推送证书管理的地址模型OPC UA 规范第12 部分 (OPC 10000-12: Discovery, Global Services) 定义了 OPC UA服务器的方法和属性,例如允许 GDS 或 OPC UA 客户端更新服务器上的证书和信任列表(“推送证书管理”)。这些方法和属性也包含在OPC UA 服务器的地址模型中。下文介绍了 S7-1500 CPU 的 OPC UA服务器的地址模型中的相关部分。要求为了使相关方法和属性对 GDS 推送功能可见,必须满足以下要求:• GDS 已激活。•设定的安全策略支持通过签名和加密确保数据的完整性和机密性。• 使用运行系统功能权限“管理证书”进行访问GDS 推送功能的地址模型GDS推送功能的地址模型相当于 OPC UA 规范的“Information Model for PushCertificateManagement”OPC 10000-12: Discovery, GlobalServices。“ServerConfiguration”节点下方的结构如下所示:用于访问地址模型的方法和属性下文简要介绍了这些方法和属性,并介绍了S7-1500 CPU 特定地址模型的特殊功能和限制。上文列出的 OPC UA规范包含一般说明。此概述表下方给出了有关各个方法的详细说明。方法/属性(变量) 说明CreateSigningRequest此方法用于生成以服务(例如 OPC UA 服务器)私钥进行签名的 PKCS#10 编码证书请求。UpdateCertificate此方法用于为 OPC UA 服务器更新服务器证书等。ApplyChanges此方法用于,在已设置“ApplyChangesRequired”属性的情况下,在执行之前执行过的方法时,应用安全相关更改。注如果证书因“ApplyChanges”而更改,CPU将中断此证书所担保的连接/会话。背景:作为担保连接基础的证书不再有效。GetRejectedList 此方法会返回被 OPC UA服务器拒绝的证书列表。S7-1500 CPU 的 OPC UA 服务器目前不会存储被拒绝的证书。此方法返回一个空数组RejectedList。174通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.2 OPC UA的信息安全方法/属性(变量) 说明ServerCapabilities S7-1500 CPU 的 OPC UA服务器不支持该变量。SupportedPrivateKeyFormats 此变量用于指定允许使用的私钥格式。对于 S7-1500CPU,仅允许使用“PEM”(字符串数组)MaxTrustListSize此变量用于指定信任列表的Zui大大小。MulticastDnsEnabled 此变量用于指定是否支持组播 DNS。对于 S7-1500CPU,该值为“False”。CertificateGroups 该对象(文件夹)用于组织 OPC UA服务器所支持的所有证书组。这些证书组包含运行期间可动态更新的对象。例如,每个证书组包含一个信任列表,还包含一个或多个分配给服务(例如OPC UA 应用程序)的证书。有关 CertificateGroups对象的结构以及此对象中提供的方法和属性的详细信息,请参见下一节。CreateSigningRequest该方法具有以下参数:参数数据类型 说明[in] certificateGroupId NodeId CertificateGroup 对象的NodeId。[in] certificateTypeId NodeId请求的证书类型。允许使用的证书类型列表由证书组的“CertificateTypes”变量指定。例如,OPC UA服务器使用的证书类型是“RsaSha256ApplicationCertificateType”,Web服务器使用的证书类型是“HttpsCertificateType”[in]subjectName String 证书请求中请求的主题名称。如果未指定,则使用证书的当前主题名称。[in]regeneratePrivateKey Boolean True:服务器生成新私钥。该密钥会一直保存到调用签名证书匹配的UpdateCertificate 方法为止。False:服务器使用既有私钥。[in] nonce ByteString用于生成新私钥的额外随机数(参见regeneratePrivateKey)。长度必须至少为 32 字节。[out]certificateRequest ByteString PKCS #10 - DER 编码证书请求。方法结果代码结果代码说明Bad_InvalidArgument certificateTypeId、certificateGroupId或subjectName 无效。Bad_UserAccessDenied 当前用户不具备所需的功能权限。175OPC UA通信11.2 OPC UA 的信息安全通信功能手册, 11/2023,A5E03735819-ALUpdateCertificate应用:• 通过 CreateSigningRequest生成证书。未提供私钥。• 新私钥和新证书在服务器之外生成。两者均通过 UpdateCertificate 进行更新。•证书通过现有证书的私钥生成并签名。未提供私钥。参数 数据类型 说明[in] certificateGroupId NodeIdCertificateGroup 对象的 NodeId。[in] certificateTypeId NodeId请求的证书类型。允许使用的证书类型列表由证书组的“CertificateTypes”变量指定。[in] certificateByteString 替换现有证书的 DER 编码证书。[in] issuerCertificates ByteString颁发机构证书[in] privateKeyFormat String 私钥格式。