西门子PLC模块授权总经销商 6ES7134-6GF00-0AA1 ET 200SP 模拟式输入端模块

西门子PLC模块授权总经销商 6ES7134-6GF00-0AA1 ET 200SP 模拟式输入端模块

创建自签名证书 使用客户端的证书生成器 很多 OPC UA 客户端应用程序或 SDK都集成到示例应用程序中，允许用户通过此应用程序为 客户端生成证书。 通常可在介绍 OPC UA客户端应用程序的上下文中找到证书生成的说明。 在线支持的示例客户端 SIMATIC S7-1500 OPC UA 服务器的 OPCUA .NET 客户端(https://support.industry.siemens.com/cs/ww/zh/view/109737901)会在程序首次启动过程中在 Windows 证书商店中创建客户端应用程序的自签名软件证书。本示例的文档介绍了处理这 些证书的步骤。 使用 TIA Portal的证书生成器 如果使用的 OPC UA 客户端未生成客户端证书，可通过 STEP 7 创建自签名证书。 为此，请执行以下操作步骤：1. 在 CPU 特性中，双击“保护和安全 > 证书管理器”(Protection & Security >Certificate manager) 下的“<新增>”()， 2. 单击“添加”(Add)。 3.在“创建新证书”(Create a new certificate) 对话框中，为“使用”(Usage) 选择“OPC UA 客户端”(OPC UA client) 选项。 4. 单击“确定”(OK)。 在“主题备用名称”(Subject AlternativeName) 字段中，STEP 7 将自动输入所生成证书的 URI。 在使用 OPC 基金会的 .NET堆栈生成程序特定的证书时，将调用该字段 （如“ApplicationUri”）。在其它证书生成工具中，该基金会的名称可能不同。更多信息 有关处理客户端证书的更多信息，请参见“S7-1500 CPU 的客户端证书处理 (页 295)”部分。 10.2.5用户自己生成 PKI 密钥对和证书 只有在使用无法自行创建 PKI 密钥对和客户端证书的 OPC UA 客户端时，才会涉及此部分内容。此时，可通过 OpenSSL 生成一个私钥和一个公钥，生成一个 X.509 证书，并对该证书进 行签名。 使用 OpenSSLOpenSSL 属于传输层安全工具，可用来创建证书。您还可以使用其它工具，例如 XCA，一款密钥管理软件，该软件具有图形用户界面，改进了已颁发证书的总览功能。 要在 Windows 系统中使用OpenSSL，请按以下步骤操作： 1. 在 OpenSSL 系统中，安装 Windows。如果操作系统为 64 位，则OpenSSL 将安装 在“C:\OpenSSL-Win64”目录中。OpenSSL-Win64 作为开源软件，可从不同的软件提供商处下载。 2. 创建一个目录，如“C:\demo”。 158 通信 功能手册, 11/2022, A5E03735819-AK OPCUA 通信 10.2 OPC UA 的信息安全 3.打开命令提示符。为此，单击“Start”，并在搜索栏中输入“cmd”或“command prompt”。右键单击结果列表中的“cmd.exe”，并以管理员身份运行该程序。Windows 将打开命令提示 符。 4.切换到“C:\demo”目录。为此，可输入以下命令：“cd C:\demo”。 5. 设置以下网络变量： – setRANDFILE=c:\demo\.rnd – setOPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg 下图显示了包含以下命令的命令行窗口： 6.现在，启动 OpenSSL。如果 OpenSSL 已安装在 C:\OpenSSL-Win64 目录中，则可输入：C:\OpenSSL-Win64\bin\openssl.exe。下图显示的命令行窗口中包含以下命令： 7.生成私钥。将密钥保存到“myKey.key”文件。在本示例中，密钥的长度为 1024 位；为了实 现更高的 RSA安全性，实际长度采用 2048 位。输入以下命令：“genrsa -out myKey.key2048”（在本示例中为“genrsa -out myKey.key 1024”）。下图显示了包含该命令的命令行 以及 OpenSSL输出结果： 8. 生成一个 CSR (Certificate Signing Request)。为此，可输入以下命令：“req-new -key myKey.key -out myRe”。在该命令的执行过程中，OpenSSL将查询有关证书的信 息： – 国家/地区名称：如，“DE”为德国，“FR”为法国 – 州或省名称：例如“Bavaria”。 –位置名称：如，“Augsburg” – 机构名称：输入公司的名称。 – 机构单位名称：如，“IT” – 公共名称：如，“OPC UAclient of machine A” – 电子邮件地址： 159 OPC UA 通信 10.2 OPC UA 的信息安全 通信功能手册, 11/2022, A5E03735819-AK 说明 针对固件版本为 V2.5、作为服务器的 S7-1500 CPU的注意事项 客户端程序的 IP 地址需存储在 S7-1500 CPU 版本 V2.5（仅针对此版本）所创建证书的“主题备用名称”(Subject Alternative Name) 字段中；否则 CPU 将不接受该证书。输入的信息将添加到证书中。下图显示了包含该命令的命令行以及 OpenSSL 输出结果： 该命令将在包含有 CertificateSigning Request (CSR) 的 C:\demo 目录中创建一个文件；在本示 例中，为“myRe”。使用 CSR 可通过以下两种方式使用 CSR： • 将 CSR 发送到证书颁发机构 (CA)：读取特定证书颁发机构的信息。证书颁发机构(CA) 将 检查用户的身份和信息（认证），并使用该证书颁发机构的私钥对该证书进行签名。如， 接收已签名的 X.509证书，并将该证书用于 OPC UA、HTTPS 或 Secure OUC (secure open usercommunication) 中。通信伙伴将使用该证书颁发机构的公钥检查该证书是否确实由 CA机构颁发（即，该证书颁发机构已确定您的信息）。 • 用户对 CSR 进行自签名：使用用户的私钥。该选项将在下一个操作步骤中介绍。自签名证书 输入以下命令，生成一个证书并对自签名（自签名证书）：“x509 -req -days 365 -inmyRe -signkey myKey.key -out myCertificate.crt”。下图显示了包含以下命令和 OpenSSL 的命令行窗口： 该命令将生成一个 X.509 证书，其中包含通过 CSR传送的属性信息（在本示例中， 为“myRe”），例如有效期为一年（-days365）。该命令还将使用私钥对证书进行签 名（在本示例中为“myKey.key”）。通信伙伴可使用公钥（包含在证书中）检查您是否拥有属于该公钥的私钥。这样还可以防止公钥被攻击者滥用。 通过自签名证书，用户可确定自己证书中的信息是否正确。此时，无需依靠任何机构即可检查信息是否正确。 160 通信 功能手册, 11/2022, A5E03735819-AK OPC UA 通信 10.2 OPC UA的信息安全 更多信息 有关处理 S7‑1500 CPU 客户端证书的信息，请参见“S7-1500 CPU 的客户端证书处理(页 295)”部分。 10.2.6 消息的安全传送 使用 OPC UA 建立安全连接 OPC UA将在客户端与服务器之间建立安全连接。OPC UA 将检查通信伙伴的身份。OPC UA 使 用基于ITU（国际电信联盟）X.509-V3 标准的证书对客户端和服务器进行认证。例外：使用安 全策略“不安全”(No security)时，将不建立安全连接。 消息的安全模式 OPC UA 使用以下安全策略确保消息安全： • 不安全所有消息均不安全。要使用该安全策略，则需与服务器建立安全策略为“无”(None) 的端点 连接。 • 签名所有消息均已签名。系统将对所接收消息的完整性进行检查。检测篡改行为。要使用该安 全策略，则需与端点安全策略为“签名”(Sign)的服务器立连接。 • 签名和加密 对所有消息进行签名并加密。系统将对所接收消息的完整性进行检查。检测篡改行为。而且，攻击者无法读取消息内容（保护机密）。要使用该安全策略，则需与端点安全策略 为“签名并加密”(SignAndEncrypt)的服务器建立连接。 安全策略还可根据所使用的算法命名。示例：“Basic256Sha256 -签名和加密”表示：端点进行安全连接，支持一系列 256 位哈希和 256 位加密算法。 161 OPC UA 通信 10.2 OPC UA 的信息安全 通信功能手册, 11/2022, A5E03735819-AK 所需层级 下图显示了建立连接时通常所需的三个层：传输层、安全通道和会话。23&8$ᇒᡧㄟ 䙊ؑቲ ᵪᇶᙗ ̢ᆼᮤᙗ ̢ᓄ⭘〻ᒿ䇔䇱 ᓄ⭘ቲ ̢⭘ᡧᵳ䲀 ⭘ᡧ䇔䇱 ᓄ⭘ቲ ̢⭘ᡧᵳ䲀 ⭘ᡧ䇔䇱23&8$ᴽ࣑ಘ Ր䗃ቲ ᆹޘ䙊䚃 Պ䈍 䙊ؑቲ ᵪᇶᙗ ̢ᆼᮤᙗ ̢ᓄ⭘〻ᒿ䇔䇱 图10-6  所需层级：传输层、安全通道和会话 • 传输层： 该层用于发送和接收消息。OPC UA在此使用优化的基于 TCP 的二进制协议。传输层是后 续安全通道的基础。 • 安全通道安全层从传输层接收数据，再转发到会话层中。