西门子工业电缆电线经销总代理商

西门子工业电缆电线经销总代理商禁用不需要的安全策略如果在 S7-1500 OPC UA服务器的安全通道设置中启用了所有安全策略，即采用端点“无”(None)（不安全），则服务器和客户端之间还可能存在非安全数据通信（既未签名也未加密）。S7-1500CPU 的 OPC UA服务器还会向设置为“无”(None)（不安全）的客户端发送公用证书。某些客户端会检查该证书。但不会强制客户端向服务器发送证书。客户端的身份可能仍保持未知。无论后续为哪种安全设置，每个OPC UA 客户端随后都可以连接到服务器。组态 OPC UA服务器时，请确保只选择与您的设备或工厂的安全概念兼容的安全策略。应禁用所有其它安全策略。建议：使用“Basic256Sha256 -签名和加密”(Basic256Sha256 - Sign and Encrypt) 设置，说明服务器只接受 Sha256证书。安全策略“Basic128Rsa15”和“Basic256”默认取消激活，不能用作端点。请选择安全策略较高的端点。附加安全规则•仅在特殊情况下，使用端点“无”(None)。• 仅在特殊情况下，使用“访客身份验证”。• 如果确实有必要，则仅允许通过 OPC UA访问 PLC 变量和 DB 元素。• 在 S7-1500 OPC UA客户端的设置中使用可信客户端列表，以仅允许对特定客户端进行访问。11.2.2 ITU X.509 证书OPC UA的多个层级中，都集成有安全机制。其中，数字证书至关重要。仅当 OPC UA 服务器接受 OPC UA客户端的数字证书并将其归类为可信时，客户端才能与服务器建立安全连接。请参见“处理客户端和服务器证书 (页205)”部分。客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份，并证明该身份与声明的相同：即，服务器和客户端必须证明自己的身份。例如，客户端和服务器的相互验证可有效防止中间人攻击。“中间人”攻击“中间人”可能会出现在服务器和客户端之间。中间人是一种程序，会截获服务器与客户端之间的通信并将自身伪装为客户端或服务器，以获取S7 程序的相关信息或设置 CPU 的值，进而对设备或工厂进行攻击。OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的X.509 标准，可识别（认证）一个程序、计算机或机构的身份。X.509 证书包含以下信息：• 证书的版本号• 证书的序列号•证书颁发机构对证书进行签名的算法。• 证书颁发机构的名称• 证书有效期的起始和结束时间•由证书颁发机构签名证书的程序、个人或机构名称。• 程序、个人或机构的公钥。X509证书将身份（程序、个人或机构的名称）与该程序、个人或机构的公钥关联在一起。在连接建立期间检查客户端与服务器建立连接时，设备将基于证书检查全部所需信息以确保其完整性，如签名、有效期、应用程序名称(URN)，对于固件版本 V2.5，还会检查客户端证书中客户端的 IP 地址。说明还会检查证书中存储的有效期。必须设置CPU时钟，且日期/时间必须在有效期内，否则将无法进行通信。签名和加密要检查证书是否篡改，则需对证书进行签名。可通过以下几种方式进行操作：•在 TIA Portal中，可生成证书并为证书签名。如果您已对项目进行保护，并以具有可进行安全设置的功能权限的用户身份登录，则可以使用全局安全设置。通过全局安全设置可访问证书管理器，由此也可访问TIA Portal 的证书颁发机构 (CA)。• 还可通过其它选项创建证书并为证书签名。在 TIA Portal中，可将证书导入到全局证书管理器中。– 联系一家证书颁发机构 (CA)并对证书进行签名。此时，认证颁发机构将核实您的身份，并通过该证书颁发机构的私钥对您的证书进行签名。为此，需向证书颁发机构发送一个CSR（证书签名请求）。– 自行创建证书并对其进行签名。例如，为实现上述过程，您应使用 OPC基金会的“Opc.Ua.CertificateGenerator”程序。还可使用 OpenSSL。有关更多信息，请参见“用户自己生成PKI 密钥对和证书 (页 161)”。 型•自签名证书每个设备都可生成并签署自己的证书。应用示例：通信节点数量有限的静态组态。不能从自签名证书派生新的证书。需要将所有自签名证书从伙伴设备加载到CPU（需要在STOP 模式下执行）。