處理客戶端和服務(wù)器證書

時(shí)間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：253

處理客戶端和服務(wù)器證書



僅當(dāng) OPC UA 服務(wù)器可向 OPC UA 客戶端證明身份時(shí)，才能建立服務(wù)器與客戶端之間的安全連接。服務(wù)器證書可用于證實(shí)身份。

OPC UA 服務(wù)器的證書

激活 OPC UA 服務(wù)器并確認(rèn)安全提示后，STEP 7 會(huì)自動(dòng)為服務(wù)器生成證書，并將其保存在 CPU 的局部證書目錄中?？梢允褂?CPU 的局部證書管理器查看并管理此目錄（導(dǎo)出或刪除證書）。

下圖所示為包含 OPC UA 服務(wù)器自動(dòng)生成的證書的 CPU 局部證書管理器：




或者，您還可以自行生成服務(wù)器證書。

在建立連接時(shí)，服務(wù)器證書將從服務(wù)器傳送到客戶端?？蛻舳藢z查該證書。

客戶端用戶將確定是否信任該服務(wù)器證書。

此時(shí)，客戶端用戶需確定是否信任該服務(wù)器證書。如果信任該服務(wù)器證書，則客戶端將服務(wù)器證書存儲(chǔ)在包含可信服務(wù)器證書的目錄中。

在以下示例中，顯示了客戶端“"UA Sample Client"”的對(duì)話框。如果用戶單擊“是”(Yes) 按鈕，則客戶端將信任此服務(wù)器證書：




客戶端證書來(lái)自哪里？

S7-1500 的客戶端

如果使用 S7-1500 CPU 的 OPC UA 客戶端（已啟用 OPC UA 客戶端），可使用 STEP 7 V15 及較高版本為這些客戶端創(chuàng)建證書。

在項(xiàng)目樹(shù)中，選擇將用作客戶端的 CPU。

雙擊“設(shè)備組態(tài)”(Device configuration)。

在該 CPU 的屬性中，單擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager)。

在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開(kāi)一個(gè)對(duì)話框。

單擊“添加”(Add) 按鈕。

從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

注：

必須在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中輸入用于訪問(wèn)系統(tǒng)中 CPU 的 IP 地址。

因此，在生成客戶端證書之前，需要對(duì) CPU 的 IP 接口進(jìn)行組態(tài)。

單擊“確定”(OK)。

此時(shí)，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

右鍵單擊該行，并在快捷菜單中選擇“導(dǎo)*書”(Export certificate) 條目。

選擇該客戶端證書的目標(biāo)存儲(chǔ)目錄。

其它制造商的客戶端

如果使用來(lái)自制造商或 OPC 基金會(huì)的 UA 客戶端，則會(huì)在安裝期間或在**調(diào)用程序時(shí)自動(dòng)生成客戶端證書。需要在 STEP 7 中通過(guò)全局證書管理器導(dǎo)入這些證書，并將其用于相應(yīng)的 CPU（如前文所示）。

用戶自己編程 OPC UA 客戶端時(shí)，可生成相應(yīng)的證書；請(qǐng)參見(jiàn)“客戶端的實(shí)例證書”部分。也可通過(guò)工具生成證書（如，使用 OpenSSL 或 OPC 基金會(huì)的證書生成器）：

使用 OpenSSL 時(shí)的操作步驟：“用戶自己生成 PKI 密鑰對(duì)和證書”。

使用 OPC 基金會(huì)的證書生成器時(shí)：“創(chuàng)建自簽名的證書”。

向服務(wù)器宣布客戶端證書

您需要向服務(wù)器發(fā)送客戶端證書，以允許建立安全連接。

為此，請(qǐng)執(zhí)行以下操作步驟：

選擇服務(wù)器本地證書管理器中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項(xiàng)。這會(huì)使全局證書管理器可用。

可以在用作服務(wù)器的 CPU 的特性“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager) 下找到此選項(xiàng)。

如果項(xiàng)目未受保護(hù)，請(qǐng)?jiān)?STEP 7 的項(xiàng)目樹(shù)中選擇“安全設(shè)置 > 設(shè)置”(Security settings > Settings)，然后單擊“保護(hù)此項(xiàng)目”(Protect this project) 按鈕并登錄。

“全局安全設(shè)置”(Global security settings) 菜單項(xiàng)隨即顯示在 STEP 7 項(xiàng)目樹(shù)的“安全設(shè)置”(Security setting) 下。

