示例：基于 TLS 的 HTTP

時(shí)間：2021-07-23作者：上海騰希電氣技術(shù)有限公司瀏覽：89

示例：基于 TLS 的 HTTP



下圖顯示了如何使用介紹的機(jī)制在 S7-1500 CPU 的 Web 瀏覽器和 Web 服務(wù)器之間創(chuàng)建安全通信。

首先介紹如何更改 STEP 7 中的選項(xiàng)“僅允許通過(guò) HTTPS 進(jìn)行訪問(wèn)”(Permit access only through HTTPS)。自 STEP 7 V14 起，您可以影響固件版本為 V2.0 及較高版本的 S7-1500 CPU Web 服務(wù)器的服務(wù)器證書(shū)：此服務(wù)器證書(shū)采用該版本及較高版本的 STEP 7 生成。

此外，還顯示了使用 PC 的 Web 瀏覽器通過(guò)加密的 HTTPS 連接調(diào)用 CPU 的 Web 服務(wù)器網(wǎng)站時(shí)采用的過(guò)程。

使用固件版本為 V2.0 及較高版本 S7-1500 CPU 的 Web 服務(wù)器證書(shū)

對(duì)于固件版本 V2.0 及以下版本的 S7-1500 CPU，設(shè)置 Web 服務(wù)器屬性時(shí)，如果無(wú)特殊要求，需設(shè)置為“只允許通過(guò) HTTPS 訪問(wèn)”(Permit access only with HTTPS)。

對(duì)于此類 CPU，您*參與證書(shū)的處理過(guò)程；CPU 將自動(dòng)為 Web 服務(wù)器生成所需證書(shū)。

對(duì)于固件版本 V2.0 及較高版本的 S7-1500 CPU，STEP 7 會(huì)為 CPU 生成服務(wù)器證書(shū)（較終實(shí)體證書(shū)）。在 CPU 的屬性中為 Web 服務(wù)器分配服務(wù)器證書(shū)（“Web 服務(wù)器 > 服務(wù)器安全”(Web server > Server security)）。

由于服務(wù)器證書(shū)名稱始終預(yù)設(shè)，因此 Web 服務(wù)器的簡(jiǎn)單組態(tài)沒(méi)有任何變化：激活 Web 服務(wù)器并激活選項(xiàng)“僅允許使用 HTTPS 進(jìn)行訪問(wèn)”(Permit access only with HTTPS) - STEP 7 會(huì)在編譯期間使用預(yù)設(shè)名稱生成服務(wù)器證書(shū)。

無(wú)論您是否在全局安全設(shè)置中使用證書(shū)管理器：STEP 7 都具備生成服務(wù)器證書(shū)所需的全部信息。

此外，您還可以確定服務(wù)器證書(shū)的屬性，例如名稱或有效期等。

提示 在 CPU 中，必須設(shè)置當(dāng)前的日期/時(shí)間。 使用安全通信（如，HTTPS、安全 OUC、OPC UA）時(shí)，需確保相應(yīng)模塊為當(dāng)前時(shí)間和當(dāng)前日期。否則，模塊將所用的證書(shū)評(píng)估為無(wú)效，同時(shí)不進(jìn)行安全通信。




下載 Web 服務(wù)器證書(shū)

將硬件配置下載到 CPU 中時(shí)，還會(huì)自動(dòng)加載 STEP 7 生成的服務(wù)器證書(shū)。

如果您在全局安全設(shè)置中使用證書(shū)管理器，則項(xiàng)目的證書(shū)頒發(fā)機(jī)構(gòu)（CA 證書(shū)）會(huì)對(duì) Web 服務(wù)器的服務(wù)器證書(shū)進(jìn)行簽名。下載時(shí)，項(xiàng)目的 CA 證書(shū)也會(huì)自動(dòng)加載。

如果未在全局安全設(shè)置中使用證書(shū)管理器，則 STEP 7 會(huì)生成服務(wù)器證書(shū)作為自簽名證書(shū)。

通過(guò) CPU 的 IP 地址對(duì) CPU 的 Web 服務(wù)器進(jìn)行尋址時(shí)，每次 CPU 中以太網(wǎng)接口的 IP 地址發(fā)生更改時(shí)，都必須生成新的服務(wù)器證書(shū)并加載（較終實(shí)體證書(shū)）。這是由于 CPU 的身份隨 IP 地址一同更改。根據(jù) PKI 規(guī)則，該身份必須進(jìn)行簽名。