• CA 证书：所有证书都由证书颁发机构生成和进行签名。应用示例：动态添加设备。只需将证书从证书颁发机构下载到CPU。证书颁发机构可以生成新的证书（添加伙伴设备无需在 CPU STOP模式下）。签名如下所述，通过该签名，可验证消息的完整性和来源。发送方根据纯文本信息（纯文本消息）生成 HASH值。之后，再通过私钥对该 HASH 值进行加密，并将该纯文本消息连同加密后的 HASH值一同发送到接收方。验证签名时，接收方需要一个发送方的公钥（包含在发送方的 X509 证书中）。接收方基于发送方的公钥，对接收到的HASH 值进行解密。接收方再根据接收到的纯文本消息生成自己的 HASH 值（HASH过程包含在发送方的证书中）。接收方对这两个 HASH 值进行比较：• 如果两个 HASH值相同，则表示从发送方接收到的纯文本消息未经更改并未被篡改。• 如果两个 HASH不匹配，则表示到达接收方的的纯文本消息发生了更改。纯文本消息在传送过程中被篡改或受损。加密加密数据可防止非经授权的读取。X509证书不加密；这些证书为公开证书，任何人均可查看。在加密过程中，发送方将使用接收方的公钥对纯文本消息进行加密。为此，发送方需要接收方的X509证书。这是因为，该证书中包含接收方的公钥。接收方使用自己的私钥对消息进行解密。只有接收方才能对该消息进行解密：只有他们才拥有相应的私钥。任何时候私钥都不得泄露。安全通道OPCUA使用客户端与服务器的私钥和公钥建立安全连接，即安全通道。建立安全连接后，客户端和服务器将生成一个只有它们才了解的内部密钥，它们使用此密钥对消息进行签名和加密。较非对称加密过程（私钥和公钥）过程，对称加密过程（共享密钥）的运行速度要快得多。OPCUA 可使用各种类型的 X.509 证书在客户端与服务器之间建立连接：• OPC UA 应用程序证书这类 X.509证书用于标识软件实例、客户端或服务器软件的安装。在“机构名称”(Organization name)属性中，可输入该软件使用方的名称。说明安全设置为“无”(None)（不安全），S7-1500 的 OPC UA服务器也会使用应用程序证书。这可保证与 OPC UA V1.1 及更早版本的兼容性。• OPC UA 软件证书X-509证书用于标识客户端或服务器软件的特定版本。这些证书中包含有关属性，用于说明通过 OPC基金会（或认可的测试实验室）认证时的软件版本。在“机构名称”(Organization name)属性中，可输入该软件的研发或销售方名称。说明STEP 7 不支持软件证书。• OPC UA 用户证书该 X.509证书用于标识特定用户，例如从 OPC UA服务器检索过程数据的用户。如果用户可通过密码自行认证或组态为匿名访问，则无需使用该证书。说明STEP 7不支持用户证书。所述证书属于Zui底层实体证书：这些证书用于识别个人、机构、公司或软件实例（安装）等信息。11.2.4创建自签名证书使用客户端的证书生成器很多 OPC UA 客户端应用程序或 SDK都集成到示例应用程序中，允许用户通过此应用程序为客户端生成证书。通常可在介绍 OPC UA客户端应用程序的上下文中找到证书生成的说明。在线支持的示例客户端SIMATIC S7-1500 OPC UA 服务器的 OPC UA.NET 客户端 为此，请执行以下操作步骤：1. 在 CPU 特性中，双击“保护和安全 >证书管理器”(Protection & Security > Certificatemanager)下的“<新增>”(<Add new>)，2. 单击“添加”(Add)。3. 在“创建新证书”(Create anew certificate) 对话框中，为“使用”(Usage) 选择“OPC UA 客户端”(OPC UA client)选项。4. 单击“确定”(OK)。在“主题备用名称”(Subject Alternative Name) 字段中，STEP 7将自动输入所生成证书的 URI。在使用 OPC 基金会的 .NET堆栈生成程序特定的证书时，将调用该字段（如“ApplicationUri”）。在其它证书生成工具中，该基金会的名称可能不同。更多信息有关处理客户端证书的更多信息，请参见“S7-1500CPU 的客户端证书处理 (页 297)”部分。11.2.5 用户自己生成 PKI 密钥对和证书只有在使用无法自行创建 PKI密钥对和客户端证书的 OPC UA 客户端时，才会涉及此部分内容。