處理客戶端和服務(wù)器證書

時間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：243

處理客戶端和服務(wù)器證書



僅當(dāng) OPC UA 服務(wù)器可向 OPC UA 客戶端證明身份時，才能建立服務(wù)器與客戶端之間的安全連接。服務(wù)器證書可用于證實(shí)身份。

OPC UA 服務(wù)器的證書

激活 OPC UA 服務(wù)器并確認(rèn)安全提示后，STEP 7 會自動為服務(wù)器生成證書，并將其保存在 CPU 的局部證書目錄中?？梢允褂?CPU 的局部證書管理器查看并管理此目錄（導(dǎo)出或刪除證書）。

下圖所示為包含 OPC UA 服務(wù)器自動生成的證書的 CPU 局部證書管理器：




或者，您還可以自行生成服務(wù)器證書。

在建立連接時，服務(wù)器證書將從服務(wù)器傳送到客戶端?？蛻舳藢z查該證書。

客戶端用戶將確定是否信任該服務(wù)器證書。

此時，客戶端用戶需確定是否信任該服務(wù)器證書。如果信任該服務(wù)器證書，則客戶端將服務(wù)器證書存儲在包含可信服務(wù)器證書的目錄中。

在以下示例中，顯示了客戶端“"UA Sample Client"”的對話框。如果用戶單擊“是”(Yes) 按鈕，則客戶端將信任此服務(wù)器證書：




客戶端證書來自哪里？

S7-1500 的客戶端

如果使用 S7-1500 CPU 的 OPC UA 客戶端（已啟用 OPC UA 客戶端），可使用 STEP 7 V15 及較高版本為這些客戶端創(chuàng)建證書。

在項(xiàng)目樹中，選擇將用作客戶端的 CPU。

雙擊“設(shè)備組態(tài)”(Device configuration)。

在該 CPU 的屬性中，單擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager)。

在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開一個對話框。

單擊“添加”(Add) 按鈕。

從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

注：

必須在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中輸入用于訪問系統(tǒng)中 CPU 的 IP 地址。

因此，在生成客戶端證書之前，需要對 CPU 的 IP 接口進(jìn)行組態(tài)。

單擊“確定”(OK)。

此時，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

右鍵單擊該行，并在快捷菜單中選擇“導(dǎo)*書”(Export certificate) 條目。

選擇該客戶端證書的目標(biāo)存儲目錄。

其它制造商的客戶端

如果使用來自制造商或 OPC 基金會的 UA 客戶端，則會在安裝期間或在**調(diào)用程序時自動生成客戶端證書。需要在 STEP 7 中通過全局證書管理器導(dǎo)入這些證書，并將其用于相應(yīng)的 CPU（如前文所示）。

用戶自己編程 OPC UA 客戶端時，可生成相應(yīng)的證書；請參見“客戶端的實(shí)例證書”部分。也可通過工具生成證書（如，使用 OpenSSL 或 OPC 基金會的證書生成器）：

使用 OpenSSL 時的操作步驟：“用戶自己生成 PKI 密鑰對和證書”。

使用 OPC 基金會的證書生成器時：“創(chuàng)建自簽名的證書”。

向服務(wù)器宣布客戶端證書

您需要向服務(wù)器發(fā)送客戶端證書，以允許建立安全連接。

為此，請執(zhí)行以下操作步驟：

選擇服務(wù)器本地證書管理器中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項(xiàng)。這會使全局證書管理器可用。

可以在用作服務(wù)器的 CPU 的特性“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager) 下找到此選項(xiàng)。

如果項(xiàng)目未受保護(hù)，請?jiān)?STEP 7 的項(xiàng)目樹中選擇“安全設(shè)置 > 設(shè)置”(Security settings > Settings)，然后單擊“保護(hù)此項(xiàng)目”(Protect this project) 按鈕并登錄。

“全局安全設(shè)置”(Global security settings) 菜單項(xiàng)隨即顯示在 STEP 7 項(xiàng)目樹的“安全設(shè)置”(Security setting) 下。

