自签名证书输入以下命令,生成一个证书并对自签名(自签名证书):“x509 -req -days 365-inmyRe -signkey myKey.key -outmyCertificate.crt”。下图显示了包含以下命令和 OpenSSL 的命令行窗口:该命令将生成一个 X.509证书,其中包含通过 CSR 传送的属性信息(在本示例中,为“myRe”),例如有效期为一年(-days365)。该命令还将使用私钥对证书进行签名(在本示例中为“myKey.key”)。通信伙伴可使用公钥(包含在证书中)检查您是否拥有属于该公钥的私钥。这样还可以防止公钥被攻击者滥用。通过自签名证书,用户可确定自己证书中的信息是否正确。此时,无需依靠任何机构即可检查信息是否正确。更多信息有关处理S7‑1500 CPU 客户端证书的信息,请参见“S7-1500 CPU 的客户端证书处理 (页297)”部分。11.2.6消息的安全传送使用 OPC UA 建立安全连接OPC UA 将在客户端与服务器之间建立安全连接。OPC UA将检查通信伙伴的身份。OPC UA 使用基于 ITU(国际电信联盟)X.509-V3标准的证书对客户端和服务器进行认证。例外:使用安全策略“不安全”(No security) 时,将不建立安全连接。163OPC UA通信11.2 OPC UA 的信息安全通信功能手册, 11/2023, A5E03735819-AL消息的安全模式OPC UA使用以下安全策略确保消息安全:• 不安全所有消息均不安全。要使用该安全策略,则需与服务器建立安全策略为“无”(None)的端点连接。•签名所有消息均已签名。系统将对所接收消息的完整性进行检查。检测篡改行为。要使用该安全策略,则需与端点安全策略为“签名”(Sign)的服务器立连接。•签名和加密对所有消息进行签名并加密。系统将对所接收消息的完整性进行检查。检测篡改行为。而且,攻击者无法读取消息内容(保护机密)。要使用该安全策略,则需与端点安全策略为“签名并加密”(SignAndEncrypt)的服务器建立连接。安全策略还可根据所使用的算法命名。示例:“Basic256Sha256-签名和加密”表示:端点进行安全连接,支持一系列 256 位哈希和 256位加密算法。所需层级下图显示了建立连接时通常所需的三个层:传输层、安全通道和会话。23&8$ᇒᡧㄟ䙊ؑቲᵪᇶᙗ̢ᆼᮤᙗ̢ᓄ⭘〻ᒿ䇔䇱ᓄ⭘ቲ̢⭘ᡧᵳ䲀⭘ᡧ䇔䇱ᓄ⭘ቲ̢⭘ᡧᵳ䲀⭘ᡧ䇔䇱23&8$ᴽ࣑ಘՐ䗃ቲᆹޘ䙊䚃Պ䈍䙊ؑቲᵪᇶᙗ̢ᆼᮤᙗ̢ᓄ⭘〻ᒿ䇔䇱图11-6 所需层级:传输层、安全通道和会话• 传输层:该层用于发送和接收消息。OPC UA 在此使用优化的基于 TCP的二进制协议。传输层是后续安全通道的基础。•安全通道安全层从传输层接收数据,再转发到会话层中。安全通道将待发送的会话数据转发到传输层中。在“签名”(Sign)安全模式中,安全通道将对待发送的数据(消息)进行签名。接收消息时,安全通道将检查签名以检测是否存在篡改的情况。采用安全策略“签名并加密”(SignAndEncrypt)时,安全通道将对待发送数据进行签名并加密。安全通道将对接收到的数据进行解密,并检查签名。采用安全策略“不安全”(Nosecurity) 时,安全通道将直接传送该消息包而不进行任何更改(消息将以纯文本形式接收和发送)。•会话会话将安全通道的消息转发给应用程序,或接收应用程序中待发送的消息。此时,应用程序即可使用这些过程值或提供这些值。164通信功能手册,11/2023, A5E03735819-ALOPC UA 通信11.2 OPC UA的信息安全建立安全通道建立安全通道,如下所示:1.服务器接收到客户端发送的请求时,开始建立安全通道。该请求将签名或签名并加密,甚至以纯文本形式发送,具体取决于所选服务器端的安全模式。在“签名”(Sign)和“签名并加密”(Sign & Encrypt) 安全模式中,客户端将随该请求一同发送一个机密数(随机数)。2.