提示为了尽可能减少所需证书的数量,建议您通过同一个 CA 对 OPC UA客户端证书进行签名。在这种情况下,作为 OPC UA 服务器的 CPU 仅需要相应的 CA 证书和 CRL。通过这些元素,OPC UA服务器随后可以验证由 CA 签名的所有客户端证书。即,无需将每个客户端证书逐一添加到受信任列表中。设置和下载 GDS 参数下文介绍了证书更新的所需设置。要求• 不同应用程序证书需要使用对应的STEP 7/TIA Portal 版本和 S7-1500 CPU 固件版本。另请参见“证书管理的必备知识 (页 53)”– OPCUA 服务器证书需要使用 TIA Portal V17 及更高版本、CPU 固件版本 V2.9– Web 服务器证书需要使用 TIAPortal V18 及更高版本、CPU 固件版本 V3.0• 已设置 CPU 的时间/日期(通常应用于基于证书的通信)• 已启用OPC UA 服务器。• 必须启用 GDS 推送管理使用的服务。例如,必须启用 Web 服务器才能传送 Web 服务器证书。•至少必须组态一个采用“签名并加密”安全策略的端点。伙伴必须使用此端点。•已为经过身份验证的用户组态足够的功能权限用户必须拥有具备“管理证书”功能权限的角色。该功能权限具有以下要求:–必须在项目树中启用项目保护:项目树:“安全设置 > 设置 > 项目保护”(Securitysettings >Settings > Project protection)。– 在 CPU 设置的“CPU UA > 常规”(OPCUA > General) 区域中,必须启用以下常规用户管理设置:“通过项目安全设置启用其它用户管理”(Enableadditional user management viaproject security settings)“具有 OPC UA功能权限的用户和角色 (页 213)”部分介绍了如何设置功能权限。激活 GDS满足上述要求后,仍必须启用 GDS:1.在巡视窗口(CPU 参数)中,转到“OPC UA > 服务器 > 常规”(OPC UA > Server >General)区域。2. 启用“启用全球发现服务(推送)”(Enable Global Discovery Services(Push)) 选项。确定使用的证书存储区使用 GDS 进行管理的证书与通过 TIA Portal (STEP 7)下载的证书不在同一存储区中。169OPC UA 通信11.2 OPC UA 的信息安全通信功能手册, 11/2023,A5E03735819-AL启用 GDS 推送证书管理后,CPU的服务(应用程序)同样使用该证书存储区中的证书,这些证书可以在运行期间进行管理。1. 在 CPU 设置中,导航至“保护与安全 >证书管理”(Protection & Security > Certificatemanagement) 区域。2.选择“运行期间使用证书管理器提供的证书”(Use certificates provided by thecertificatemanagement at runtime) 选项。另一种方式则使用从 TIA Portal 下载到 CPU中的证书,这些证书在 CPU 处于 STOP模式时进行组态。该证书存储区中的证书或信任列表无法在运行时更新。启用证书失效诊断如果希望提前收到证书失效通知,请在“保护与安全> 证书管理”(Protection & Security >Certificate management)区域中选择“启用证书失效系统诊断事件”(Enable system diagnosticsevent for thecertificate lapsing) 选项。在输入字段“显示剩余证书有效期的事件:”(Show event atremaining certificate validity periodof:) 输入百分比值。这些设置的作用:•证书达到该值时,将出现相应的系统诊断消息,该消息在证书失效或刷新后才会消失。• 如果证书已到期,CPU将生成相应的系统诊断消息,并在诊断缓冲区中生成一个条目,且维护 LED 指示灯亮起。示例:在 2022 年 6 月 1 日通过 GDS传送的证书的有效期为 2022 年 6 月 1 日至 2022 年 6 月 30 日(30 天)。已在诊断事件中输入百分数值10。2022 年 6 月 27 日,90% 的有效期将到期。此时,将显示一条消息,指示所传送的证书将于 2022 年 6 月 30日到期。无论组态的百分数值是多少,证书的有效期到期后,都将显示一条相应的消息并在诊断缓冲区中输入一个条目,同时维护 LED指示灯亮起。下载到 CPU将组态下载到 CPU 之前,可删除由 GDS管理的证书。确认删除后,下载完成时将进入配置阶段(参见调试部分)。下载 CPU之外的存储卡(读卡器)时,始终会删除该证书存储区。如果激活全球发现服务(推送)但未推送任何证书,则 OPC UA服务器上没有任何证书、信任列表或 CRL。11.2.7.4 GDS 调试OPC UA 规范第 12部分对证书管理期间的配置阶段和运行阶段进行了区分定义。在配置阶段,GDS 或 OPC UA 客户端为 OPC UA服务器的客户端提供初始信任列表和 CRL。在此阶段中,CPU 的 OPC UA 服务器接受提供的所有客户端证书和列表;与 OPC UA服务器的“受信任的客户端”设置类似,在运行期间接受所有客户端证书。服务器只能通过这种方式与未知客户端建立连接。例如,客户端无法通过现有证书或信任列表进行身份验证,而只能在接收相应的客户端证书或相应的信任列表后餐呢个进行验证。配置阶段有信息安全水平低的特点;因此,配置阶段将通过点亮维护LED 以及在相应的诊断缓冲区中记录条目(需要维护)的方式加以指示。在运行阶段中,现有的 CRL将进行更新(举例而言),并且证书和信任列表也将更新。通信在此阶段中是安全的。170通信功能手册, 11/2023,A5E03735819-ALOPC UA 通信11.2 OPC UA的信息安全要求在配置阶段,只有具备足够功能权限的授权用户才能建立连接。用户必须拥有具备“管理证书”功能权限的角色。