雙擊“全局安全設(shè)置”(Global security settings)。

雙擊“證書管理器”(Certificate manager)。

STEP 7 將打開全局證書管理器。

單擊“受信任證書”(Trusted certificates) 選項(xiàng)卡。

在此選項(xiàng)卡的空白區(qū)域（而非證書上）中，右鍵單擊鼠標(biāo)。

選擇快捷菜單中的“導(dǎo)入”(Import) 命令。

將顯示用于導(dǎo)入證書的對話框。

選擇服務(wù)器信任的客戶端證書。

單擊“打開”(Open)，導(dǎo)入證書。

客戶端證書現(xiàn)已包含在全局證書管理器中。

請留意剛剛導(dǎo)入的客戶端證書 ID。

單擊用作服務(wù)器的 CPU 的特性中的“常規(guī)”(General) 選項(xiàng)卡。

單擊“OPC UA > 服務(wù)器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。

在“安全通道”(Secure Channel) 對話框中向下滾動至“受信客戶端”(Trusted clients) 部分。

雙擊表中空行的“<新增>”(<add new>)。隨即會在該行中顯示瀏覽按鈕。

單擊該按鈕。

選擇已導(dǎo)入的客戶端證書。

單擊帶有綠色復(fù)選標(biāo)記的按鈕。

編譯項(xiàng)目。

將組態(tài)加載到 S7-1500 CPU。

結(jié)果：

服務(wù)器現(xiàn)已信任此客戶端。如果還將服務(wù)器證書視為受信證書，則服務(wù)器和客戶端之間可建立安全連接。

自動接受客戶端證書

如果選擇選項(xiàng)“運(yùn)行時自動接受所有客戶端證書”(Automatically accept all client certificates during runtime)（位于“受信客戶端”(Trusted clients) 列表下），則服務(wù)器會自動接受所有客戶端證書。

注意 調(diào)試后的設(shè)置 為了避免安全風(fēng)險，在調(diào)試后，需再次取消選中“運(yùn)行過程中自動接受客戶端證書”(Automatically accept client certificates during runtime) 選項(xiàng)。




組態(tài)服務(wù)器的安全設(shè)置

下圖顯示了適合對消息進(jìn)行簽名和加密的服務(wù)器安全設(shè)置。




默認(rèn)情況下，服務(wù)器證書創(chuàng)建時使用 SHA256 簽名。并啟用以下安全策略：

無
不安全端點(diǎn)

提示 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服務(wù)器的安全通道設(shè)置中啟用了所有安全策略（默認(rèn)設(shè)置），即采用端點(diǎn)“無”(None)（不安全），則服務(wù)器和客戶端之間還可能存在非安全數(shù)據(jù)通信（既未簽名也未加密）。由于選擇“不安全”(No security)，客戶端的身份仍然未知。無論后續(xù)為哪種安全設(shè)置，每個 OPC UA 客戶端隨后都可以連接到服務(wù)器。 組態(tài) OPC UA 服務(wù)器時，請確保**擇與您的設(shè)備或工廠的安全概念兼容的安全策略。應(yīng)禁用所有其它安全策略。 建議：如果可能，請使用“Basic256Sha256”設(shè)置。




Basic128Rsa15 - 簽名
不安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點(diǎn)通過簽名確保數(shù)據(jù)的完整性。

Basic128Rsa15 - 簽名和加密
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點(diǎn)通過簽名和加密確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點(diǎn)通過簽名確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名和加密
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點(diǎn)通過簽名和加密確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名
端點(diǎn)進(jìn)行安全連接，支持一系列 256 位哈希和 256 位加密算法。
該端點(diǎn)通過簽名確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名和加密
安全端點(diǎn)，支持一系列 256 位哈希和 256 位加密算法。
該端點(diǎn)將通過簽名與加密機(jī)制確保數(shù)據(jù)的完整性和保密性。