此时，可通过 OpenSSL 生成一个私钥和一个公钥，生成一个X.509 证书，并对该证书进行签名。使用 OpenSSLOpenSSL属于传输层安全工具，可用来创建证书。您还可以使用其它工具，例如XCA，一款密钥管理软件，该软件具有图形用户界面，改进了已颁发证书的总览功能。要在 Windows 系统中使用OpenSSL，请按以下步骤操作：1. 在 OpenSSL 系统中，安装 Windows。如果操作系统为 64 位，则 OpenSSL将安装在“C:\OpenSSL-Win64”目录中。OpenSSL-Win64 作为开源软件，可从不同的软件提供商处下载。2.创建一个目录，如“C:\demo”。3. 打开命令提示符。为此，单击“Start”，并在搜索栏中输入“cmd”或“commandprompt”。右键单击结果列表中的“cmd.exe”，并以管理员身份运行该程序。Windows 将打开命令提示符。4.切换到“C:\demo”目录。为此，可输入以下命令：“cd C:\demo”。5. 设置以下网络变量：– setRANDFILE=c:\demo\.rnd– setOPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg 生成一个 CSR(Certificate Signing Request)。为此，可输入以下命令：“req -new -keymyKey.key-out myRequest.csr”。在该命令的执行过程中，OpenSSL 将查询有关证书的信息：–国家/地区名称：如，“DE”为德国，“FR”为法国– 州或省名称：例如“Bavaria”。– 位置名称：如，“Augsburg”–机构名称：输入公司的名称。– 机构单位名称：如，“IT”– 公共名称：如，“OPC UA client of machine A”–电子邮件地址：说明针对固件版本为 V2.5、作为服务器的 S7-1500 CPU 的注意事项客户端程序的 IP 地址需存储在S7-1500 CPU 版本 V2.5（仅针对此版本）所创建证书的“主题备用名称”(Subject Alternative Name)字段中；否则 CPU 将不接受该证书。输入的信息将添加到证书中。下图显示了包含该命令的命令行以及 OpenSSL输出结果可通过以下两种方式使用 CSR：• 将 CSR 发送到证书颁发机构 (CA)：读取特定证书颁发机构的信息。证书颁发机构(CA) 将检查用户的身份和信息（认证），并使用该证书颁发机构的私钥对该证书进行签名。如，接收已签名的 X.509证书，并将该证书用于 OPC UA、HTTPS 或 Secure OUC (secure openusercommunication) 中。通信伙伴将使用该证书颁发机构的公钥检查该证书是否确实由CA机构颁发（即，该证书颁发机构已确定您的信息）。• 用户对 CSR进行自签名：使用用户的私钥。该选项将在下一个操作步骤中介绍。自签名证书输入以下命令，生成一个证书并对自签名（自签名证书）：“x509-req -days 365 -inmyRequest.csr -signkey myKey.key -outmyCertificate.crt”。下图显示了包含以下命令和 OpenSSL 的命令行窗口：该命令将生成一个 X.509证书，其中包含通过 CSR 传送的属性信息（在本示例中，为“myRequest.csr”），例如有效期为一年（-days365）。该命令还将使用私钥对证书进行签名（在本示例中为“myKey.key”）。通信伙伴可使用公钥（包含在证书中）检查您是否拥有属于该公钥的私钥。这样还可以防止公钥被攻击者滥用。通过自签名证书，用户可确定自己证书中的信息是否正确。此时，无需依靠任何机构即可检查信息是否正确。更多信息有关处理S7‑1500 CPU 客户端证书的信息，请参见“S7-1500 CPU 的客户端证书处理 (页297)”部分。11.2.6消息的安全传送使用 OPC UA 建立安全连接OPC UA 将在客户端与服务器之间建立安全连接。OPC UA将检查通信伙伴的身份。OPC UA 使用基于 ITU（国际电信联盟）X.509-V3标准的证书对客户端和服务器进行认证。例外：使用安全策略“不安全”(No security) 时，将不建立安全连接。