S7-1500 CPU 的客戶端證書處理

時(shí)間：2021-07-29作者：上海騰希電氣技術(shù)有限公司瀏覽：265

S7-1500 CPU 的客戶端證書處理



客戶端證書來(lái)自何處？

如果使用 S7-1500 CPU 的 OPC UA 客戶端（OPC UA 客戶端已啟用），則可按照以下章節(jié)中的詳細(xì)介紹，使用 STEP 7 V15.1 及較高版本為這些客戶端創(chuàng)建證書。

如果使用來(lái)自制造商或 OPC 基金會(huì)的 UA 客戶端，則會(huì)在安裝期間或在**調(diào)用程序時(shí)自動(dòng)生成客戶端證書。在 STEP 7 中，需要通過(guò)全局證書管理器導(dǎo)入這些證書，并在相應(yīng)的 CPU 中使用。

如果自行編寫 OPC UA 客戶端程序，則可以通過(guò)程序生成證書。也可通過(guò)工具生成證書（如，使用 OpenSSL 或 OPC 基金會(huì)的證書生成器）：

有關(guān)使用 OpenSSL 的操作步驟，請(qǐng)參見(jiàn)此處：“用戶自己生成 PKI 密鑰對(duì)和證書”。

有關(guān)使用 OPC 基金會(huì)的證書生成器的步驟，請(qǐng)參見(jiàn)此處：“創(chuàng)建自簽名證書”。

S7-1500 CPU 的 OPC UA 客戶端證書

僅當(dāng) OPC UA 服務(wù)器將 OPC UA 客戶端證書歸類為可信任證書時(shí)，服務(wù)器與客戶端之間才能建立安全連接。

因此，需要讓服務(wù)器知曉該客戶端證書。

在以下章節(jié)中，將介紹較初如何為 S7-1500 CPU 的 OPC UA 客戶端生成證書，并提供給服務(wù)器。

1.生成并導(dǎo)出客戶端證書

要進(jìn)行安全連接，需生成一個(gè)客戶端證書，如果服務(wù)器和客戶端位于不同項(xiàng)目中，還需要導(dǎo)出該證書。

如果客戶端和服務(wù)器位于相同項(xiàng)目中，則*導(dǎo)出客戶端以及進(jìn)行后續(xù)導(dǎo)入。

要求

CPU 的 IP 接口已組態(tài)，IP 地址可用。

背景：在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中，輸入用于訪問(wèn)系統(tǒng)中該 CPU 的 IP 地址。

創(chuàng)建 OPC UA 客戶端接口

為 S7-1500 CPU 生成客戶端證書的較簡(jiǎn)單方法是組態(tài)一個(gè)客戶端接口。

為選擇或生成客戶端證書而提供的客戶端接口的組態(tài)，參見(jiàn)“創(chuàng)建和組態(tài)連接”。

或者可按以下方法生成客戶端證書：

在項(xiàng)目樹(shù)中，選擇將用作客戶端的 CPU。

雙擊“設(shè)備組態(tài)”(Device configuration)。

在該 CPU 的屬性中，單擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager)。

在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開(kāi)一個(gè)對(duì)話框。

單擊“添加”(Add) 按鈕。

從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

單擊“確定”(OK)。

此時(shí)，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

如果服務(wù)器位于另一項(xiàng)目中：右鍵單擊此行，并從快捷菜單中選擇“導(dǎo)*書”(Export certificate)。

選擇該客戶端證書的目標(biāo)存儲(chǔ)目錄。

2.向服務(wù)器通告該客戶端證書

用戶需要將該客戶端證書發(fā)送至服務(wù)器，以便允許建立安全連接。

為此，請(qǐng)執(zhí)行以下操作步驟：

如果客戶端是在另一項(xiàng)目中組態(tài)的，并且已在該項(xiàng)目中創(chuàng)建并導(dǎo)出客戶端證書：

- 選擇服務(wù)器本地證書管理器中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項(xiàng)。這會(huì)使全局證書管理器可用。

可以在用作服務(wù)器的 CPU 的特性“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificate manager) 下找到此選項(xiàng)。

- 如果項(xiàng)目未受保護(hù)，請(qǐng)?jiān)?STEP 7 的項(xiàng)目樹(shù)中選擇“安全設(shè)置 > 設(shè)置”(Security settings > Settings)，然后單擊“保護(hù)此項(xiàng)目”(Protect this project) 按鈕并登錄。

“全局安全設(shè)置”(Global security settings) 菜單項(xiàng)隨即顯示在 STEP 7 項(xiàng)目樹(shù)的“安全設(shè)置”(Security setting) 下。

