“安全設(shè)置 > 設(shè)置”(Security settings > Settings)，然后單擊“保護(hù)此項(xiàng)目”(Protect this project) 按鈕并登錄。

“全局安全設(shè)置”(Global security settings) 菜單項(xiàng)隨即顯示在 STEP 7 項(xiàng)目樹的“安全設(shè)置”(Security setting) 下。

- 雙擊“全局安全設(shè)置”(Global security settings)。

- 雙擊“證書管理器”(Certificate manager)。

STEP 7 將打開全局證書管理器。

- 單擊“設(shè)備證書”(Device certificates) 選項(xiàng)卡。

- 在此選項(xiàng)卡的空白區(qū)域（而非證書上）中，右鍵單擊鼠標(biāo)。

- 選擇“導(dǎo)入”(Import) 快捷菜單。

將顯示用于導(dǎo)入證書的對(duì)話框。

- 選擇服務(wù)器信任的客戶端證書。

- 單擊“打開”(Open)，導(dǎo)入證書。

客戶端證書現(xiàn)已包含在全局證書管理器中。請(qǐng)留意剛剛導(dǎo)入的客戶端證書 ID。

單擊用作服務(wù)器的 CPU 的特性中的“常規(guī)”(General) 選項(xiàng)卡。

單擊“OPC UA > 服務(wù)器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。

在“安全通道”(Secure Channel) 對(duì)話框中向下滾動(dòng)至“受信客戶端”(Trusted clients) 部分。

雙擊表中空行的“<新增>”(<add new>)。隨即會(huì)在該行中顯示瀏覽按鈕。

單擊該按鈕。

選擇準(zhǔn)備好的客戶端證書。

單擊帶有綠色復(fù)選標(biāo)記的按鈕。

編譯項(xiàng)目。

將組態(tài)加載到 S7-1500 CPU（服務(wù)器）。

結(jié)果

服務(wù)器現(xiàn)已信任此客戶端。如果還將服務(wù)器證書視為受信證書，則服務(wù)器和客戶端之間可建立安全連接。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• SM 1278 4xIO-Link 主站

  6ES7278-4BD32-0XB0SIMATIC S7-1200， SM1278 IO-Link， 4xIO-Link 主站根據(jù) IO Link 規(guī)范 V1.1 連接較多 4 個(gè) IO-Link 設(shè)備的模塊?？墒褂枚丝诮M態(tài)工具 (PCT) V3.2 或較高版本對(duì) IO-Link 參數(shù)進(jìn)行組態(tài)。應(yīng)用使用 SM 1278 模塊，可通過(guò)一條 3 線制電纜與較多 4 個(gè)外部 IO-Link 設(shè)備或 4

• 提交支持請(qǐng)求

  支持請(qǐng)求”功能用于創(chuàng)建包含所選系統(tǒng)和項(xiàng)目數(shù)據(jù)的文件?？梢栽诠I(yè)在線支持網(wǎng)站中創(chuàng)建支持請(qǐng)求時(shí)附加此文件。自動(dòng)生成的數(shù)據(jù)可產(chǎn)生支持處理支持請(qǐng)求的擴(kuò)展畫面。該文件中包含以下信息：概述已安裝的產(chǎn)品已安裝的版本已安裝的選件包已安裝的服務(wù)包已安裝的支持包已安裝的熱補(bǔ)丁已安裝的組件已安裝的產(chǎn)品操作系統(tǒng)信息項(xiàng)目數(shù)據(jù)（項(xiàng)目中使用的產(chǎn)品訂單號(hào)）操作步驟要編譯支持請(qǐng)求的信息，需執(zhí)行以下操作：打開“支持請(qǐng)求”(Suppo

• ISO OPC 屬性

  ISO OPC 屬性相關(guān)性參數(shù)組“屬性 > 常規(guī) > OPC”(Properties > General > OPC) 中的 OPC 連接組態(tài)。在此可以為由 OPC 服務(wù)器使用的 ISO 傳輸連接設(shè)置連接特定的屬性?？梢栽O(shè)置以下參數(shù)：作業(yè)**時(shí)如果在此處設(shè)置的等待時(shí)間內(nèi)無(wú)法處理未決作業(yè)，則會(huì)復(fù)位連接和確認(rèn)該作業(yè)，并且會(huì)出現(xiàn)錯(cuò)誤。取值范圍： 0 到 99999 ms- 默認(rèn)設(shè)置

• FDL 地址詳細(xì)信息

  FDL 地址詳細(xì)信息相關(guān)性參數(shù)組“屬性 > 常規(guī) > 地址詳細(xì)信息”(Properties > General > Address details) 中的連接組態(tài)。FDL 連接的地址參數(shù)FDL 連接通過(guò)其本地和遠(yuǎn)程連接端點(diǎn)來(lái)*。 其中包括：要到達(dá)的節(jié)點(diǎn)的 PROFIBUS 地址。本地 LSAP（Link Service Access Point，鏈接服務(wù)訪問(wèn)點(diǎn)）：本地 L