附加安全规则•仅在特殊情况下,使用端点“无”(None)。• 仅在特殊情况下,使用“访客身份验证”。• 如果确实有必要,则仅允许通过 OPC UA访问 PLC 变量和 DB 元素。• 在 S7-1500 OPC UA客户端的设置中使用可信客户端列表,以仅允许对特定客户端进行访问。ITU X.509 证书OPC UA的多个层级中,都集成有安全机制。其中,数字证书至关重要。仅当 OPC UA 服务器接受 OPC UA客户端的数字证书并将其归类为可信时,客户端才能与服务器建立安全连接。请参见“处理客户端和服务器证书 (页205)”部分。与此同时,客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份,并证明该身份与声明的相同:即,服务器和客户端必须证明自己的身份。例如,客户端和服务器的相互验证可有效防止中间人攻击。“中间人”攻击“中间人”可能会出现在服务器和客户端之间。中间人是一种程序,会截获服务器与客户端之间的通信并将自身伪装为客户端或服务器,以获取S7 程序的相关信息或设置 CPU 的值,进而对设备或工厂进行攻击。OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的X.509 标准,可识别(认证)一个程序、计算机或机构的身份。X.509 证书X.509 证书包含以下信息:• 证书的版本号•证书的序列号• 证书颁发机构对证书进行签名的算法。• 证书颁发机构的名称• 证书有效期的起始和结束时间•由证书颁发机构签名证书的程序、个人或机构名称。• 程序、个人或机构的公钥。因此,X509证书将身份(程序、个人或机构的名称)与该程序、个人或机构的公钥关联在一起。在连接建立期间检查客户端与服务器建立连接时,设备将基于证书检查全部所需信息以确保其完整性,如签名、有效期、应用程序名称(URN),对于固件版本 V2.5,还会检查客户端证书中客户端的 IP 地址。说明此外,还会检查证书中存储的有效期。因此必须设置CPU时钟,且日期/时间必须在有效期内,否则将无法进行通信。签名和加密要检查证书是否篡改,则需对证书进行签名。可通过以下几种方式进行操作:•在 TIA Portal中,可生成证书并为证书签名。如果您已对项目进行保护,并以具有可进行安全设置的功能权限的用户身份登录,则可以使用全局安全设置。通过全局安全设置可访问证书管理器,由此也可访问TIA Portal 的证书颁发机构 (CA)。• 还可通过其它选项创建证书并为证书签名。在 TIA Portal中,可将证书导入到全局证书管理器中。– 联系一家证书颁发机构 (CA)并对证书进行签名。此时,认证颁发机构将核实您的身份,并通过该证书颁发机构的私钥对您的证书进行签名。为此,需向证书颁发机构发送一个CSR(证书签名请求)。– 自行创建证书并对其进行签名。例如,为实现上述过程,您应使用 OPC基金会的“Opc.Ua.CertificateGenerator”程序。还可使用 OpenSSL。有关更多信息,请参见“用户自己生成PKI 密钥对和证书 有用信息:证书类型•自签名证书每个设备都可生成并签署自己的证书。应用示例:通信节点数量有限的静态组态。不能从自签名证书派生新的证书。但是,需要将所有自签名证书从伙伴设备加载到CPU(需要在STOP 模式下执行)。• CA 证书:所有证书都由证书颁发机构生成和进行签名。应用示例:动态添加设备。只需将证书从证书颁发机构下载到CPU。证书颁发机构可以生成新的证书(添加伙伴设备无需在 CPU STOP模式下)。签名如下所述,通过该签名,可验证消息的完整性和来源。首先,发送方根据纯文本信息(纯文本消息)生成 HASH值。之后,再通过私钥对该 HASH 值进行加密,并将该纯文本消息连同加密后的 HASH值一同发送到接收方。验证签名时,接收方需要一个发送方的公钥(包含在发送方的 X509 证书中)。接收方基于发送方的公钥,对接收到的HASH 值进行解密。然后,接收方再根据接收到的纯文本消息生成自己的 HASH 值(HASH过程包含在发送方的证书中)。接收方对这两个 HASH 值进行比较:• 如果两个 HASH值相同,则表示从发送方接收到的纯文本消息未经更改并未被篡改。• 如果两个 HASH不匹配,则表示到达接收方的的纯文本消息发生了更改。纯文本消息在传送过程中被篡改或受损。加密加密数据可防止非经授权的读取。X509证书不加密;这些证书为公开证书,任何人均可查看。在加密过程中,发送方将使用接收方的公钥对纯文本消息进行加密。为此,发送方需要接收方的X509证书。这是因为,该证书中包含接收方的公钥。接收方使用自己的私钥对消息进行解密。只有接收方才能对该消息进行解密:只有他们才拥有相应的私钥。因此,任何时候私钥都不得泄露。安全通道OPCUA使用客户端与服务器的私钥和公钥建立安全连接,即安全通道。建立安全连接后,客户端和服务器将生成一个只有它们才了解的内部密钥,它们使用此密钥对消息进行签名和加密。较非对称加密过程(私钥和公钥)过程,对称加密过程(共享密钥)的运行速度要快得多。更多信息有关通过TIA Portal 使用证书的应用示例,请参见此处:通过 TIA Portal使用证书OPC UA 证书使用 OPC UA 的X509 证书OPC UA 可使用各种类型的 X.509 证书在客户端与服务器之间建立连接:• OPC UA 应用程序证书这类X.509 证书用于标识软件实例、客户端或服务器软件的安装。在“机构名称”(Organization name)属性中,可输入该软件使用方的名称。说明即使安全设置为“无”(None)(不安全),S7-1500 的 OPC UA服务器也会使用应用程序证书。这可保证与 OPC UA V1.1 及更早版本的兼容性。• OPC UA 软件证书X-509证书用于标识客户端或服务器软件的特定版本。这些证书中包含有关属性,用于说明通过 OPC基金会(或认可的测试实验室)认证时的软件版本。在“机构名称”(Organization name)属性中,可输入该软件的研发或销售方名称。