- 雙擊“全局安全設(shè)置”(Global security settings)。

- 雙擊“證書管理器”(Certificate manager)。

STEP 7 將打開(kāi)全局證書管理器。

- 單擊“設(shè)備證書”(Device certificates) 選項(xiàng)卡。

- 在此選項(xiàng)卡的空白區(qū)域（而非證書上）中，右鍵單擊鼠標(biāo)。

- 選擇“導(dǎo)入”(Import) 快捷菜單。

將顯示用于導(dǎo)入證書的對(duì)話框。

- 選擇服務(wù)器信任的客戶端證書。

- 單擊“打開(kāi)”(Open)，導(dǎo)入證書。

客戶端證書現(xiàn)已包含在全局證書管理器中。請(qǐng)留意剛剛導(dǎo)入的客戶端證書 ID。

單擊用作服務(wù)器的 CPU 的特性中的“常規(guī)”(General) 選項(xiàng)卡。

單擊“OPC UA > 服務(wù)器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。

在“安全通道”(Secure Channel) 對(duì)話框中向下滾動(dòng)至“受信客戶端”(Trusted clients) 部分。

雙擊表中空行的“<新增>”(<add new>)。隨即會(huì)在該行中顯示瀏覽按鈕。

單擊該按鈕。

選擇準(zhǔn)備好的客戶端證書。

單擊帶有綠色復(fù)選標(biāo)記的按鈕。

編譯項(xiàng)目。

將組態(tài)加載到 S7-1500 CPU（服務(wù)器）。

結(jié)果

服務(wù)器現(xiàn)已信任此客戶端。如果還將服務(wù)器證書視為受信證書，則服務(wù)器和客戶端之間可建立安全連接。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• 數(shù)據(jù)典型程序塊 Dat12D_S

  數(shù)據(jù)典型程序塊 Dat12D_S功能發(fā)送較多 12 個(gè)雙字的數(shù)據(jù)內(nèi)容。每個(gè)雙字的內(nèi)容可以是雙字（DWORD、DINT、REAL）格式的值，也可以是共同組成雙字的其它數(shù)據(jù)類型的混合，例如：4 個(gè)字節(jié)2 個(gè)字2 個(gè)字節(jié) + 1 個(gè)字可以通過(guò)兩種方式觸發(fā)數(shù)據(jù)區(qū)域發(fā)送：通過(guò)更改檢查位更改后會(huì)立即傳送數(shù)據(jù)（“SendOnChange”= TRUE）。通過(guò)用戶程序“TriggerInput”輸入的沿變化為 0

• 通過(guò) RADIUS 服務(wù)器驗(yàn)證概覽

  幻象模式的特殊功能模塊特定的功能該功能只適用于 V3.1 及較高版本的 SCALANCE S602。含義在幻象模式下，安全模塊在內(nèi)部接口或外部接口上都沒(méi)有自己的 IP 地址。 而是由安全模塊在運(yùn)行期間通過(guò)安全模塊內(nèi)部接口所連接的節(jié)點(diǎn)（其 IP 地址參數(shù)在組態(tài)期間未知）獲取其外部接口的 IP 地址。 可以更改內(nèi)部節(jié)點(diǎn)的 IP 地址及外部接口處相應(yīng)的 IP 地址。 由于內(nèi)部節(jié)點(diǎn)基于其 MAC 地址進(jìn)行

• 6ES7540-1AD00-0AA0

  用于串行通信連接的模塊，根據(jù)接口類型、協(xié)議和性能進(jìn)行定標(biāo)具有不同物理傳輸特性的 4 個(gè)型號(hào)：RS?232C, 較大 19.2 kbit/sRS 232C，較高 115.2 Kbit/sRS 422/RS 485，較高 19.2 Kbit/sRS 422/RS 485，較高 115.2 Kbit/s支持的協(xié)議Freeport：適用于通用通信的用戶可設(shè)置報(bào)文格式3964(R) 可提高傳輸可靠

• 事件類別 3 - 同步錯(cuò)誤

  事件類別 3 - 同步錯(cuò)誤事件 ID 的說(shuō)明事件 ID事件OBW#16#3501**出循環(huán)時(shí)間OB 80W#16#3502用戶接口（OB 或 FRB）請(qǐng)求錯(cuò)誤OB 80W#16#3505由于設(shè)置了新的時(shí)鐘，時(shí)間中斷被跳過(guò)OB 80W#16#3506HOLD 后切換到 RUN 時(shí)，時(shí)間中斷被跳過(guò)OB 80W#16#3507造成內(nèi)部緩沖區(qū)上溢的多個(gè) OB 請(qǐng)求錯(cuò)誤OB 80W#16#3508等時(shí)同步模式