ITU X.509 證書

時(shí)間：2021-07-28作者：上海騰希電氣技術(shù)有限公司瀏覽：148

ITU X.509 證書



OPC UA 的多個(gè)層級(jí)中，都集成有安全機(jī)制。其中，數(shù)字證書至關(guān)重要。僅當(dāng) OPC UA 服務(wù)器接受 OPC UA 客戶端的數(shù)字證書并將其歸類為可信時(shí)，客戶端才能與服務(wù)器建立安全連接。

請(qǐng)參見“處理客戶端和服務(wù)器證書”部分。

與此同時(shí)，客戶端還必須檢查并信任服務(wù)器的證書。服務(wù)器和客戶端必須顯示自己的身份，并證明該身份與聲明的相同。即，服務(wù)器和客戶端必須證明自己的身份。例如，客戶端和服務(wù)器的相互驗(yàn)證可有效防止中間人攻擊。

“中間人”攻擊

“中間人”可能會(huì)出現(xiàn)在服務(wù)器和客戶端之間。中間人是一種程序，會(huì)截獲服務(wù)器與客戶端之間的通信并將自身偽裝為客戶端或服務(wù)器，以獲取 S7 程序的相關(guān)信息或設(shè)置 CPU 的值，進(jìn)而對(duì)設(shè)備或工廠進(jìn)行攻擊。

OPC UA 使用的數(shù)字證書符合**電信聯(lián)盟 (ITU) 的 X.509 標(biāo)準(zhǔn)，

可識(shí)別（認(rèn)證）一個(gè)程序、計(jì)算機(jī)或機(jī)構(gòu)的身份。

X.509 證書

X.509 證書包含以下信息：

證書的版本號(hào)

證書的序列號(hào)

證書頒發(fā)機(jī)構(gòu)對(duì)證書進(jìn)行簽名的算法。

證書頒發(fā)機(jī)構(gòu)的名稱

證書有效期的起始和結(jié)束時(shí)間

由證書頒發(fā)機(jī)構(gòu)簽名證書的程序、個(gè)人或機(jī)構(gòu)名稱。

程序、個(gè)人或機(jī)構(gòu)的公鑰。

因此，X509 證書將身份（程序、個(gè)人或機(jī)構(gòu)的名稱）與該程序、個(gè)人或機(jī)構(gòu)的公鑰關(guān)聯(lián)在一起。

在連接建立期間檢查

客戶端與服務(wù)器建立連接時(shí)，設(shè)備將基于證書檢查全部所需信息以確保其完整性，如簽名、有效期、應(yīng)用程序名稱 (URN)，對(duì)于固件版本 V2.5，還會(huì)檢查客戶端證書中客戶端的 IP 地址。

提示 此外，還會(huì)檢查證書中存儲(chǔ)的有效期。因此必須設(shè)置 CPU 時(shí)鐘，且日期/時(shí)間必須在有效期內(nèi)，否則將無法進(jìn)行通信。




簽名和加密

要檢查證書是否篡改，則需對(duì)證書進(jìn)行簽名。

可通過以下幾種方式進(jìn)行操作：

在 TIA Portal 中，可生成證書并為證書簽名。如果您已對(duì)項(xiàng)目進(jìn)行保護(hù)，并以具有可進(jìn)行安全設(shè)置的功能權(quán)限的用戶身份登錄，則可以使用全局安全設(shè)置。通過全局安全設(shè)置可訪問證書管理器，由此也可訪問 TIA Portal 的證書頒發(fā)機(jī)構(gòu) (CA)。

還可通過其它選項(xiàng)創(chuàng)建證書并為證書簽名。在 TIA Portal 中，可將證書導(dǎo)入到全局證書管理器中。

- 聯(lián)系一家證書頒發(fā)機(jī)構(gòu) (CA) 并對(duì)證書進(jìn)行簽名。

此時(shí)，認(rèn)證頒發(fā)機(jī)構(gòu)將核實(shí)您的身份，并通過該證書頒發(fā)機(jī)構(gòu)的私鑰對(duì)您的證書進(jìn)行簽名。為此，需向證書頒發(fā)機(jī)構(gòu)發(fā)送一個(gè) CSR（證書簽名請(qǐng)求）。

- 自行創(chuàng)建證書并對(duì)其進(jìn)行簽名。

例如，為實(shí)現(xiàn)上述過程，您應(yīng)使用 OPC 基金會(huì)的“Opc.Ua.CertificateGenerator”程序。還可使用 OpenSSL。
更多信息，請(qǐng)參見“用戶自己生成 PKI 密鑰對(duì)和證書”。

有用信息：證書類型

自簽名證書

每個(gè)設(shè)備都可生成并簽署自己的證書。應(yīng)用示例：通信節(jié)點(diǎn)數(shù)量有限的靜態(tài)組態(tài)。

不能從自簽名證書派生新的證書。但是，需要將所有自簽名證書從伙伴設(shè)備加載到 CPU（需要在 STOP 模式下執(zhí)行）。

CA 證書：

所有證書都由證書頒發(fā)機(jī)構(gòu)生成和進(jìn)行簽名。應(yīng)用示例：動(dòng)態(tài)添加設(shè)備。

只需將證書從證書頒發(fā)機(jī)構(gòu)下載到 CPU。證書頒發(fā)機(jī)構(gòu)可以生成新的證書（添加伙伴設(shè)備*在 CPU STOP 模式下）。