要啟用安全設(shè)置，請單擊相關(guān)行的復(fù)選框。

提示 如果設(shè)置為“Basic256Sha256 - 簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 簽名并加密”(Basic256Sha256 -Sign & Encrypt)，則 OPC UA 服務(wù)器和 OPC UA 客戶端必須使用“SHA256”簽名的證書。 對于“Basic256Sha256-簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256-簽名并加密”(Basic256Sha256 -Sign & Encrypt) 設(shè)置，STEP 7 中的證書頒發(fā)機(jī)構(gòu)將使用“SHA256”自動對證書進(jìn)行簽名。




“不安全”安全策略和通過用戶名和密碼進(jìn)行身份驗(yàn)證

可執(zhí)行以下組合設(shè)置：

“不安全”安全策略和通過用戶名和密碼進(jìn)行身份驗(yàn)證

S7-1500 的 OPC UA 服務(wù)器支持該組合設(shè)置。OPC UA 客戶端可連接并加密認(rèn)證數(shù)據(jù)，反之亦然。

S7-1500 CPU 的 OPC UA 客戶端也支持該組合設(shè)置：但在運(yùn)行時，僅當(dāng)通過電纜發(fā)送加密的認(rèn)證數(shù)據(jù)時才能連接！


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 故障安全控制器組態(tài)

  F 模塊使用組態(tài)控制（選件處理）會產(chǎn)生額外的診斷。這個 FAQ 主要適用于如下產(chǎn)品的正確應(yīng)用：故障安全控制器 S7-1200 和 S7-1500選件包? STEP 7 Safety Basic (V13 和較高版本)?和 STEP 7 Safety Advanced (V13 和較高)分布式 IO ET200 的 F 模塊集中式應(yīng)用的 F 模塊 (S7-1200, S7-150

• S7-1200 全局DB中的數(shù)據(jù)類型介紹

  S7-1200?全局DB中的數(shù)據(jù)類型，包括基本數(shù)據(jù)類型、系統(tǒng)數(shù)據(jù)類型和硬件數(shù)據(jù)類型。在DB塊中，新建一個變量，在數(shù)據(jù)類型列的下拉列表中，選擇需要的數(shù)據(jù)類型?；緮?shù)據(jù)類型基本數(shù)據(jù)類型：包括位、位字符串、整數(shù)、浮點(diǎn)數(shù)、定時器、日期&時間、字符、數(shù)組和結(jié)構(gòu)1.位和位字符串2.整數(shù)數(shù)據(jù)類型3.浮點(diǎn)型實(shí)數(shù)數(shù)據(jù)類型如 ANSI/IEEE 754-1985 標(biāo)準(zhǔn)所述，實(shí)（或浮點(diǎn)）數(shù)以 32 位

• S7-1200與S7-300CPU

  S7-1200 與 S7-300 之間的以太網(wǎng)通信方式比較多，可以采用ISO on TCP、TCP和 S7 的方式進(jìn)行通信。在S7-1200 CPU 中采用ISO on TCP和TCP這兩種協(xié)議進(jìn)行通信所使用的指令是相同的，都使用 T-block ( TSEND_C, TRCV_C, TCON, TDISCON, TSEN, TRCV ) 指令編程。S7-300 CPU一側(cè)如果使用的是CPU集成的

• 1200 STARTUP 模式的原理

  STARTUP 模式的原理功能接通 CPU 后，它在開始執(zhí)行循環(huán)用戶程序之前首先執(zhí)行啟動程序。通過適當(dāng)編寫啟動 OB，可以在啟動程序中為循環(huán)程序*一些初始化變量。 對啟動 OB 的數(shù)量沒有要求。 即，可以在用戶程序中創(chuàng)建一個或多個啟動 OB，或者一個也不創(chuàng)建。啟動特性的參數(shù)設(shè)置可以* CPU 是否保持在 STOP 模式或者是否在暖啟動。 此外，還可以在 CPU 屬性的“啟動”(Startup)