启用 GDS 推送证书管理后,CPU的服务(应用程序)同样使用该证书存储区中的证书,这些 证书可以在运行期间进行管理。 1. 在 CPU 设置中,导航至“保护与安全> 证书管理”(Protection & Security > Certificate management) 区域。2. 选择“运行期间使用证书管理器提供的证书”(Use certificates provided by thecertificate management at runtime) 选项。 另一种方式则使用从 TIA Portal 下载到 CPU中的证书,这些证书在 CPU 处于 STOP 模式时 进行组态。该证书存储区中的证书或信任列表无法在运行时更新。 启用证书失效诊断如果希望提前收到证书失效通知,请在“保护与安全 > 证书管理”(Protection & Security >Certificate management) 区域中选择“启用证书失效系统诊断事件”(Enable systemdiagnostics event for the certificate lapsing) 选项。在输入字段“显示剩余证书有效期的事件:”(Show event at remaining certificate validityperiod of:) 输入百分比值。 这些设置的作用: •证书达到该值时,将出现相应的系统诊断消息,该消息在证书失效或刷新后才会消失。 • 如果证书已到期,CPU将生成相应的系统诊断消息,并在诊断缓冲区中生成一个条目,且 维护 LED 指示灯亮起。 示例: 在 2022 年 6 月 1 日通过GDS 传送的证书的有效期为 2022 年 6 月 1 日至 2022 年 6 月 30 日 (30 天)。已在诊断事件中输入百分数值10。2022 年 6 月 27 日,90% 的有效期将到期。 此时,将显示一条消息,指示所传送的证书将于 2022 年 6 月 30日到期。 无论组态的百分数值是多少,证书的有效期到期后,都将显示一条相应的消息并在诊断缓冲区 中输入一个条目,同时维护 LED指示灯亮起。 下载到 CPU 将组态下载到 CPU 之前,可删除由 GDS 管理的证书。确认删除后,下载完成时将进入配置阶段(参见调试部分)。 下载 CPU 之外的存储卡(读卡器)时,始终会删除该证书存储区。如果激活全球发现服务(推送)但未推送任何证书,则 OPC UA 服务器上没有任何证书、信任 列表或 CRL。 10.2.7.4 GDS调试 OPC UA 规范第 12 部分对证书管理期间的配置阶段和运行阶段进行了区分定义。 在配置阶段,GDS 或 OPC UA客户端为 OPC UA 服务器的客户端提供初始信任列表和 CRL。在 此阶段中,CPU 的 OPC UA服务器接受提供的所有客户端证书和列表;与 OPC UA 服务器的“受信任的客户端”设置类似,在运行期间接受所有客户端证书。服务器只能通过这种方式与未知客户端建立连接。例如,客户端无法通过现有证书或信任列表进行身份验证,而只能在接收相 应的客户端证书或相应的信任列表后餐呢个进行验证。配置阶段有信息安全水平低的特点;因此,配置阶段将通过点亮维护 LED 以及在相应的诊断 缓冲区中记录条目(需要维护)的方式加以指示。在运行阶段中,现有的 CRL 将进行更新(举例而言),并且证书和信任列表也将更新。通信在 此阶段中是安全的。
要求在配置阶段,只有具备足够功能权限的授权用户才能建立连接。用户必须拥有具备“管理证 书”功能权限的角色。 另请参见“设置和下载 GDS参数 (页 167)”。 配置阶段的规则 在配置阶段,CPU 的 OPC UA 无法对发起连接建立动作的 OPC UA客户端进行身份验证。因 此,必须遵循以下规则: • 提供安全环境,例如jinxian调试人员访问CPU。检查彼此通信的设备是否为正确的设备。 • 限制此阶段的时间。 CPU 通过点亮维护 LED以及在相应的诊断缓冲区中记录条目(需要维护)的方式指示其处于 配置阶段。 配置阶段的顺序 下文中简要介绍了 OPC UA服务器证书和信任列表配置阶段的 相应过程。进入配置阶段 OPC UA 服务器启动后,CPU会在满足下面其中一个条件时自动进入配置阶段: • OPC UA 服务器证书是 CPU生成的初始自签名证书,尚未替换为有效的服务器证书。 • 信任列表(可信任客户端列表)为空。 CPU 生成的 OPC UA服务器证书包含 OPC UA 服务器Zui重要的参数,并且除非已存在有效的服 务器证书,否则将在每次接通电源后启动 OPC UA服务器时重新生成(包括私钥在内)。出于 此原因,OPC UA 服务器可能在接通电源后需要更长的启动时间。 170 通信 功能手册,11/2022, A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全在硬件配置已下载后,可在运行时更新的证书,其证书存储区将在下载时删除,或者证书将得 到保留,具体取决于设置。