服务器将验证客户端的证书(包含在请求中,未加密)并检验该客户端的身份。如果服务器信任此客户端证书,–则会对消息进行解密并检查签名(“签名并加密”(Sign & Encrypt)),– 仅检查签名(“签名”(Sign)),–或不对消息进行任何更改(“不安全”(No security))3.之后,服务器会向客户端发送一个响应(与请求的安全等级相同)。响应中还包含服务器机密。客户端和服务器根据客户端和服务器的机密数计算对称密钥。此时,安全通道已成功建立。对称密钥(而非客户端与服务器私钥和公钥)可用于对消息进行签名和加密。建立会话执行会话,如下所示:1.客户端将 CreateSessionRequest 发送到服务器后,开始建立会话。该消息中包含一个仅能使用一次的随机数Nonce。服务器必须对该随机数 (Nonce)进行签名,证明自己为该私钥的所有者。此私钥属于该服务器建立安全通道时所用证书。该消息(及所有后续消息)将基于所选服务器端点的安全策略(所选的安全策略)进行加密。2.服务器将发送一个 CreateSession Response 响应。该消息中包含有服务器的公钥和已签名的Nonce。客户端将检查已签名的 Nonce。3. 如果服务器通过测试,则客户端将向该服务器发送一个SessionActivateRequest。该消息中包含用户认证时所需的信息:– 用户名和密码,或– 用户的 X.509证书(STEP 7 不支持),或– 无数据(如果组态为匿名访问)。4. 如果用户具有相应的权限,则服务器将返回客户端一条消息(ActivateSessionResponse)。激活会话。OPC UA 客户端与服务器已成功建立安全连接。建立与 PLCopen函数块的连接。PLCopen 规范针对 OPC UA 客户端定义了一系列 IEC 61131 函数块。指令 UA_Connect可根据上述模式启动安全通道和会话。
通过全球发现服务器 (GDS) 实现证书管理通过GDS 实现自动化证书管理在 TIA Portal V17 及以上版本和 S7-1500 CPU 固件版本 V2.9及以上版本中,OPC UA 服务器的证书管理服务可用于在运行期间传送 OPC UA 服务器证书。通过 GDS推送管理功能,S7-1500 CPU 的 OPC UA 服务器上的 OPC UA 证书、信任列表和证书吊销列表 (CRL)可自动进行更新。证书管理自动化意味着,当证书到期后以及对 CPU 执行全新下载操作后,无需再手动重新组态 CPU。此外,使用 GDS推送管理功能还可以在 CPU 处于STOP 和 RUN 操作状态时传送更新后的证书和列表。证书管理信息模型在 OPC UA 第 12部分(OPC 10000-12:OPC 统一架构,第 12 部分:发现和全球服务)中指定。自 TIA Portal V18 起以及S7-1500 CPU 固件版本 V3.0 起,GDS 推送管理功能可用于 Web 服务器证书。通过 GDS推送管理功能更新证书的顺序理论上与通过 OPC UA 服务器证书功能更新证书的顺序相同。与 OPC UA服务器证书功能的不同之处是,还可以在运行期间或操作期间将 Web 服务器证书传送到CPU。下文的相应部分介绍了两者之间的区别或局限性。以下章节概括介绍了全球发现服务以及 TIA Portal V17/CPU 固件版本V2.9 及更高版本支持的自动化证书更新功能。发现服务器要连接到 OPC UA 服务器,OPC UA客户端需要其端点的相关信息,如端点 URL和安全策略。如果网络中提供大量可用服务器,则发现服务器可负责处理对该服务器信息的搜索和管理。• OPC UA服务器注册使用发现服务器。• OPC UA 客户端向发现服务器请求获取可访问的服务器列表,然后连接到所需 OPC UA服务器。全球发现服务器 (GDS)OPC UA GDS 理念一方面可组态跨子网发现服务,另一方面为证书集中管理提供接口。