另请参见“设置和下载GDS 参数 (页 169)”。配置阶段的规则在配置阶段,CPU 的 OPC UA 无法对发起连接建立动作的 OPC UA客户端进行身份验证。因此,必须遵循以下规则:• 提供安全环境,例如jinxian调试人员访问CPU。检查彼此通信的设备是否为正确的设备。• 限制此阶段的时间。CPU 通过点亮维护 LED以及在相应的诊断缓冲区中记录条目(需要维护)的方式指示其处于配置阶段。配置阶段的顺序下文中简要介绍了 OPC UA服务器证书和信任列表配置阶段的相应过程。Web 服务器证书配置阶段的过程与此类似。与 OPC UA 不同,GDS 客户端仅推送 Web服务器证书,但不会将信任列表推送到相应的证书存储区中。通信11.2 OPC UA 的信息安全通信功能手册, 11/2023,A5E03735819-AL进入配置阶段OPC UA 服务器启动后,CPU 会在满足下面其中一个条件时自动进入配置阶段:• OPCUA 服务器证书是 CPU 生成的初始自签名证书,尚未替换为有效的服务器证书。• 信任列表(可信任客户端列表)为空。CPU 生成的OPC UA 服务器证书包含 OPC UA 服务器Zui重要的参数,并且除非已存在有效的服务器证书,否则将在每次接通电源后启动 OPCUA 服务器时重新生成(包括私钥在内)。出于此原因,OPC UA服务器可能在接通电源后需要更长的启动时间。在硬件配置已下载后,可在运行时更新的证书,其证书存储区将在下载时删除,或者证书将得到保留,具体取决于设置。这意味着,如果GDS 处于激活状态并且证书存储区已删除,CPU将在硬件配置已下载后进入配置阶段。配置阶段诊断除了维护 LED 点亮之外,GDS地址模型还有两个节点可提供信息,指示 CPU 的 OPC UA 服务器是否处于配置阶段:只有在 GDS的要求得到满足后(端点安全已签署并加密,另外也已具备管理员功能权限),用户才能出于诊断目的使用图中标记的两个节点。ProvisioningModeEnabled:表示支持配置阶段ProvisioningModeActive:表示CPU 的 OPC UA 服务器处于配置阶段。配置阶段结束在满足以下条件时,CPU 将自动结束配置阶段:• CPU在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书既可以是自签名证书,也可以是 CA 签名证书。• CPU中的信任列表不为空,即,存在用于检查客户端证书的 CA 证书,或者存在可信赖的OPC UA 客户端的客户端证书。如果 OPC UA客户端传送 CA 签名证书并且另外也将 CA 证书添加到信任列表中,则 CPU 的OPC UA 服务器可自动接受 OPC UA客户端发送的由同一 CA 签名的所有其它证书。请求有效服务器证书自 TIA Portal 版本 V18/S7-1500 CPU 版本V3.0 起,除了 OPC UA 服务器证书之外,也可将其它服务的证书传送到 CPU 中,例如用于 Web 服务器。相应的服务(例如CPU 的 OPC UA 服务器)通过以下步骤接收有效的证书:1. GDS 客户端(OPC UA客户端)调用“CreateSigningRequest”方法请求服务器证书:通过证书签名请求 (CSR)。2. 此 CSR必须由证书颁发机构 (CA) 签署。3. 签名的 CSR 必须再传送回 CPU 的 OPC UA服务器并用作证书。172通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.2 OPC UA的信息安全在客户端具有所需的“管理证书”功能权限时,CPU 的 OPC UA服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变体:• 更新证书,但不创建新的密钥对(使用已有的内部CPU 密钥)• 更新证书,并创建新的密钥对(CPU内部)此外,也可以使用外部创建的密钥对来生成证书。注意关于生成证书的推荐过程应避免传送私钥;私钥不得离开设备。因此,我们建议在生成证书时不创建新密钥对,或在CPU 内创建密钥对。创建证书但不创建密钥对• “CreateSigningRequest”方法返回证书签名请求(CSR),即包含服务器或服务的特定信息(例如应用程序名称和 URL)的文件 (*.csr)。• 在 CPU 外部,必须对该 CSR进行验证并由证书颁发机构 (CA) 进行签名,Zui后必须返回证书。•随后,必须使用“UpdateCertificate”方法将证书传送到 CPU(“推送”)。在这种情况下,密钥不会离开CPU。使用内部创建的密钥对创建证书此过程与上一节介绍的方法类似,唯一的区别是除了生成 CSR之外,还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。在此过程中,私钥不能离开CPU。生成新的密钥对会给 CPU 带来很大负载。CPU会在通信负载的预留区内以更低的优先级处理此请求,且需要的时间较长。此时间的长短取决于 CPU的性能。由于在密钥生成过程的较长时间内将完全利用所设通信负载的空间部分,在设置“通信用循环负载”(Cycle load due tocommunication) 空间部分时,应确保不会超出Zui大循环时间并且预留空间充足。为此,使用 CPU 的 Web 服务器页面“诊断> 运行时间信息”(Diagnostics >Runtimeinformation)。此页面显示当前程序/通信负载和用户程序循环时间的信息。就更改后的通信负载对循环时间的影响,用户可通过控制器获得帮助。使用外部创建的密钥对创建证书借助诸如可以生成其它密钥的工具来生成证书。证书和密钥通过“UpdateCertificate”方法传送到CPU。由于安全性低,此过程不推荐。注意为不同的目标系统使用不同的密钥对于生产系统,始终使用新生成的密钥。如对项目进行仿真和测试(例如,通过PC 上的PLCSIM Advanced 进行),在任何情况下都不得将作为仿真用途的密钥用于生产系统。应通过设置相应的权限来限制对PC 式控制器的访问。