目前仅支持PEM。如果未指定privateKey:零或空字符串。[in] privateKey ByteString 按privateKeyFormat 中指定的格式进行编码的私钥。[out] applyChangesRequired Boolean指示使用新证书前必须调用“ApplyChanges”方法。方法结果代码结果代码 说明Bad_InvalidArgumentcertificateTypeId 或 certificateGroupId 无效。Bad_CertificateInvalid证书无效或格式不受支持。Bad_NotSupported 私钥无效或格式不受支持。Bad_UserAccessDenied当前用户不具备所需的功能权限。Bad_SecurityChecksFailed验证证书完整性时出错。应用更改该方法没有参数。方法结果代码结果代码 说明Bad_UserAccessDenied当前用户不具备所需的功能权限。176通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.2 OPCUA 的信息安全GetRejectedList该方法具有以下参数:参数 数据类型 说明[out] certificatesByteStrings 被拒绝的 DER编码证书列表。由于不会存储被拒绝的证书,此方法目前返回一个空列表(空数组)。方法结果代码结果代码说明Bad_UserAccessDenied 当前用户不具备所需的功能权限。11.2.7.6 地址模型中的CertificateGroups运行过程中,CPU(OPC UA服务器)中可更新服务或应用程序的证书和信任列表位于地址模型中的“CertificateGroups”对象中,该对象是 S7‑1500CPU 中所有服务都有的一个证书组。对于 OPC UA 服务器证书,证书组的名称为“OPC UA server”。地址模型中的CertificateGroup下图显示了“ServerConfiguration”节点下方“CertificateGroups”对象的结构。在STEP 7 (TIA Portal) 中,可更改 CertificateGroups 的 Display Name(例如,“OPCUAserver”的显示名称):1. 在巡视窗口(CPU 属性)中,导航至“保护与安全 > 证书管理”(Protection &Security >Certificate management) 区域。2. 启用“运行期间使用证书管理提供的证书”(Usecertificates provided by certificatemanagement during runtime)选项。3. 更改下表中证书组的组名称 (DisplayName)。允许 7 位 ASCII 格式的 1-64字符。第一列包含已激活的可在运行时传送证书的服务,“ID”列包含用于在 CPU内部引用证书的固定数字标识符。以下是“证书管理”(Certificate management)区域中的显示示例:“CertificateTypes”节点“CertificateTypes”变量指定分配给服务器应用程序的证书类型的NodeId。例如,OPC UA服务器服务支持“RsaSha256ApplicationCertificateType”CertificateType,Web服务器支持“HttpsCertificateTypeCertificateType”。“TrustList”节点信任列表对象的节点(TrustList文件)定义了 OPC UA 文件类型(二进制编码流),其中包含有关证书和 CRL 的信息。此信息可在存储卡的“pkistore\trusted\issuer”目录中读取和更新。该节点提供用于读取和更新的方法和属性。节点是 OPC UA数据类型“TrustListDataType”的实例,其结构如下:参数 数据类型 说明specifiedListsTrustListsMasks 该位掩码用于显示包含信息的列表。trustedCertificates ByteStrings可信任的应用程序证书和 CA 证书列表。trustedCrls ByteStrings“trustedCertificates”列表中证书的 CRL。issuerCertificates ByteStrings 验证CA 签名证书所需的 CA 证书列表。issuerCrls ByteStrings “issuerCertificates”列表中CA 证书的 CRL。178通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.2 OPC UA的信息安全“TrustList”节点的结构“TrustList”节点的结构如下所示:“TrustList”节点的方法和属性下方是“TrustList”下的各节点的描述,此等节点是对Object Type "FileType" 方法的补充。TrustList Type 由 FileType 派生而来(参见 OPC10000‑5:OPC 统一架构,第 5 部分:信息模型)。方法/属性(变量) 说明LastUpdateTime此变量用于显示上次更新时间。OpenWithMasks 此方法允许客户端仅读取部分 TrustList。CloseAndUpdate此方法用于关闭 TrustList 文件并应用更改。AddCertificate 此方法用于将单个证书添加到TrustList。RemoveCertificate 此方法用于从 TrustList 中移除单个证书。方法说明OPC UA 规范第12 部分“发现和全局服务”中介绍了上述方法及其结果代码、属性和 TrustList 对象类型。