西门子PLC模块授权总经销商 6ES7134-6PA01-0CU0 ET 200SP 模拟式输入端模块
6ES7134-6PA01-0CU0 SIMATIC ET 200SP, 模拟式输入端模块, 模拟输入能量计 CT HF, 用于 1A 或 5A 电流互感器,带电源分析功能, 适合用于 U0 类型的基座单元, 通道诊断 |
要启用安全设置,请单击相关行的复选框。 说明 如果设置为“Basic256Sha256 - 签名”(Basic256Sha256-Sign) 和“Basic256Sha256 - 签名并加 密”(Basic256Sha256 -Sign & Encrypt),则OPC UA 服务器和 OPC UA 客户端必须使 用“SHA256”签名的证书。对于“Basic256Sha256-签名”(Basic256Sha256 -Sign) 和“Basic256Sha256-签名并加密”(Basic256Sha256 -Sign & Encrypt) 设置,STEP 7中的证书颁发机构将使用“SHA256”自动对 证书进行签名。 “不安全”安全策略和通过用户名和密码进行身份验证 可执行以下组合设置:“不安全”安全策略和通过用户名和密码进行身份验证 • S7-1500 的 OPC UA 服务器支持该组合设置。OPC UA客户端可连接并加密认证数据,反之 亦然。 • S7-1500 CPU 的 OPC UA客户端也支持该组合设置:但在运行时,仅当通过电缆发送加密 的认证数据时才能连接! 10.3.3.6 使用 STEP 7 生成服务器证书在下文中,将介绍使用 STEP 7 生成新证书的操作过程,以及各种证书的不同应用方式。 STEP 7将基于启动以下对话框时的 CPU 属性区域,设置应用目标。在本示例中,为“OPC UA 客户端和服务器”(OPC UA Client& Server)。 建议:要使用 OPC UA 服务器的所有安全功能,则需使用全局安全设置。 在 CPU 特性的“保护和安全> 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。 用户自定义的服务器证书 如果您激活 S7-1500 的 OPC UA 服务器,则 STEP 7会自动为该服务器生成证书(请参见“激活 OPC UA 服务器 (页 196)”)。在该过程中,STEP 7使用证书参数的默认值。如果要更改参数, 请按照以下步骤进行操作: 1. 单击 CPU 属性中“常规 > OPC UA >服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server> Security > Secure channel > Server certificate)下的“浏览”(Browse) 按钮。随 即会显示一个对话框,用于显示局部可用的证书。 2. 单击“添加”(Add) 按钮。 207OPC UA 通信 10.3 将 S7-1500 用作 OPC UA 服务器 通信 功能手册, 11/2022,A5E03735819-AK 3. 将显示用于生成新证书的对话框(如下图所示)。已输入示例的值: 图10-29 用户自定义的服务器证书 4. 必要时,可根据公司或客户的安全规范使用其它参数。用于生成证书的字段的说明 • CA 选择证书是自签名,还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书,请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书,项目必须受保护,而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息,请参 见“TIA Portal 中用户管理的基本知识”。 •证书持有者 在默认设置中,通常包括项目名称和“\OPCUA-1”。在本示例中,项目名称为“PLC1”。在 CPU 属性的“常规> 项目信息 > 名称”("General > Project information > Name)下设置项目 名称。保留默认设置,或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。 208 通信 功能手册, 11/2022, A5E03735819-AK OPC UA 通信 10.3 将S7-1500 用作 OPC UA 服务器 • 签名 在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用:– “sha1RSA”、 – “sha256RSA”。 • 生效日期 在此处输入服务器证书开始生效的日期和时间。 • 截止日期在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在 本示例中,证书的有效期为 30年。不过,出于安全方面的考虑,应该以更短的时间间隔更 新证书。如果有效期较长,您便有机会决定何时为对系统执行保养等作业的合适时机。 •用途 默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中,可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例 如,如果在CPU 的 Web 服务器中调用此对话框,则需在“使用”(Usage) 下输入“Web 服务 器”(Webserver)。“用途”(Usage) 下拉列表中包含以下条目: – “OPC UA 客户端”(OPC UA client) –“OPC UA 客户端和服务器”(OPC UA client & server) – “OPC UA 服务器”(OPC UAserver) – “TLS” – “Web 服务器”(Web server) • 主题备用名称 (SAN)在上述示例中输入以下内容:“URI:urn:SIMATIC.S7-1500.OPCUAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此URI,因为将根据所 传达的应用程序描述对其进行检查。以下条目也将有效:“IP:192.168.178.151,IP:192.168.1.1”。注意,在此处输入可用于 访问 CPU 的OPC UA 服务器的 IP 地址。 请参见“访问 OPC UA 服务器 (页 197)”。 借此,OPC UA客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接,或验证实 际上是否攻击者在尝试将另一台 PC的篡改值发送至 OPC UA 客户端。 10.3.3.7 用户认证 用户认证方式 对于 S7-1500 的 OPC UA服务器,可设置 OPC UA 客户端中用户访问服务器时需通过的认证。 209 OPC UA 通信 10.3 将 S7-1500 用作OPC UA 服务器 通信 功能手册, 11/2022, A5E03735819-AK 可通过以下几种方式: • 访客认证用户无需证明其身份(匿名访问)。OPC UA 服务器不会检查客户端用户的授权。 如需使用这种认证方式,则可在“OPC UA >服务器 > 安全 > 用户认证”(OPC UA > Server > Security > Userauthentication) 中选择“启用访客认证”(Enable guest authentication) 选 项。 说明为增加安全性,应只允许访问支持用户认证的 OPC UA 服务器。 • 用户名和密码认证 用户必须证明其身份(非匿名访问)。OPC UA服务器将检查客户端用户是否具备访问服务 器的权限。并通过用户名和正确的密码进行身份验证。 如需采用这种用户认证方式,则可在“OPCUA > 服务器 > 安全 > 用户认证”(OPC UA > Server > Security> User authentication) 中选择“启用用户名和密码认证”(Enable user name andpassword authentication) 选项。 取消激活访客认证。 在“用户管理”(User management)表中输入用户。 此时,可单击条目“