如果使用域名（如，“myconveyer-cpu.”）而非 IP 地址對(duì) CPU 進(jìn)行尋址，則可避免這一問(wèn)題。為此，需要通過(guò) DNS 服務(wù)器對(duì) CPU 的域名進(jìn)行管理。

為 Web 瀏覽器提供一份 Web 服務(wù)器的 CA 證書(shū)

在 Web 瀏覽器中，通過(guò) HTTPS 訪問(wèn) CPU 網(wǎng)站時(shí)，需安裝該 CPU 的 CA 證書(shū)。如果未安裝證書(shū)，則將顯示一條警告消息，不建議訪問(wèn)該頁(yè)面。要查看該頁(yè)面，需顯式“添加例外情況”。

有效的 root 證書(shū)（證書(shū)頒發(fā)機(jī)構(gòu)），可從 Web 服務(wù)器“簡(jiǎn)介”(Intro) Web 頁(yè)面的“下載證書(shū)”(Download certificate) 中下載。

在 STEP 7 中，可采用另一種方式：使用證書(shū)管理器，將項(xiàng)目的 CA 證書(shū)導(dǎo)出到 STEP 7 中的全局安全設(shè)置中。之后，再將 CA 證書(shū)導(dǎo)入瀏覽器中。

安全通信的過(guò)程

下圖簡(jiǎn)要說(shuō)明了通信的建立方式（“握手”），并著重介紹了數(shù)據(jù)交換（此處，通過(guò) HTTP over TLS）所用密鑰的協(xié)商過(guò)程。

然而，該過(guò)程在理論上適用于以使用 TLS 為基礎(chǔ)的所有通信選項(xiàng)，即，也適用于安全的開(kāi)放式用戶通信（請(qǐng)參見(jiàn)安全通信基礎(chǔ)）。




在本示例圖中并不涉及 Alice 端（瀏覽器端）對(duì) Web 服務(wù)器所發(fā)送證書(shū)的驗(yàn)證措施。Alice 能否信任傳送的 Web 服務(wù)器證書(shū)，并因此而信任該 Web 服務(wù)器的身份以及允許數(shù)據(jù)交換，取決于驗(yàn)證結(jié)果。

驗(yàn)證 Web 服務(wù)器可靠性的步驟如下：

Alice 必須獲得所有相關(guān)證書(shū)頒發(fā)機(jī)構(gòu)的公鑰，即，必須擁有整個(gè)證書(shū)鏈，才能對(duì)該 Web 服務(wù)器證書(shū)（即，Web 服務(wù)器的較終實(shí)體證書(shū)）進(jìn)行驗(yàn)證。

Alice 的證書(shū)存儲(chǔ)器中通常包含所需的根證書(shū)。安裝 Web 瀏覽器時(shí)，將自動(dòng)安裝所有可信的 Root 證書(shū)。如果她沒(méi)有根證書(shū)，則需要從證書(shū)頒發(fā)機(jī)構(gòu)下載該證書(shū)并將其安裝到瀏覽器的證書(shū)存儲(chǔ)器內(nèi)。證書(shū)頒發(fā)機(jī)構(gòu)還可以是該 Web 服務(wù)器所處的設(shè)備。

可通過(guò)以下幾種方式獲得中間證書(shū)：

- 服務(wù)器本身以簽名消息的方式將所需中間證書(shū)連同其較終實(shí)體證書(shū)一并發(fā)送給 Alice，這樣，Alice 即可對(duì)證書(shū)鏈的完整性進(jìn)行檢查。

- 在這些證書(shū)中，通常包含證書(shū)簽發(fā)者的 URL。Alice 可通過(guò)這些 URL 加載所需的中間證書(shū)。

在 STEP 7 中處理證書(shū)時(shí)，始終假設(shè)您已將所需中間證書(shū)和根證書(shū)導(dǎo)入到項(xiàng)目中，并已將其分配給模塊。