说明STEP 7 不支持软件证书。• OPC UA 用户证书该 X.509证书用于标识特定用户,例如从 OPC UA服务器检索过程数据的用户。如果用户可通过密码自行认证或组态为匿名访问,则无需使用该证书。说明STEP 7不支持用户证书。所述证书属于Zui底层实体证书:这些证书用于识别个人、机构、公司或软件实例(安装)等信息。创建自签名证书使用客户端的证书生成器很多OPC UA 客户端应用程序或 SDK 都集成到示例应用程序中,允许用户通过此应用程序为客户端生成证书。通常可在介绍 OPC UA客户端应用程序的上下文中找到证书生成的说明。在线支持的示例客户端SIMATIC S7-1500 OPC UA 服务器的 OPC UA.NET 客户端会在程序首次启动过程中在 Windows证书商店中创建客户端应用程序的自签名软件证书。本示例的文档介绍了处理这些证书的步骤。使用 TIA Portal 的证书生成器如果使用的OPC UA 客户端未生成客户端证书,可通过 STEP 7 创建自签名证书为此,请执行以下操作步骤:1. 在 CPU特性中,双击“保护和安全 > 证书管理器”(Protection & Security >Certificatemanager) 下的“<新增>”(<Add new>),2.单击“添加”(Add)。3. 在“创建新证书”(Create a new certificate) 对话框中,为“使用”(Usage)选择“OPC UA 客户端”(OPC UA client) 选项。4. 单击“确定”(OK)。在“主题备用名称”(SubjectAlternative Name) 字段中,STEP 7 将自动输入所生成证书的 URI。在使用 OPC 基金会的 .NET堆栈生成程序特定的证书时,将调用该字段(如“ApplicationUri”)。在其它证书生成工具中,该基金会的名称可能不同。更多信息有关处理客户端证书的更多信息,请参见“S7-1500CPU 的客户端证书处理 (页 297)”部分。11.2.5 用户自己生成 PKI 密钥对和证书只有在使用无法自行创建 PKI密钥对和客户端证书的 OPC UA 客户端时,才会涉及此部分内容。此时,可通过 OpenSSL 生成一个私钥和一个公钥,生成一个X.509 证书,并对该证书进行签名。使用 OpenSSLOpenSSL属于传输层安全工具,可用来创建证书。您还可以使用其它工具,例如XCA,一款密钥管理软件,该软件具有图形用户界面,改进了已颁发证书的总览功能。要在 Windows 系统中使用OpenSSL,请按以下步骤操作:1. 在 OpenSSL 系统中,安装 Windows。如果操作系统为 64 位,则 OpenSSL将安装在“C:\OpenSSL-Win64”目录中。OpenSSL-Win64 作为开源软件,可从不同的软件提供商处下载。2.创建一个目录,如“C:\demo”。3. 打开命令提示符。为此,单击“Start”,并在搜索栏中输入“cmd”或“commandprompt”。右键单击结果列表中的“cmd.exe”,并以管理员身份运行该程序。Windows 将打开命令提示符。4.切换到“C:\demo”目录。为此,可输入以下命令:“cd C:\demo”。5. 设置以下网络变量:– setRANDFILE=c:\demo\.rnd– setOPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfg6. 现在,启动 OpenSSL。如果OpenSSL 已安装在 C:\OpenSSL-Win64目录中,则可输入:C:\OpenSSL-Win64\bin\openssl.exe。下图显示的命令行窗口中包含以下命令:7.生成私钥。将密钥保存到“myKey.key”文件。在本示例中,密钥的长度为 1024 位;为了实现更高的 RSA 安全性,实际长度采用2048 位。输入以下命令:“genrsa -out myKey.key2048”(在本示例中为“genrsa -outmyKey.key 1024”)。下图显示了包含该命令的命令行以及 OpenSSL 输出结果:8. 生成一个 CSR(Certificate Signing Request)。为此,可输入以下命令:“req -new -keymyKey.key-out myRe”。在该命令的执行过程中,OpenSSL 将查询有关证书的信息:–国家/地区名称:如,“DE”为德国,“FR”为法国– 州或省名称:例如“Bavaria”。– 位置名称:如,“Augsburg”–机构名称:输入公司的名称。– 机构单位名称:如,“IT”– 公共名称:如,“OPC UA client of machine A”–电子邮件地址:说明针对固件版本为 V2.5、作为服务器的 S7-1500 CPU 的注意事项客户端程序的 IP 地址需存储在S7-1500 CPU 版本 V2.5(仅针对此版本)所创建证书的“主题备用名称”(Subject Alternative Name)字段中;否则 CPU 将不接受该证书。输入的信息将添加到证书中。下图显示了包含该命令的命令行以及 OpenSSL输出结果:该命令将在包含有 Certificate Signing Request (CSR) 的 C:\demo目录中创建一个文件;在本示例中,为“myRe”。使用 CSR可通过以下两种方式使用 CSR:• 将 CSR发送到证书颁发机构 (CA):读取特定证书颁发机构的信息。证书颁发机构 (CA)将检查用户的身份和信息(认证),并使用该证书颁发机构的私钥对该证书进行签名。如,接收已签名的 X.509 证书,并将该证书用于 OPCUA、HTTPS 或 Secure OUC (secure openuser communication)中。通信伙伴将使用该证书颁发机构的公钥检查该证书是否确实由CA 机构颁发(即,该证书颁发机构已确定您的信息)。• 用户对 CSR进行自签名:使用用户的私钥。该选项将在下一个操作步骤中介绍。