安全通道将待发送的会话数据转发到传输 层中。 在“签名”(Sign)安全模式中，安全通道将对待发送的数据（消息）进行签名。接收消息时， 安全通道将检查签名以检测是否存在篡改的情况。采用安全策略“签名并加密”(SignAndEncrypt) 时，安全通道将对待发送数据进行签名并加密。安全通道将对接收到的数据进行解密，并检查签名。 采用安全策略“不安全”(No security)时，安全通道将直接传送该消息包而不进行任何更改 （消息将以纯文本形式接收和发送）。 • 会话会话将安全通道的消息转发给应用程序，或接收应用程序中待发送的消息。此时，应用程 序即可使用这些过程值或提供这些值。 建立安全通道建立安全通道，如下所示： 1. 服务器接收到客户端发送的请求时，开始建立安全通道。该请求将签名或签名并加密，甚至以纯文本形式发送，具体取决于所选服务器端的安全模式。在“签名”(Sign) 和“签名并加 密”(Sign & Encrypt)安全模式中，客户端将随该请求一同发送一个机密数（随机数）。 2.服务器将验证客户端的证书（包含在请求中，未加密）并检验该客户端的身份。如果服务 器信任此客户端证书， –则会对消息进行解密并检查签名（“签名并加密”(Sign & Encrypt)）， – 仅检查签名（“签名”(Sign)）， –或不对消息进行任何更改（“不安全”(No security)） 3.之后，服务器会向客户端发送一个响应（与请求的安全等级相同）。响应中还包含服务器机密。客户端和服务器根据客户端和服务器的机密数计算对称密钥。此时，安全通道已成 功建立。 162 通信 功能手册, 11/2022,A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全对称密钥（而非客户端与服务器私钥和公钥）可用于对消息进行签名和加密。 建立会话 执行会话，如下所示： 1. 客户端将CreateSessionRequest 发送到服务器后，开始建立会话。该消息中包含一个仅能 使用一次的随机数Nonce。服务器必须对该随机数 (Nonce) 进行签名，证明自己为该私钥的所有者。此私钥属于该服务器建立安全通道时所用证书。该消息（及所有后续消息）将基于所选服务器端点的安全策略（所选的安全策略）进行加密。 2. 服务器将发送一个 CreateSession Response响应。该消息中包含有服务器的公钥和已签名 的 Nonce。客户端将检查已签名的 Nonce。 3.如果服务器通过测试，则客户端将向该服务器发送一个 SessionActivateRequest。该消息中 包含用户认证时所需的信息：– 用户名和密码，或 – 用户的 X.509 证书（STEP 7 不支持），或 – 无数据（如果组态为匿名访问）。 4.如果用户具有相应的权限，则服务器将返回客户端一条消息 (ActivateSessionResponse)。 激活会话。 OPC UA客户端与服务器已成功建立安全连接。 建立与 PLCopen 函数块的连接。 PLCopen 规范针对 OPC UA 客户端定义了一系列IEC 61131 函数块。指令 UA_Connect 可根据 上述模式启动安全通道和会话。 10.2.7 通过全球发现服务器(GDS) 实现证书管理 10.2.7.1 通过 GDS 实现自动化证书管理 在 TIA Portal V17 及以上版本和S7-1500 CPU 固件版本 V2.9 及以上版本中，OPC UA 服务器 的证书管理服务可用于在运行期间传送 OPC UA服务器证书。 通过 GDS 推送管理功能，S7-1500 CPU 的 OPC UA 服务器上的 OPC UA 证书、信任列表和证书吊销列表 (CRL) 可自动进行更新。证书管理自动化意味着，当证书到期后以及对 CPU 执行全新 下载操作后，无需再手动重新组态CPU。此外，使用 GDS 推送管理功能还可以在 CPU 处于 STOP 和 RUN 操作状态时传送更新后的证书和列表。证书管理信息模型在 OPC UA 第 12 部分（OPC 10000-12：OPC 统一架构，第 12 部分：发现和全球服务）中指定。 自 TIA Portal V18 起以及 S7-1500 CPU 固件版本 V3.0 起，GDS推送管理功能可用于 Web 服 务器证书。通过 GDS 推送管理功能更新证书的顺序理论上与通过 OPC UA 服务器证书功能更新证书的顺序相同。与 OPC UA 服务器证书功能的不同之处是，还可以在运行期间或操作期间 将 Web 服务器证书传送到CPU。下文的相应部分介绍了两者之间的区别或局限性。 以下章节概括介绍了全球发现服务以及 TIA Portal V17/CPU固件版本 V2.9 及更高版本支持的 自动化证书更新功能。