执行会话,如下所示: 1. 客户端将CreateSessionRequest 发送到服务器后,开始建立会话。该消息中包含一个仅能 使用一次的随机数Nonce。服务器必须对该随机数 (Nonce) 进行签名,证明自己为该私钥的所有者。此私钥属于该服务器建立安全通道时所用证书。该消息(及所有后续消息)将基于所选服务器端点的安全策略(所选的安全策略)进行加密。 2. 服务器将发送一个 CreateSession Response响应。该消息中包含有服务器的公钥和已签名 的 Nonce。客户端将检查已签名的 Nonce。 3.如果服务器通过测试,则客户端将向该服务器发送一个 SessionActivateRequest。该消息中 包含用户认证时所需的信息:– 用户名和密码,或 – 用户的 X.509 证书(STEP 7 不支持),或 – 无数据(如果组态为匿名访问)。 4.如果用户具有相应的权限,则服务器将返回客户端一条消息 (ActivateSessionResponse)。 激活会话。 OPC UA客户端与服务器已成功建立安全连接。 建立与 PLCopen 函数块的连接。 PLCopen 规范针对 OPC UA 客户端定义了一系列IEC 61131 函数块。指令 UA_Connect 可根据 上述模式启动安全通道和会话。通过全球发现服务器 (GDS)实现证书管理通过 GDS 实现自动化证书管理 在 TIA Portal V17 及以上版本和 S7-1500 CPU 固件版本V2.9 及以上版本中,OPC UA 服务器 的证书管理服务可用于在运行期间传送 OPC UA 服务器证书。 通过 GDS推送管理功能,S7-1500 CPU 的 OPC UA 服务器上的 OPC UA 证书、信任列表和证书 吊销列表 (CRL)可自动进行更新。证书管理自动化意味着,当证书到期后以及对 CPU 执行全新 下载操作后,无需再手动重新组态 CPU。此外,使用 GDS推送管理功能还可以在 CPU 处于 STOP 和 RUN 操作状态时传送更新后的证书和列表。 证书管理信息模型在 OPC UA 第12 部分(OPC 10000-12:OPC 统一架构,第 12 部分:发现 和全球服务)中指定。 自 TIA Portal V18起以及 S7-1500 CPU 固件版本 V3.0 起,GDS 推送管理功能可用于 Web 服 务器证书。通过 GDS推送管理功能更新证书的顺序理论上与通过 OPC UA 服务器证书功能更 新证书的顺序相同。与 OPC UA服务器证书功能的不同之处是,还可以在运行期间或操作期间 将 Web 服务器证书传送到CPU。下文的相应部分介绍了两者之间的区别或局限性。 以下章节概括介绍了全球发现服务以及 TIA Portal V17/CPU固件版本 V2.9 及更高版本支持的 自动化证书更新功能。
发现服务器 要连接到 OPC UA服务器,OPC UA 客户端需要其端点的相关信息,如端点 URL 和安全策略。如果网络中提供大量可用服务器,则发现服务器可负责处理对该服务器信息的搜索和管理。 • OPC UA 服务器注册使用发现服务器。 •OPC UA 客户端向发现服务器请求获取可访问的服务器列表,然后连接到所需 OPC UA 服务 器。 全球发现服务器 (GDS)OPC UA GDS 理念一方面可组态跨子网发现服务,另一方面为证书集中管理提供接口。 全球发现服务器 (GDS)提供的机制可实现对以下组件的集中管理: • CA 签名证书和自签名证书 • 受信任列表和证书吊销列表 (CRL) 因此,GDS提供中央证书管理的接入点,并接管 OPC UA 网络中安全服务器的任务。 GDS 主要用于通过相应的 CRL 来管理 CA 签名证书:• 首次创建 OPC UA 应用程序证书 • 定期更新受信任列表和 CRL • 更新应用程序证书 证书管理证书管理的任务是自动管理和分发不同服务器或 UA 应用程序的证书和信任列表。 在该上下文中,有以下两种不同的角色: • 证书管理器 -提供证书管理功能的 OPC UA 应用 • 证书接收方 - 从证书管理器接收证书、信任列表和 CRL 的 OPC UA 应用程序。证书管理分为以下两种模式:拉取管理和推送管理。 • 采用拉取管理模式时,OPC UA 应用作为 GDS服务器的客户端运行,并使用证书管理方法 来请求获取证书更新和信任列表更新。 • 采用推送管理模式时,OPC UA应用作为服务器运行,并提供将 OPC UA GDS 用作 OPC UA 客户端的方法。充当证书管理器的 GDS用此等方法传送(“推送”)证书和受信列表更新, 有关概念说明,请参见下文中的自动证书更新。 目前,仅 S7-1500 CPU 固件版本V2.9 及以上版本的 OPC UA 才支持推送管理。