簽名

如下所述，通過該簽名，可驗(yàn)證消息的完整性和來源。

首先，發(fā)送方根據(jù)純文本信息（純文本消息）生成 HASH 值。之后，再通過私鑰對(duì)該 HASH 值進(jìn)行加密，并將該純文本消息連同加密后的 HASH 值一同發(fā)送到接收方。驗(yàn)證簽名時(shí)，接收方需要一個(gè)發(fā)送方的公鑰（包含在發(fā)送方的 X509 證書中）。接收方基于發(fā)送方的公鑰，對(duì)接收到的 HASH 值進(jìn)行解密。然后，接收方再根據(jù)接收到的純文本消息生成自己的 HASH 值（HASH 過程包含在發(fā)送方的證書中）。接收方對(duì)這兩個(gè) HASH 值進(jìn)行比較：

如果兩個(gè) HASH 值相同，則表示從發(fā)送方接收到的純文本消息未經(jīng)更改并未被篡改。

如果兩個(gè) HASH 不匹配，則表示到達(dá)接收方的的純文本消息發(fā)生了更改。純文本消息在傳送過程中被篡改或受損。

加密

加密數(shù)據(jù)可防止非經(jīng)授權(quán)的讀取。X509 證書不加密；這些證書為公開證書，任何人均可查看。

在加密過程中，發(fā)送方將使用接收方的公鑰對(duì)純文本消息進(jìn)行加密。為此，發(fā)送方需要接收方的 X509 證書。這是因?yàn)?，該證書中包含接收方的公鑰。接收方使用自己的私鑰對(duì)消息進(jìn)行解密。只有接收方才能對(duì)該消息進(jìn)行解密：只有他們才擁有相應(yīng)的私鑰。因此，任何時(shí)候私鑰都不得泄露。

安全通道

OPC UA 使用客戶端與服務(wù)器的私鑰和公鑰建立安全連接，即安全通道。建立安全連接后，客戶端和服務(wù)器將生成一個(gè)只有它們才了解的內(nèi)部密鑰，它們使用此密鑰對(duì)消息進(jìn)行簽名和加密。較非對(duì)稱加密過程（私鑰和公鑰）過程，對(duì)稱加密過程（共享密鑰）的運(yùn)行速度要快得多。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 與 CP 1242-7 建立連接

  與 CP 1242-7 建立連接CP?1242?7 (6GK7?242?7KX30?0XE0) 的連接模式“GPRS 直連”模式“GPRS 直連”模式中沒有其它的連接模式?！癟elecontrol” 模式可將 CP 組態(tài)為以下連接模式。-?“*”連接模式存在與遙控服務(wù)器的* TCP 連接。連接建立后，即使沒有持續(xù)傳送數(shù)據(jù)，也將存在與遠(yuǎn)程控制服務(wù)器的* TCP 連

• 源 NAT

  源 NAT可在此頁面中組態(tài)源 NAT 的規(guī)則。提示包含源 NAT 的*墻規(guī)則包含源 NAT 的地址轉(zhuǎn)換僅在*墻之后執(zhí)行；因此使用非轉(zhuǎn)換地址。“安全 > *墻 > IP 規(guī)則”(Security > Firewall > IP rules)源（范圍）：來自“源 IP 地址”(Source IP Addresses) 的輸入目標(biāo)（范圍）：來自“目標(biāo) IP 地址”(Dest

• 設(shè)置日期和時(shí)間

  設(shè)置日期和時(shí)間 -“日期和時(shí)間”(Date and time) 條目如何訪問該功能選擇想要檢查或設(shè)置其時(shí)間和日期的安全模塊。在快捷菜單中，選擇“在線和診斷”(Online & diagnostics) 命令。在在線診斷中，選擇“功能 > 日期和時(shí)間”(Functions > Date and time) 條目。設(shè)置安全模塊上的本地時(shí)間在此區(qū)域中，可讀出和設(shè)置安全模塊的時(shí)間和日期

• 編譯項(xiàng)目數(shù)據(jù)

  編譯項(xiàng)目數(shù)據(jù)以下部分介紹了在項(xiàng)目樹中編譯項(xiàng)目數(shù)據(jù)的一般步驟。 有關(guān)如何編譯某些對(duì)象的詳細(xì)信息以及任何特殊注意事項(xiàng)，請(qǐng)參見產(chǎn)品的在線幫助。步驟要編譯項(xiàng)目數(shù)據(jù)，請(qǐng)執(zhí)行下列步驟：在項(xiàng)目樹中，選擇要編譯項(xiàng)目數(shù)據(jù)的設(shè)備。在快捷菜單的“編譯”(Compile) 子菜單中，選擇所需的選項(xiàng)。提示請(qǐng)注意，哪些選項(xiàng)可用取決于所選設(shè)備。編譯項(xiàng)目數(shù)據(jù)。 可以在巡視窗口中通過“信息 > 編譯”(Info > C