Alice 使用這些證書(shū)的公鑰，對(duì)證書(shū)鏈中的簽名進(jìn)行驗(yàn)證。

對(duì)稱密鑰必須已生成并且已傳送至 Web 服務(wù)器。

如果采用域名尋址 Web 服務(wù)器，則 Alice 需要根據(jù) RFC 2818 中定義的 PKI 規(guī)則驗(yàn)證該 Web 服務(wù)器的身份。由于該 Web 服務(wù)器的 URL（在這種情況下，為“Fully Qualified Domain Name”(FQDN)）保存在 Web 服務(wù)器的較終實(shí)體證書(shū)內(nèi)，因此 Alice 可對(duì)該 Web 服務(wù)器的身份進(jìn)行驗(yàn)證。如果字段“Subject Alternative Name”中的證書(shū)項(xiàng)與瀏覽器地址欄中的一致，則通過(guò)驗(yàn)證。

之后，即可通過(guò)對(duì)稱密鑰進(jìn)行數(shù)據(jù)交換，如上圖所示。


上海騰希電氣技術(shù)有限公司專注于西門(mén)子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• WLAN **

  **在不能如預(yù)期那樣采用默認(rèn)設(shè)置來(lái)使用設(shè)備時(shí)，則只需更改此頁(yè)面上的設(shè)置。設(shè)置無(wú)線 (Radio)顯示可用的 WLAN 接口。信標(biāo)間隔 [ms] (Beacon Interval [ms])（**接入點(diǎn)模式）*接入點(diǎn)發(fā)送信標(biāo)的間隔 (40 - 1000 ms)。信標(biāo)是由接入點(diǎn)周期性發(fā)送的數(shù)據(jù)包，用于向客戶端通知接入點(diǎn)的存在。DTIM?（**接入點(diǎn)模式）DTIM 時(shí)間間隔 (1 - 15)

• 導(dǎo)出歸檔

  導(dǎo)出歸檔要?dú)w檔報(bào)警，可以導(dǎo)出歸檔。為此，請(qǐng)執(zhí)行以下操作步驟：切換到報(bào)警歸檔。單擊“導(dǎo)出歸檔”(Export archive) 圖標(biāo)。在打開(kāi)的對(duì)話框中，選擇要導(dǎo)出歸檔的路徑。結(jié)果歸檔在所選位置被另存為 xml 文件。

• 通過(guò)顯示屏禁用對(duì) CPU 的在線訪問(wèn)

  通過(guò)顯示屏禁用對(duì) CPU 的在線訪問(wèn)可以在 S7-1500 CPU 的顯示屏上阻止對(duì)受密碼保護(hù)的 CPU 進(jìn)行訪問(wèn)（本地阻止）。只有在操作模式切換被設(shè)置為 RUN 時(shí)才能阻止訪問(wèn)。無(wú)論密碼保護(hù)如何，都能阻止訪問(wèn)。 這也就是說(shuō)，即使通過(guò)連接的編程設(shè)備訪問(wèn) CPU，并且輸入了正確的密碼，也無(wú)法訪問(wèn) CPU。可以分別為顯示屏上的每個(gè)保護(hù)等級(jí)設(shè)置訪問(wèn)阻止，這樣就可以在本地允許讀取訪問(wèn)，但是不允許寫(xiě)入訪問(wèn)。

• 端口設(shè)置

  端口設(shè)置端口設(shè)置端口或端口地址定義對(duì)站/CPU 內(nèi)用戶程序的訪問(wèn)點(diǎn)。它們?cè)谡?CPU 中必須一！在以下章節(jié)中，將介紹有關(guān)與冗余伙伴建立非特定連接的特性。下表提供了有關(guān)值范圍的信息：端口地址用途/說(shuō)明0*分配；請(qǐng)不要使用！1 到 1023默認(rèn)情況下已分配，請(qǐng)不要使用（公認(rèn)端口）1024 到 49151用于應(yīng)用程序特定協(xié)議的端口從 2000 到 5000組態(tài)工具搜索和分配空閑端口地址所遵循的范圍。