西门子PLC模块授权总经销商 6ES7134-6HB00-0DA1 ET 200SP 模拟式输入端模块

西门子PLC模块授权总经销商 6ES7134-6HB00-0DA1 ET 200SP 模拟式输入端模块

在配置阶段，只有具备足够功能权限的授权用户才能建立连接。用户必须拥有具备“管理证 书”功能权限的角色。 另请参见“设置和下载GDS 参数 (页 167)”。 配置阶段的规则 在配置阶段，CPU 的 OPC UA 无法对发起连接建立动作的 OPC UA客户端进行身份验证。因 此，必须遵循以下规则： • 提供安全环境，例如**调试人员访问 CPU。检查彼此通信的设备是否为正确的设备。• 限制此阶段的时间。 CPU 通过点亮维护 LED 以及在相应的诊断缓冲区中记录条目（需要维护）的方式指示其处于 配置阶段。配置阶段的顺序 下文中简要介绍了 OPC UA 服务器证书和信任列表配置阶段的 相应过程。 169 OPC UA 通信 10.2OPC UA 的信息安全 通信 功能手册, 11/2022, A5E03735819-AK Web服务器证书配置阶段的过程与此类似。与 OPC UA 不同， GDS 客户端仅推送 Web 服务器证书，但不会将信任列表推送到相应的证书存储区中。 滞峿珇䥆 $16⮾䒻䅡⴬䒞〲㏹楒⯷ $16⮾䒻䅡⴬⵲Ⲍ⾨旹겣㾧⵲Ⲍ㤳㿈墀⾨旹겤 (%4㤳㿈墀㒹$16吕䂘㤫楒⯷㣩⸹ニ⮾⼪⻶楒⯷㈝⵲Ⲍ⾨旹겣ܫ䄹 涒ܬ〰庎겤 $16吕01$6"䒞〲㏹劰㾡彻夏㆞楒⯷㈝坒父겣⯅䎇겤 (%4㤳㿈墀浯䄶⿁$16겣㤚⻹겤㤳㿈墀㵖瘌䄶ㅨ彻夏㆞楒⯷ 㤳㿈墀⮟$16⯜玅允䒚吕㿑䒚浯䄶溎㦗屙䣳༤㤳㿈墀䗊䃿䍁楒⯷⵲Ⲍ⾨旹潞䍁浯䄶⿁$16 进入配置阶段 OPC UA 服务器启动后，CPU会在满足下面其中一个条件时自动进入配置阶段： • OPC UA 服务器证书是 CPU生成的初始自签名证书，尚未替换为有效的服务器证书。 • 信任列表（可信任客户端列表）为空。 CPU 生成的 OPC UA服务器证书包含 OPC UA 服务器*重要的参数，并且除非已存在有效的服 务器证书，否则将在每次接通电源后启动 OPC UA服务器时重新生成（包括私钥在内）。出于 此原因，OPC UA 服务器可能在接通电源后需要更长的启动时间。 170 通信 功能手册,11/2022, A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全在硬件配置已下载后，可在运行时更新的证书，其证书存储区将在下载时删除，或者证书将得 到保留，具体取决于设置。这意味着，如果 GDS处于激活状态并且证书存储区已删除，CPU 将在硬件配置已下载后进入配置阶段。 配置阶段诊断 除了维护 LED 点亮之外，GDS地址模型还有两个节点可提供信息，指示 CPU 的 OPC UA 服务 器是否处于配置阶段： 只有在 GDS的要求得到满足后（端点安全已签署并加密，另外也已具备管理员功能权限）， 用户才能出于诊断目的使用图中标记的两个节点。ProvisioningModeEnabled：表示支持配置阶段 ProvisioningModeActive：表示 CPU 的OPC UA 服务器处于配置阶段。 配置阶段结束 在满足以下条件时，CPU 将自动结束配置阶段： • CPU在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书既 可以是自签名证书，也可以是 CA 签名证书。 • CPU中的信任列表不为空，即，存在用于检查客户端证书的 CA 证书，或者存在可信赖的 OPC UA 客户端的客户端证书。 如果 OPC UA客户端传送 CA 签名证书并且另外也将 CA 证书添加到信任列表中，则 CPU 的 OPC UA 服务器可自动接受 OPC UA客户端发送的由同一 CA 签名的所有其它证书。 请求有效服务器证书 自 TIA Portal 版本V18/S7-1500 CPU 版本 V3.0 起，除了 OPC UA 服务器证书之外，也可将其 它服务的证书传送到 CPU中，例如用于 Web 服务器。 相应的服务（例如 CPU 的 OPC UA 服务器）通过以下步骤接收有效的证书： 1. GDS客户端（OPC UA 客户端）调用“CreateSigningRequest”方法请求服务器证书：通过证 书签名请求 (CSR)。2. 此 CSR 必须由证书颁发机构 (CA) 签署。 3. 签名的 CSR 必须再传送回 CPU 的 OPC UA服务器并用作证书。 在客户端具有所需的“管理证书”功能权限时，CPU 的 OPC UA 服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变体： • 更新证书，但不创建新的密钥对（使用已有的内部 CPU 密钥）• 更新证书，并创建新的密钥对（CPU 内部） 171 OPC UA 通信 10.2 OPC UA 的信息安全 通信 功能手册,11/2022, A5E03735819-AK 此外，也可以使用外部创建的密钥对来生成证书。 注意 关于生成证书的推荐过程应避免传送私钥；私钥不得离开设备。 因此，我们建议在生成证书时不创建新密钥对，或在 CPU 内创建密钥对。 创建证书但不创建密钥对 •“CreateSigningRequest”方法返回证书签名请求 (CSR)，即包含服务器或服务的特定信息 （例如应用程序名称和URL）的文件 (*.csr)。 • 在 CPU 外部，必须对该 CSR 进行验证并由证书颁发机构 (CA) 进行签名，*后必须返回证书。 • 随后，必须使用“UpdateCertificate”方法将证书传送到 CPU（“推送”）。 在这种情况下，密钥不会离开CPU。 