要启用安全设置,请单击相关行的复选框。 说明 如果设置为“Basic256Sha256 - 签名”(Basic256Sha256-Sign) 和“Basic256Sha256 - 签名并加 密”(Basic256Sha256 -Sign & Encrypt),则OPC UA 服务器和 OPC UA 客户端必须使 用“SHA256”签名的证书。对于“Basic256Sha256-签名”(Basic256Sha256 -Sign) 和“Basic256Sha256-签名并加密”(Basic256Sha256 -Sign & Encrypt) 设置,STEP 7中的证书颁发机构将使用“SHA256”自动对 证书进行签名。 “不安全”安全策略和通过用户名和密码进行身份验证 可执行以下组合设置:“不安全”安全策略和通过用户名和密码进行身份验证 • S7-1500 的 OPC UA 服务器支持该组合设置。OPC UA客户端可连接并加密认证数据,亦然。 • S7-1500 CPU 的 OPC UA客户端也支持该组合设置:但在运行时,仅当通过电缆发送加密 的认证数据时才能连接! 10.3.3.6 使用 STEP 7 生成服务器证书在下文中,将介绍使用 STEP 7 生成新证书的操作过程,以及各种证书的不同应用方式。 STEP 7将基于启动以下对话框时的 CPU 属性区域,设置应用目标。在本示例中,为“OPC UA 客户端和服务器”(OPC UA Client& Server)。 建议:要使用 OPC UA 服务器的所有安全功能,则需使用全局安全设置。 在 CPU 特性的“保护和安全> 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。 用户自定义的服务器证书 如果您激活 S7-1500 的 OPC UA 服务器,则 STEP 7会自动为该服务器生成证书(请参见“激活 OPC UA 服务器 (页 196)”)。在该过程中,STEP 7使用证书参数的默认值。如果要更改参数, 请按照以下步骤进行操作: 1. 单击 CPU 属性中“常规 > OPC UA >服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server> Security > Secure channel > Server certificate)下的“浏览”(Browse) 按钮。随 即会显示一个对话框,用于显示局部可用的证书。 2. 单击“添加”(Add)按钮。默认情况下,服务器证书创建时使用 SHA256 签名。并启用以下安全策略: • 无 不安全端点 说明 禁用不需要的安全策略如果在 S7-1500 OPC UA 服务器的安全通道设置中启用了所有安全策略(默认设置),即采用端点“无”(None)(不安全),则服务器和客户端之间还可能存在非安全数据通信(既 未签名也未加密)。由于选择“不安全”(Nosecurity),客户端的身份仍然未知。无论后续为 哪种安全设置,每个 OPC UA 客户端随后都可以连接到服务器。 组态 OPCUA 服务器时,请确保只选择与您的设备或工厂的安全概念兼容的安全策略。应 禁用所有其它安全策略。建议:如果可能,请使用“Basic256Sha256”设置。 • Basic128Rsa15 - 签名不安全端点,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。 该端点通过签名确保数据的完整性。 •Basic128Rsa15 - 签名和加密 安全端点,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。该端点通过签名和加密确保数据的完整性。 • Basic256Rsa15 - 签名 安全端点,支持一系列使用哈希算法 RSA15 和256 位加密的算法。 该端点通过签名确保数据的完整性。 • Basic256Rsa15 - 签名和加密安全端点,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。 该端点通过签名和加密确保数据的完整性。 •Basic256Sha256 - 签名 端点进行安全连接,支持一系列 256 位哈希和 256 位加密算法。该端点通过签名确保数据的完整性。 • Basic256Sha256 - 签名和加密 安全端点,支持一系列 256 位哈希和 256位加密算法。 该端点将通过签名与加密机制确保数据的完整性和保密性。 • Aes256_Sha256_RsaPss - 签名端点进行安全连接,支持一系列 256 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256签名。该端点通过签名来保护数据的完整性。 对于较高的安全性要求。需要 PKI 基础结构。 • Aes256_Sha256_RsaPss- 签名和加密 端点进行安全连接,支持一系列 256 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256签名。该端点通过签名和加密来保护数据的完整性和机密性。 对于较高的安全性要求。需要 PKI 基础结构。用于生成证书的字段的说明 •CA 选择证书是自签名,还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书,请参 见“带 OPC UA的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书,项目必须受保护,您必须以具有全部所需功能权限的用户身份登录。更多相关信息,请参 见“TIA Portal 中用户管理的基本知识”。 •证书持有者 在默认设置中,通常包括项目名称和“\OPCUA-1”。在本示例中,项目名称为“PLC1”。在 CPU 属性的“常规> 项目信息 > 名称”("General > Project information > Name)下设置项目 名称。