西门子PLC模块授权总经销商 6ES7132-6BD20-0CA0 ET 200SP 数字输出模块

西门子PLC模块授权总经销商 6ES7132-6BD20-0CA0 ET 200SP 数字输出模块

自签名证书的证书主体“CN”(Common Name of Subject) 和“Issuer”属性相同：用户已完成对证书的签名。字段“CA” (Certificate Autority) 需设置为“False”；自签名证书不得用于对其它证书 进行签名。自签名证书未包含在 PKI 系统中。 证书内容 符合 X.509 V3 标准（同样用于 STEP 7 和 S7-1500CPU）要求的证书通常包含以下元素： • 公钥 • 证书主体（即，密钥持有者）的详细信息。如，Common Name (CN) ofSubject 。 • 各种属性，如序列号和有效期等等 • 证书颁发机构 (CA) 的数字签名，用于证实信息的正确性。除此之外，还包含以下扩展详细： • 指定公钥的使用范围(Key Usage)，如签名或密钥加密。 在开放式用户安全通信中，使用STEP 7 创建一个新证书时，可从用途列表中选择相应的条 目，如“TLS”。 • 指定 Subject AlternativeName (SAN)，用于与 Web 服务器进行安全通信 (HTTP over TLS)，以确保 Web浏览器地址栏中的证书同样属于该 URL 所指定的 Web 服务器。 如何生成并验证签名非对称密钥可用于证书的验证：在“MyCert”证书示例中，介绍了具体的“签名”与“验证签名”过 程。 生成签名： 1.“MyCert”证书的签发者使用一个特定的哈希函数（例如，SHA-1，Secure HashAlgorithm），根据证书数据生成一个哈希值。 该 HASH 值是一个长度固定的位串。HASH值长度固定的优势在于，签名的时间始终相 同。 2. 之后，证书的签发者再使用由这种方式生成的 HASH值和私钥，生成一个数字签名。通常 采用 RSA 签名机制。 3. 数字签名将保存在证书中。此时，证书已签名。 验证一个签名： 1.“MyCert”证书的认证方将获得签发者签发的证书和公钥。 2.使用签名时所用的哈希算法（例如，SHA-1），根据证书数据生成一个新的哈希值。 3. *后，再将由证书签发者公钥确定的 HASH值与签名算法进行比较，对签名进行检查。 4. 如果签名通过检查，则表示证书主体的身份以及完整性（即，证书内容的可靠性和真实性）均通过验证。拥有该公钥（即，证书颁发机构的证书）的任何人均可对该签名进行检 查，并确认该证书确实由该证书颁发机构签发。 47通信服务 4.6 安全通信 通信 功能手册, 11/2022, A5E03735819-AK 下图显示了 Alice 如何采用Twent（代表证书颁发机构，CA）证书中的公钥，验证 Bob 的公钥签名。因此，在验证时仅需检查证书颁发机构所颁发证书的可用性。验证会在 TLS 会话中自动 执行。 $OLFH䙊䗷7ZHQW&$ᨀ׋Ⲵޜ䫕ሩ %REⲴㆮ਽䘋㹼傼䇱 &$ 7ZHQW &$ %RE 图4-10  使用证书颁发机构的证书公钥对证书进行验证 签名消息 上文中介绍的证书签名与验证机制，同样使用 TLS会话对消息进行签名和验证： 如果发送方基于一条消息生成一个 HASH 值并使用私钥进行加密，之后在添加到原消息中，则消息接收方即可对消息的完整性进行检查。接收方使用发送方的公钥对该 HASH 值进行解密， 并将其与所收到消息中的 HASH进行比较。如果这两个值不同，则表示该消息或加密的 HASH 值在传送过程中被篡改。 Root 证书的证书链 PKI证书通常按层级进行组织：层级顶部由根证书构成。Root 证书并非由上一级证书颁发机构 签名。Root证书的证书主体与证书的签发者相同。根证书享受**信任。它们构成了信任“点”，因此可作为接收方的可信证书。此类证书存储在专门存储受信证书的区域。 基于该 PKI，Root证书可用于对下级证书颁发机构颁发的证书（即，所谓的中间证书）进行签 名。从而实现从 Root根证书到中间证书信任关系的传递。由于中间证书可对诸如 Root 证书之 类的证书进行签名，因此这两种证书均称为“CA 证书”这种证书签名层级可通过多个中间证书进行延伸，直至*底层的实体证书。*终实体证书即为 待识别用户的证书。