① 根 CA -为系统颁发证书的设备(此等证书也可通过其它方式传送,例如通过电子邮件方式) ② 安装有证书管理器的 OPC UAGDS,可创建或签名设备证书、管理信任列表和证书吊销列表 (CRL),以及将证书和列表写入设备中(推送功能)。对于推送功能,此设备需要OPC UA 客户 端功能。 ③ 装有 OPC UA 应用的设备,接收“推送”的证书和列表 STEP 7 版本 V17及更高版本的自动证书更新概念 GDS 和证书管理器通常合并到一个应用中,但下图中以两个独立的组件显示。 “普通的”OPC UA客户端之类的设备也可以用作证书管理器,但它们需要支持 Bytestring 数据 类型才能传送证书,例如,固件版本为 V2.9以及更高版本的 S7-1500 CPU 作为 OPC UA 客户 端或者具有 GDS 插件的 UA Expert 工具(Unified Automation)。 S7-1500 CPU 的 OPC UA 服务器作为证书接收方,可提供 OPC UA客户端证书读取和写入信任 列表和 CRL 时所需的标准方法与属性。 S7-1500 CPU 的 OPC UA服务器上下文的侧重点是介绍如何使用推送功能为 CPU 提供证书,并 与常规方法(通过下载硬件配置)进行了比较。 下图显示了S7-1500 CPU 固件版本 V2.9 或更高版本中 OPC UA 证书与列表的传输方式: • 或是在 CPU 处于 STOP模式时,通过加载硬件配置来更新;证书是硬件配置的组成部分。 • 或是在 CPU 处于 RUN 或 STOP 模式时,通过 GDS推送方法来更新。推送功能的组态限制 推送功能的证书数量 在 S7-1500 CPU 固件版本 V2.9及以上版本中,无论何种类型,OPC UA 推送功能的组态限值 均为 62 个信任列表条目。 • 每个激活的基于证书的服务(CPU应用程序)“消耗”一个证书条目和一个私钥条目。 • 证书吊销列表条目 (CRL) 的计数与受信任证书列表条目的计数方式一样。 •由不同服务(CPU 应用程序)使用的证书计为一个信任列表条目。 推送功能的元素大小(例如证书) Zui多 4096 个字节 示例希望授予Zui多 62 个 OPC UA 客户端对 OPC UA 服务器的访问权限,并相应填写受信任列表。在受信任列表中添加“证书吊销列表”条目时,Zui多只能信任 61 个客户端证书。 不能通过将硬件配置下载到 CPU 来传输更多的 OPCUA 证书。 提示 为了尽可能减少所需证书的数量,建议您通过同一个 CA 对 OPC UA 客户端证书进行签名。设置和下载 GDS参数 下文介绍了证书更新的所需设置。 要求 • 不同应用程序证书需要使用对应的 STEP 7/TIA Portal 版本和S7-1500 CPU 固件版本。 另请参见“证书管理的必备知识 (页 48)” – OPC UA 服务器证书需要使用 TIAPortal V17 及更高版本、CPU 固件版本 V2.9 – Web 服务器证书需要使用 TIA Portal V18及更高版本、CPU 固件版本 V3.0 • 已设置 CPU 的时间/日期(通常应用于基于证书的通信) • 已启用 OPC UA服务器。 • 必须启用 GDS 推送管理使用的服务。例如,必须启用 Web 服务器才能传送 Web 服务器证 书。 •至少必须组态一个采用“签名并加密”安全策略的端点。伙伴必须使用此端点。 • 已为经过身份验证的用户组态足够的功能权限用户必须拥有具备“管理证书”功能权限的角色。 该功能权限具有以下要求: – 必须在项目树中启用项目保护:项目树:“安全设置 >设置 > 项目保护”(Security settings > Settings > Projectprotection)。 – 在 CPU 设置的“CPU UA > 常规”(OPC UA > General)区域中,必须启用以下常规用户管理 设置:“通过项目安全设置启用其它用户管理”(Enable additional usermanagement via project security settings) “具有 OPC UA 功能权限的用户和角色 (页210)”部分介绍了如何设置功能权限。 激活 GDS 满足上述要求后,仍必须启用 GDS: 1. 在巡视窗口(CPU参数)中,转到“OPC UA > 服务器 > 常规”(OPC UA > Server > General)区域。 2. 启用“启用全球发现服务(推送)”(Enable Global Discovery Services (Push))选项。 确定使用的证书存储区 使用 GDS 进行管理的证书与通过 TIA Portal (STEP 7)下载的证书不在同一存储区中。