保留默认设置,或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。 208 通信 功能手册, 11/2022, A5E03735819-AK OPC UA 通信 10.3 将S7-1500 用作 OPC UA 服务器 • 签名 在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用:– “sha1RSA”、 – “sha256RSA”。 • 生效日期 在此处输入服务器证书开始生效的日期和时间。 • 截止日期在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在 本示例中,证书的有效期为 30年。出于安全方面的考虑,应该以更短的时间间隔更 新证书。如果有效期较长,您便有机会决定何时为对系统执行保养等作业的合适时机。 •用途 默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中,可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例 如,如果在CPU 的 Web 服务器中调用此对话框,则需在“使用”(Usage) 下输入“Web 服务 器”(Webserver)。“用途”(Usage) 下拉列表中包含以下条目: – “OPC UA 客户端”(OPC UA client) –“OPC UA 客户端和服务器”(OPC UA client & server) – “OPC UA 服务器”(OPC UAserver) – “TLS” – “Web 服务器”(Web server) • 主题备用名称 (SAN)在上述示例中输入以下内容:“URI:urn:SIMATIC.S7-1500.OPCUAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此URI,因为将根据所 传达的应用程序描述对其进行检查。以下条目也将有效:“IP:192.168.178.151,IP:192.168.1.1”。注意,在此处输入可用于 访问 CPU 的OPC UA 服务器的 IP 地址。 请参见“访问 OPC UA 服务器 (页 197)”。 借此,OPC UA客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接,或验证实 际上是否攻击者在尝试将另一台 PC的篡改值发送至 OPC UA 客户端。可通过以下几种方式: • 访客认证 用户无需证明其身份(匿名访问)。OPC UA服务器不会检查客户端用户的授权。 如需使用这种认证方式,则可在“OPC UA > 服务器 > 安全 >用户认证”(OPC UA > Server > Security > User authentication)中选择“启用访客认证”(Enable guest authentication) 选 项。 说明为增加安全性,应只允许访问支持用户认证的 OPC UA 服务器。 • 用户名和密码认证 用户必须证明其身份(非匿名访问)。OPC UA服务器将检查客户端用户是否具备访问服务 器的权限。并通过用户名和正确的密码进行身份验证。 如需采用这种用户认证方式,则可在“OPCUA > 服务器 > 安全 > 用户认证”(OPC UA > Server > Security> User authentication) 中选择“启用用户名和密码认证”(Enable user name andpassword authentication) 选项。 取消激活访客认证。 在“用户管理”(User management)表中输入用户。 此时,可单击条目“<新增用户>”()。系统将会创建一个新的用户并自动命名。用户可对该用户名进行编辑并输入密码。Zui多可添加 21 个用户。 • 通过项目的安全设置进行额外的用户管理“通过项目的安全设置启用额外用户管理”(Enable additional user administration via thesecurity settings of the project) 选项位于通用 OPC UA 设置(CPU 属性:“OPC UA> 常 规”(OPC UA > General))下。如果选择此选项,打开项目的用户管理也会用于对 OPC UA服务器进行用户认证:随后,当前项目中的相同用户名和密码同样在 OPC UA 中生效。 要激活项目的用户管理,请按以下步骤操作: –在项目树中单击“安全设置 > 设置”(Security settings > Settings)。 –单击“保护此项目”(Protect this project) 按钮。 – 输入用户名和密码。 – 在“安全设置 >用户和角色”(Security settings > Users and roles) 下输入其它用户。 如果组态项目中的其它OPC UA 服务器,还应选择“通过项目的安全设置启用额外用户管 理”(Enable additional useradministration via the security settings of the project) 选项。随后不需要重复输入用户名和密码。具有 OPC UA 功能权限的用户和角色 用户认证的以下选项使用集中项目设置(针对项目用户): •针对服务器: 用于组态 CPU 特性(“OPC UA > 服务器 > 安全 > 用户认证”(OPC UA >Server > Security > Userauthentication))。选项:“通过项目的安全设置启用额外用户管理”(Enable additional useradministration via the security settings of the project) • 针对客户端:用于组态客户端接口(“安全”(Security) 下的“组态”(Configuration) 选项卡)。选项:“用户 (TIAPortal - 安全设置)”(User (TIA Portal - security settings))