验证过程则反向贯穿整个层级结构：，先通过签发者的公钥确定证书签发者并对其签名进行检查，之后再沿着整条信任链确定上一级证书签发者的证书，直至到达根证书。结论：无论组态何种安全通信类型，每台设备中都必需包含一条到 Root 证书的中间证书链（即证书路径），对通信伙伴的*低层实体证书进行验证。 4.6.2 管理证书 4.6.2.1 证书管理的必备知识本节介绍了根据所使用的服务（CPU 应用程序）以及 TIA Portal/CPU 固件的版本提供的相应 S7-1500 CPU证书管理选项。 48 通信 功能手册, 11/2022, A5E03735819-AK 通信服务 4.6 安全通信 证书管理选项概述对于 TIA Portal V14 和 CPU 固件版本 V2.0 及更高版本，可以在 TIA Portal 中管理 S7-1500CPU 的不同服务之间实现安全通信的证书并将其下载到 CPU 中。 对于 TIA Portal V17 以及 S7-1500 CPU固件版本 V2.9 及更高版本，支持另一种证书管理方 式：使用 GDS 推送方法，可以在 CPU运行期间传输或更新证书，而无需重新下载 CPU。 采用同一方式，自 TIA Portal V18 起，还可以传输 S7-1500CPU（自固件 V3.0 起）的 Web 服 务器证书。 下表概述了与所使用的服务以及 TIA Portal 固件版本或 CPU固件版本相关的证书管理选项。 服务 使用 TIA Portal 进行证书管理 （TIA Portal 版本/S7-1500 CPU固件版 本） 使用 OPC UA GDS 推送方法进行证书管理 （TIA Portal 版本/S7-1500 CPU 固件版本）Web 服务器 自 V14 起/自 V2.0 起 自 V18 起/自 V3.0 起 安全 OUC 通信 自 V14 起/自 V2.0起 - OPC UA 服务器 自 V14 起/自 V2.0 起 自 V17 起/自 V2.9 起 OPC UA 客户端 自 V15.1起/自 V2.6 起 - 安全 PG/HMI 通信 自 V17 起/自 V2.9 起 - 更多信息 单击此处了解使用 GDS推送方法进行证书管理的说明：通过全球发现服务器 (GDS) 实现证书 管理 (页 163) 4.6.2.2 使用 TIA Portal进行证书管理 STEP 7 V14 及更高版本与 S7‑1500-CPU 固件版本 V2.0 及更高版本一同使用时，支持Internet PKI (RFC 5280)。因此，S7‑1500 CPU 可与同样支持 Internet PKI的设备进行数据通信。 如，可使用 X.509 证书验证上文中所介绍的证书。 STEP 7 V14 及更高版本采用的 PKI与 Internet PKI 类似。例如，证书吊销列表 (CRL) 不受支 持。 在 TIA Portal 中创建或分配证书对于具有安全特性的设备（如，S7-1500 CPU 固件版本 V2.0 及以上版本），可在 STEP 7 中根据不同应用创建特定的证书。 在 CPU 巡视窗口的以下区域内，可创建新的证书或选择现有的证书： • “Web 服务器 >安全”(Web server > Security) - 用于生成和分配 Web 服务器证书。 • “保护和安全 >连接机制”(Protection & Security > Connection mechanisms) - 用于生成或分 配PLC 通信证书（TIA Portal V17 及以上版本的 PG/HMI 间安全通信）。 • “保护和安全 >证书管理器”(Protection & Security > Certificate manager)- 用于生成和分配所有类型的证书。生成证书时，将预设开放式用户安全通信的 TLS 证书。 • “OPC UA > 服务器 > 安全”(OPCUA > Server > Security) - 用于生成或分配 OPC UA 服务器证 书。 49 通信服务 4.6安全通信 通信 功能手册, 11/2022, A5E03735819-AK 图 4-11  STEP 7中 S7‑1500 CPU 的安全设置 “保护与安全 > 证书管理器”区域的特性在巡视窗口中，只有该区域内才能进行全局（即，项目级）和局部（即，设备特定）证书管理器切换（选项“使用证书管理器的全局安全设置”(Use global security settings for certificatemanager)）。