雙擊“全局安全設(shè)置”(Global security settings)。

雙擊“證書管理器”(Certificate manager)。

STEP 7 將打開(kāi)全局證書管理器。

單擊“受信任證書”(Trusted certificates) 選項(xiàng)卡。

在此選項(xiàng)卡的空白區(qū)域（而非證書上）中，右鍵單擊鼠標(biāo)。

選擇快捷菜單中的“導(dǎo)入”(Import) 命令。

將顯示用于導(dǎo)入證書的對(duì)話框。

選擇服務(wù)器信任的客戶端證書。

單擊“打開(kāi)”(Open)，導(dǎo)入證書。

客戶端證書現(xiàn)已包含在全局證書管理器中。

請(qǐng)留意剛剛導(dǎo)入的客戶端證書 ID。

單擊用作服務(wù)器的 CPU 的特性中的“常規(guī)”(General) 選項(xiàng)卡。

單擊“OPC UA > 服務(wù)器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。

在“安全通道”(Secure Channel) 對(duì)話框中向下滾動(dòng)至“受信客戶端”(Trusted clients) 部分。

雙擊表中空行的“<新增>”(<add new>)。隨即會(huì)在該行中顯示瀏覽按鈕。

單擊該按鈕。

選擇已導(dǎo)入的客戶端證書。

單擊帶有綠色復(fù)選標(biāo)記的按鈕。

編譯項(xiàng)目。

將組態(tài)加載到 S7-1500 CPU。

結(jié)果：

服務(wù)器現(xiàn)已信任此客戶端。如果還將服務(wù)器證書視為受信證書，則服務(wù)器和客戶端之間可建立安全連接。

自動(dòng)接受客戶端證書

如果選擇選項(xiàng)“運(yùn)行時(shí)自動(dòng)接受所有客戶端證書”(Automatically accept all client certificates during runtime)（位于“受信客戶端”(Trusted clients) 列表下），則服務(wù)器會(huì)自動(dòng)接受所有客戶端證書。

注意 調(diào)試后的設(shè)置 為了避免安全風(fēng)險(xiǎn)，在調(diào)試后，需再次取消選中“運(yùn)行過(guò)程中自動(dòng)接受客戶端證書”(Automatically accept client certificates during runtime) 選項(xiàng)。




組態(tài)服務(wù)器的安全設(shè)置

下圖顯示了適合對(duì)消息進(jìn)行簽名和加密的服務(wù)器安全設(shè)置。




默認(rèn)情況下，服務(wù)器證書創(chuàng)建時(shí)使用 SHA256 簽名。并啟用以下安全策略：

無(wú)
不安全端點(diǎn)

提示 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服務(wù)器的安全通道設(shè)置中啟用了所有安全策略（默認(rèn)設(shè)置），即采用端點(diǎn)“無(wú)”(None)（不安全），則服務(wù)器和客戶端之間還可能存在非安全數(shù)據(jù)通信（既未簽名也未加密）。由于選擇“不安全”(No security)，客戶端的身份仍然未知。無(wú)論后續(xù)為哪種安全設(shè)置，每個(gè) OPC UA 客戶端隨后都可以連接到服務(wù)器。 組態(tài) OPC UA 服務(wù)器時(shí)，請(qǐng)確保**擇與您的設(shè)備或工廠的安全概念兼容的安全策略。應(yīng)禁用所有其它安全策略。 建議：如果可能，請(qǐng)使用“Basic256Sha256”設(shè)置。




Basic128Rsa15 - 簽名
不安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點(diǎn)通過(guò)簽名確保數(shù)據(jù)的完整性。

Basic128Rsa15 - 簽名和加密
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 128 位加密的算法。
該端點(diǎn)通過(guò)簽名和加密確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點(diǎn)通過(guò)簽名確保數(shù)據(jù)的完整性。

Basic256Rsa15 - 簽名和加密
安全端點(diǎn)，支持一系列使用哈希算法 RSA15 和 256 位加密的算法。
該端點(diǎn)通過(guò)簽名和加密確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名
端點(diǎn)進(jìn)行安全連接，支持一系列 256 位哈希和 256 位加密算法。
該端點(diǎn)通過(guò)簽名確保數(shù)據(jù)的完整性。

Basic256Sha256 - 簽名和加密
安全端點(diǎn)，支持一系列 256 位哈希和 256 位加密算法。
該端點(diǎn)將通過(guò)簽名與加密機(jī)制確保數(shù)據(jù)的完整性和保密性。

要啟用安全設(shè)置，請(qǐng)單擊相關(guān)行的復(fù)選框。

提示 如果設(shè)置為“Basic256Sha256 - 簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 簽名并加密”(Basic256Sha256 -Sign & Encrypt)，則 OPC UA 服務(wù)器和 OPC UA 客戶端必須使用“SHA256”簽名的證書。 對(duì)于“Basic256Sha256-簽名”(Basic256Sha256 -Sign) 和“Basic256Sha256-簽名并加密”(Basic256Sha256 -Sign & Encrypt) 設(shè)置，STEP 7 中的證書頒發(fā)機(jī)構(gòu)將使用“SHA256”自動(dòng)對(duì)證書進(jìn)行簽名。