使用内部创建的密钥对创建证书 此过程与上一节介绍的方法类似，唯一的区别是除了生成 CSR 之外，还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。 在此过程中，私钥不能离开 CPU。 生成新的密钥对会给CPU 带来很大负载。CPU 会在通信负载的预留区内以更低的优先级处理 此请求，且需要的时间较长。此时间的长短取决于 CPU 的性能。由于在密钥生成过程的较长时间内将完全利用所设通信负载的空间部分，在设置“通信用循环 负载”(Cycle load due tocommunication) 空间部分时，应确保不会超出*大循环时间并且预留 空间充足。为此，使用 CPU 的 Web服务器页面“诊断 > 运行时间信息”(Diagnostics > Runtimeinformation)。此页面显示当前程序/通信负载和用户程序循环时间的信息。就更改后的通信负载对循环时间的影响，用户可通过控制器获得帮助。 使用外部创建的密钥对创建证书 借助诸如可以生成其它密钥的工具来生成证书。证书和密钥通过“UpdateCertificate”方法传送到 CPU。 由于安全性低，此过程不推荐。 注意为不同的目标系统使用不同的密钥 对于生产系统，始终使用新生成的密钥。如对项目进行仿真和测试（例如，通过 PC 上的 PLCSIMAdvanced 进行），在任何情况下都不得将作为仿真用途的密钥用于生产系统。 应通过设置相应的权限来限制对 PC 式控制器的访问。10.2.7.5 推送证书管理的地址模型 OPC UA 规范第 12 部分 (OPC 10000-12: Discovery,Global Services) 定义了 OPC UA 服务器的 方法和属性，例如允许 GDS 或 OPC UA客户端更新服务器上的证书和信任列表（“推送证书管 理”）。这些方法和属性也包含在 OPC UA 服务器的地址模型中。 下文介绍了S7-1500 CPU 的 OPC UA 服务器的地址模型中的相关部分。 172 通信 功能手册, 11/2022,A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全 要求 为了使相关方法和属性对 GDS推送功能可见，必须满足以下要求： • GDS 已激活。 • 设定的安全策略支持通过签名和加密确保数据的完整性和机密性。 •使用运行系统功能权限“管理证书”进行访问 GDS 推送功能的地址模型 GDS 推送功能的地址模型相当于 OPC UA规范的“Information Model for Push Certificate Management”OPC 10000-12:Discovery, Global Services。 “ServerConfiguration”节点下方的结构如下所示：用于访问地址模型的方法和属性 下文简要介绍了这些方法和属性，并介绍了 S7-1500 CPU 特定地址模型的特殊功能和限制。上文列出的 OPC UA 规范包含一般说明。 此概述表下方给出了有关各个方法的详细说明。 方法/属性（变量） 说明CreateSigningRequest 此方法用于生成以服务（例如 OPC UA 服务器）私钥进行签名 的 PKCS#10编码证书请求。 UpdateCertificate 此方法用于为 OPC UA 服务器更新服务器证书等。 ApplyChanges此方法用于，在已设置“ApplyChangesRequired”属性的情况 下，在执行之前执行过的方法时，应用安全相关更改。 注如果证书因“ApplyChanges”而更改，CPU 将中断此证书所担保 的连接/会话。 背景：作为担保连接基础的证书不再有效。GetRejectedList 此方法会返回被 OPC UA 服务器拒绝的证书列表。 S7-1500 CPU 的 OPC UA服务器目前不会存储被拒绝的证书。 此方法返回一个空数组 RejectedList。 ServerCapabilitiesS7-1500 CPU 的 OPC UA 服务器不支持该变量。 SupportedPrivateKeyFormats此变量用于指定允许使用的私钥格式。对于 S7-1500 CPU，仅 允许使用“PEM”（字符串数组） MaxTrustListSize此变量用于指定信任列表的*大大小。 MulticastDnsEnabled 此变量用于指定是否支持组播 DNS。对于 S7-1500CPU，该值 为“False”。 173 OPC UA 通信 10.2 OPC UA 的信息安全 通信 功能手册, 11/2022,A5E03735819-AK 方法/属性（变量） 说明 CertificateGroups 该对象（文件夹）用于组织 OPC UA服务器所支持的所有证书 组。这些证书组包含运行期间可动态更新的对象。例如，每个 证书组包含一个信任列表，还包含一个或多个分配给服务（例如 OPC UA 应用程序）的证书。 有关 CertificateGroups 对象的结构以及此对象中提供的方法和属性的详细信息，请参见下一节。 CreateSigningRequest 该方法具有以下参数： 参数 数据类型 说明 [in]certificateGroupId NodeId CertificateGroup 对象的 NodeId。 [in]certificateTypeId NodeId 请求的证书类型。 允许使用的证书类型列表由证书组的“CertificateTypes”变量指定。 例如，OPC UA 服务器使用的证书类型是“RsaSha256ApplicationCertificateType”，Web服务器使用的证书类型是“HttpsCertificateType” [in] subjectName String证书请求中请求的主题名称。