这意味着,如果 GDS处于激活状态并且证书存储区已删除,CPU 将在硬件配置已下载后进入配置阶段。 配置阶段诊断 除了维护 LED 点亮之外,GDS地址模型还有两个节点可提供信息,指示 CPU 的 OPC UA 服务 器是否处于配置阶段: 只有在 GDS的要求得到满足后(端点安全已签署并加密,另外也已具备管理员功能权限), 用户才能出于诊断目的使用图中标记的两个节点。ProvisioningModeEnabled:表示支持配置阶段 ProvisioningModeActive:表示 CPU 的OPC UA 服务器处于配置阶段。配置阶段结束 在满足以下条件时,CPU 将自动结束配置阶段: • CPU在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书既 可以是自签名证书,也可以是 CA 签名证书。 • CPU中的信任列表不为空,即,存在用于检查客户端证书的 CA 证书,或者存在可xinlai的 OPC UA 客户端的客户端证书。 如果OPC UA 客户端传送 CA 签名证书并且另外也将 CA 证书添加到信任列表中,则 CPU 的 OPC UA 服务器可自动接受OPC UA 客户端发送的由同一 CA 签名的所有其它证书。 请求有效服务器证书 自 TIA Portal 版本V18/S7-1500 CPU 版本 V3.0 起,除了 OPC UA 服务器证书之外,也可将其 它服务的证书传送到 CPU中,例如用于 Web 服务器。 相应的服务(例如 CPU 的 OPC UA 服务器)通过以下步骤接收有效的证书: 1. GDS客户端(OPC UA 客户端)调用“CreateSigningRequest”方法请求服务器证书:通过证 书签名请求 (CSR)。2. 此 CSR 必须由证书颁发机构 (CA) 签署。 3. 签名的 CSR 必须再传送回 CPU 的 OPC UA服务器并用作证书。 在客户端具有所需的“管理证书”功能权限时,CPU 的 OPC UA 服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变体: • 更新证书,但不创建新的密钥对(使用已有的内部 CPU 密钥)• 更新证书,并创建新的密钥对(CPU 内部)此外,也可以使用外部创建的密钥对来生成证书。 注意 关于生成证书的推荐过程应避免传送私钥;私钥不得离开设备。 因此,我们建议在生成证书时不创建新密钥对,或在 CPU 内创建密钥对。 创建证书但不创建密钥对 •“CreateSigningRequest”方法返回证书签名请求 (CSR),即包含服务器或服务的特定信息 (例如应用程序名称和URL)的文件 (*.csr)。 • 在 CPU 外部,必须对该 CSR 进行验证并由证书颁发机构 (CA) 进行签名,Zui后必须返回证书。 • 随后,必须使用“UpdateCertificate”方法将证书传送到 CPU(“推送”)。 在这种情况下,密钥不会离开CPU。 使用内部创建的密钥对创建证书 此过程与上一节介绍的方法类似,唯一的区别是除了生成 CSR 之外,还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。 在此过程中,私钥不能离开 CPU。 生成新的密钥对会给CPU 带来很大负载。CPU 会在通信负载的预留区内以更低的优先级处理 此请求,且需要的时间较长。此时间的长短取决于 CPU 的性能。由于在密钥生成过程的较长时间内将完全利用所设通信负载的空间部分,在设置“通信用循环 负载”(Cycle load due tocommunication) 空间部分时,应确保不会超出Zui大循环时间并且预留 空间充足。为此,使用 CPU 的 Web服务器页面“诊断 > 运行时间信息”(Diagnostics > Runtimeinformation)。此页面显示当前程序/通信负载和用户程序循环时间的信息。就更改后的通信负载对循环时间的影响,用户可通过控制器获得帮助。 使用外部创建的密钥对创建证书 借助诸如可以生成其它密钥的工具来生成证书。证书和密钥通过“UpdateCertificate”方法传送到 CPU。 由于安全性低,此过程不推荐。 注意为不同的目标系统使用不同的密钥 对于生产系统,始终使用新生成的密钥。如对项目进行仿真和测试(例如,通过 PC 上的 PLCSIMAdvanced 进行),在任何情况下都不得将作为仿真用途的密钥用于生产系统。 应通过设置相应的权限来限制对 PC式控制器的访问。推送证书管理的地址模型 OPC UA 规范第 12 部分 (OPC 10000-12: Discovery,Global Services) 定义了 OPC UA 服务器的 方法和属性,例如允许 GDS 或 OPC UA客户端更新服务器上的证书和信任列表(“推送证书管 理”)。这些方法和属性也包含在 OPC UA 服务器的地址模型中。 下文介绍了S7-1500 CPU 的 OPC UA 服务器的地址模型中的相关部分。