“不安全”安全策略和通過(guò)用戶名和密碼進(jìn)行身份驗(yàn)證

可執(zhí)行以下組合設(shè)置：

“不安全”安全策略和通過(guò)用戶名和密碼進(jìn)行身份驗(yàn)證

S7-1500 的 OPC UA 服務(wù)器支持該組合設(shè)置。OPC UA 客戶端可連接并加密認(rèn)證數(shù)據(jù)，反之亦然。

S7-1500 CPU 的 OPC UA 客戶端也支持該組合設(shè)置：但在運(yùn)行時(shí)，僅當(dāng)通過(guò)電纜發(fā)送加密的認(rèn)證數(shù)據(jù)時(shí)才能連接！


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• 打印項(xiàng)目數(shù)據(jù)

  打印項(xiàng)目數(shù)據(jù)打印輸出項(xiàng)目數(shù)據(jù)有兩個(gè)選項(xiàng)：通過(guò)工具欄中的“打印”(Print) 按鈕使用默認(rèn)設(shè)置立即打印。只有在選擇了一個(gè)可打印的對(duì)象時(shí)，該按鈕才有效。通過(guò)“項(xiàng)目 > 打印”(Project > Print) 菜單命令，可按其它設(shè)置選項(xiàng)進(jìn)行打印輸出。例如，可以選擇一個(gè)不同的打印機(jī)或特定的文檔信息，或*是否打印封面和目錄。此外，可以在打印之前*打印范圍或顯示打印預(yù)覽。要求至少組態(tài)了一臺(tái)

• 在表格視圖中互連端口

  在表格視圖中互連端口在表格視圖中可以對(duì)端口互連執(zhí)行哪些動(dòng)作？在表格視圖中可以對(duì)端口互連執(zhí)行以下動(dòng)作：創(chuàng)建新的端口互連更改現(xiàn)有的端口互連刪除現(xiàn)有的端口互連要求在“拓?fù)涓庞[”(Topology overview)選項(xiàng)卡中，將顯示待創(chuàng)建、修改或刪除互連的端口所在行。操作步驟**創(chuàng)建、修改或刪除端口互連時(shí)，請(qǐng)執(zhí)行以下步驟：將鼠標(biāo)指針移動(dòng)到源端口所在行中的“伙伴端口”(Partner port) 列中。單擊

• 使用 ASCII 驅(qū)動(dòng)程序發(fā)送數(shù)據(jù)

  使用 ASCII 驅(qū)動(dòng)程序發(fā)送數(shù)據(jù)發(fā)送數(shù)據(jù)對(duì)于發(fā)送，在長(zhǎng)度參數(shù)中*調(diào)用各發(fā)送指令時(shí)要傳輸?shù)挠脩魯?shù)據(jù)字節(jié)數(shù)。 有關(guān)詳細(xì)信息，請(qǐng)參見(jiàn)“指令概述”部分。如果接收數(shù)據(jù)時(shí)您使用結(jié)束標(biāo)準(zhǔn)“字符延時(shí)時(shí)間”，則 ASCII 驅(qū)動(dòng)程序?qū)⒃诎l(fā)送時(shí)在兩個(gè)消息幀之間暫停。 可以隨時(shí)調(diào)用發(fā)送指令，但僅當(dāng)自發(fā)送上一個(gè)消息幀起經(jīng)過(guò)的時(shí)間比組態(tài)的字符延時(shí)時(shí)間還長(zhǎng)時(shí)，ASCII 驅(qū)動(dòng)程序才開(kāi)始輸出。提示在組態(tài) XON/XOFF

• 1200在 Web 頁(yè)面中使用 AWP 命令

  在 Web 頁(yè)面中使用 AWP 命令借助 AWP（Web 自動(dòng)編程）命令，可聲明用戶頁(yè)面（Web 應(yīng)用程序，例如，某個(gè)簡(jiǎn)單的 HTML 頁(yè)面）和 CPU 數(shù)據(jù)之間的接口。若要開(kāi)發(fā)用戶頁(yè)面或 Web 應(yīng)用程序，則僅需注意 Web 瀏覽器的限制條件即可。在某種 STEP 7 編程語(yǔ)言中，可通過(guò) CPU 中的用戶程序控制 Web 瀏覽器中顯示的 CPU 數(shù)據(jù)以及這些數(shù)據(jù)的顯示時(shí)間。通過(guò)為 HTML 頁(yè)面