全球发现服务器(GDS) 提供的机制可实现对以下组件的集中管理:• CA 签名证书和自签名证书• 受信任列表和证书吊销列表 (CRL)因此,GDS提供中央证书管理的接入点,并接管 OPC UA 网络中安全服务器的任务。GDS 主要用于通过相应的 CRL 来管理 CA 签名证书:•首次创建 OPC UA 应用程序证书• 定期更新受信任列表和 CRL•更新应用程序证书证书管理证书管理的任务是自动管理和分发不同服务器或 UA应用程序的证书和信任列表。在该上下文中,有以下两种不同的角色:• 证书管理器 - 提供证书管理功能的 OPC UA 应用• 证书接收方- 从证书管理器接收证书、信任列表和 CRL 的 OPC UA 应用程序。证书管理分为以下两种模式:拉取管理和推送管理。•采用拉取管理模式时,OPC UA 应用作为 GDS 服务器的客户端运行,并使用证书管理方法来请求获取证书更新和信任列表更新。•采用推送管理模式时,OPC UA 应用作为服务器运行,并提供将 OPC UA GDS 用作 OPC UA客户端的方法。充当证书管理器的GDS 用此等方法传送(“推送”)证书和受信列表更新,有关概念说明,请参见下文中的自动证书更新。目前,仅 S7-1500 CPU固件版本 V2.9 及以上版本的 OPC UA 才支持推送管理。使用 GDS 的系统组态下图显示了与提供证书管理功能的 GDS相关的各个设备的任务示例。① 根 CA - 为系统颁发证书的设备(此等证书也可通过其它方式传送,例如通过电子邮件方式)②安装有证书管理器的 OPC UAGDS,可创建或签名设备证书、管理信任列表和证书吊销列表(CRL),以及将证书和列表写入设备中(推送功能)。对于推送功能,此设备需要OPC UA 客户端功能。③ 装有 OPC UA 应用的设备,接收“推送”的证书和列表STEP 7 版本 V17及更高版本的自动证书更新概念GDS 和证书管理器通常合并到一个应用中,但下图中以两个独立的组件显示。“普通的”OPC UA客户端之类的设备也可以用作证书管理器,但它们需要支持 Bytestring 数据类型才能传送证书,例如,固件版本为 V2.9以及更高版本的 S7-1500 CPU 作为 OPC UA 客户端或者具有 GDS 插件的 UA Expert 工具 (UnifiedAutomation)。S7-1500 CPU 的 OPC UA 服务器作为证书接收方,可提供 OPC UA客户端证书读取和写入信任列表和 CRL 时所需的标准方法与属性。S7-1500 CPU 的 OPC UA服务器上下文的侧重点是介绍如何使用推送功能为 CPU 提供证书,并与常规方法(通过下载硬件配置)进行了比较。下图显示了 S7-1500CPU 固件版本 V2.9 或更高版本中 OPC UA 证书与列表的传输方式:• 或是在 CPU 处于 STOP模式时,通过加载硬件配置来更新;证书是硬件配置的组成部分。• 或是在 CPU 处于 RUN 或 STOP 模式时,通过 GDS推送方法来更新。两种方法不能同时使用。如果选择在运行系统中通过 GDS 推送功能传送 OPC UA服务器证书,则必须通过此途径将其它所有证书类型传送到 CPU。推送功能的组态限制推送功能的证书数量在 S7-1500 CPU 固件版本V2.9 及以上版本中,无论何种类型,OPC UA 推送功能的组态限值均为 62 个信任列表条目。• 每个激活的基于证书的服务(CPU应用程序)“消耗”一个证书条目和一个私钥条目。• 证书吊销列表条目 (CRL) 的计数与受信任证书列表条目的计数方式一样。•由不同服务(CPU 应用程序)使用的证书计为一个信任列表条目。推送功能的元素大小(例如证书)Zui多 4096 个字节示例希望授予Zui多62 个 OPC UA 客户端对 OPC UA服务器的访问权限,并相应填写受信任列表。在受信任列表中添加“证书吊销列表”条目时,Zui多只能信任 61个客户端证书。不能通过将硬件配置下载到 CPU 来传输更多的 OPC UA 证书。