该选项确定了您是否有权访问项目中的所有证书。 • 如果在全局安全设置中未使用证书管理器，则只能访问 CPU的局部证书存储器。例如，无 法访问所导入的证书或 Root 证书。如果没有这些证书，则可用功能将受到限制。例如，只 能生成自签名证书。• 如果在全局安全设置中使用证书管理器并以管理员身份登录，则有权访问全局（项目级） 证书存储器。例如，可为 CPU分配所导入的证书，也可创建由项目 CA（项目的证书颁发 机构）签发与签名的证书。 50 通信 功能手册, 11/2022,A5E03735819-AK 通信服务 4.6 安全通信 下图显示了在 CPU 的巡视窗中激活“使用证书管理器的全局安全设置”(Useglobal security settings for the certificate manager)选项后，项目树中的“全局安全设置”(Global security settings) 显示。双击项目树中全局安全设置下的“用户登录”(User login) 并进行登录时，则将显示“证书管理 器”(Certificatemanager) 行。 双击“证书管理器”(Certificate manager) 行，则可访问项目中的所有证书。这些证书分别位于选项卡“CA”（证书颁发机构）、“设备证书”(Device certificates) 和“可信证书与 Root 证书颁发机构”(Trusted certificates and root certificate authorities) 内。 私钥生成设备证书和服务器证书（*终实体证书）时，STEP 7 将生成私钥。私钥的加密存储的位 置，取决于证书管理器中是否使用全局安全设置：• 如果使用全局安全设置，则私钥将以加密形式存储在全局（项目级）证书存储器中。 •如果未使用全局安全设置，则私钥将以加密形式在局部（CPU 特定的）证书存储器中。解密数据时所需的私钥将显示在全局安全设置中证书管理器中“设备证书”(Device certificates)选项卡的“私钥”(Private key) 列中。 51 通信服务 4.6 安全通信 通信 功能手册, 11/2022,A5E03735819-AK 下载硬件配置时，同时会将设备证书、公钥和私钥下载到 CPU 中。 注意启用“使用证书管理器的全局安全设置”(Use global security settings for the certificatemanager) 选项 - 后果 “使用证书管理器的全局安全设置”(Use global security settings forcertificate manager) 选项 会影响之前所用的私钥：如果创建证书时未使用证书管理器中的全局安全设置，而且更改了使用该证书管理器的选项，则将导致私钥丢失且证书 ID 发生变更。系统会发出警告，提示您注意这种情况。因此，在开始组态项目时，需指定证书管理器选项。 4.6.2.3 证书管理示例。如前文所述，每种类型的安全通信都需要使用证书。在以下章节中，将举例说明如何通过 STEP 7进行证书管理，以满足开放式用户安全通信的要求。 不同通信伙伴所用的设备往往不同。为各个通信伙伴提供所需证书的相应操作步骤也各不相同。通常需使用 S7‑1500 CPU 或 S7‑1500 软件控制器，固件版本 V2.0 及以上版本。 基本规则为：建立安全连接（“握手”）时，通信伙伴通常仅传送*终实体证书（设备证书）。 因此，验证已传送设备证书所需的 CA证书必须位于相应通信伙伴的证书存储器中。 说明 在 CPU 中，需设置当前的日期/时间。 使用安全通信（如，HTTPS、安全OUC、OPC UA）时，需确保相应模块为当前时间和当前日 期。否则，模块会将所用的证书评估为无效，且无法进行安全通信。 两个S7-1500 CPU 之间的开放式用户安全通信 两个 S7-1500 CPU（PLC_1 和PLC_2）之间通过开放式用户安全通信进行数据交换。 使用 STEP 7 生成所需的设备证书，然后将其分配给 CPU，如下所述。STEP 7 项目证书颁发机构（项目的 CA）用于对设备证书进行签名。 在用户程序中根据证书 ID 对证书进行引用（TCON通信指令组合相关的系统数据类型，例如 TCON_IPV4_SEC）。在生成或创建证书时，STEP 7 将自动分配证书 ID。