如果未指定，则使 用证书的当前主题名称。 [in] regeneratePrivateKey BooleanTrue：服务器生成新私钥。该密钥会一直保存到 调用签名证书匹配的 UpdateCertificate 方法为 止。False：服务器使用既有私钥。 [in] nonce ByteString 用于生成新私钥的额外随机数（参见regeneratePrivateKey）。长度必须至少为 32 字 节。 [out] certificateRe PKCS #10 - DER 编码证书请求。 方法结果代码 结果代码 说明Bad_InvalidArgument certificateTypeId、certificateGroupId 或subjectName 无效。 Bad_UserAccessDenied 当前用户不具备所需的功能权限。UpdateCertificate 应用： • 通过 CreateSigningRequest 生成证书。未提供私钥。 •新私钥和新证书在服务器之外生成。两者均通过 UpdateCertificate 进行更新。 •证书通过现有证书的私钥生成并签名。未提供私钥。 174 通信 功能手册, 11/2022, A5E03735819-AK OPC UA通信 10.2 OPC UA 的信息安全 参数 数据类型 说明 [in] certificateGroupId NodeIdCertificateGroup 对象的 NodeId。 [in] certificateTypeId NodeId 请求的证书类型。允许使用的证书类型列表由证书组 的“CertificateTypes”变量指定。 [in] certificateByteString 替换现有证书的 DER 编码证书。 [in] issuerCertificates ByteString颁发机构证书 [in] privateKeyFormat String 私钥格式。目前仅支持 PEM。如果未指定privateKey：零或空字符串。 [in] privateKey ByteString 按 privateKeyFormat中指定的格式进行编码的私 钥。 [out] applyChangesRequired Boolean指示使用新证书前必须调用“ApplyChanges”方 法。 方法结果代码 结果代码 说明 Bad_InvalidArgumentcertificateTypeId 或 certificateGroupId 无效。 Bad_CertificateInvalid证书无效或格式不受支持。 Bad_NotSupported 私钥无效或格式不受支持。 Bad_UserAccessDenied当前用户不具备所需的功能权限。 Bad_SecurityChecksFailed 验证证书完整性时出错。 应用更改 该方法没有参数。方法结果代码 结果代码 说明 Bad_UserAccessDenied 当前用户不具备所需的功能权限。 GetRejectedList该方法具有以下参数： 参数 数据类型 说明 [out] certificates ByteStrings 被拒绝的 DER编码证书列表。 由于不会存储被拒绝的证书，此方法目前返回一 个空列表（空数组）。 方法结果代码 结果代码 说明Bad_UserAccessDenied 当前用户不具备所需的功能权限。 175 OPC UA 通信 10.2 OPC UA的信息安全 通信 功能手册, 11/2022, A5E03735819-AK 10.2.7.6 地址模型中的CertificateGroups 运行过程中，CPU（OPC UA 服务器）中可更新服务或应用程序的证书和信任列表位于地址模型中的“CertificateGroups”对象中，该对象是 S7‑1500 CPU 中所有服务都有的一个证书组。对 于 OPC UA服务器证书，证书组的名称为“OPC UA server”。 地址模型中的 CertificateGroup下图显示了“ServerConfiguration”节点下方“CertificateGroups”对象的结构。 在 STEP 7(TIA Portal) 中，可更改 CertificateGroups 的 Display Name（例如，“OPC UAserver”的显示名称）： 1. 在巡视窗口（CPU 属性）中，导航至“保护与安全 > 证书管理”(Protection &Security > Certificate management) 区域。 2.启用“运行期间使用证书管理提供的证书”(Use certificates provided by certificatemanagement during runtime) 选项。 3. 更改下表中证书组的组名称 (DisplayName)。允许 7 位ASCII 格式的 1-64 字符。 第一列包含已激活的可在运行时传送证书的服务，“ID”列包含用于在 CPU 内部引用证书的固定数字标识符。 以下是“证书管理”(Certificate management) 区域中的显示示例： 图10-7  证书管理设置 “CertificateTypes”节点“CertificateTypes”变量指定分配给服务器应用程序的证书类型的 NodeId。 例如，OPC UA服务器服务支持“RsaSha256ApplicationCertificateType”CertificateType，Web服务器支持“HttpsCertificateTypeCertificateType”。