本地证书管理器通过全局安全功能中的证书管理器导入的证书不会自动分配给相应模块。导入的证书必须通 过本地安全设置中的“Certificatemanager”条目手动包含在可信伙伴证书列表中。由 STEP 7 生成的证书,如 SSL 证书或 VPN组证书,将自动分配给相应模块,无需使用本地安全设置 进行分配。为实现“SecureCommunication”而在程序块中引用证书之前,必须通过本地证书管理器将这些证书作为设备证书分配给安全模块。选中一个表单元格后,可通过“Add”按钮创建一个新证书,或通过复选标记符号使用项目的现有证书。要访问项目的现有证书以及通过认证机构 签发新证书,必须激活“Use globalsecurity functions for the certificate manager”复选框。 证书颁发机构 “认证机构(CA)”选项卡 CA 证书是由“Certificate Authority”签发的证书,通常需要从认证机构生成设备证书和进行设备证书签名。 认证机构可以是: • STEP 7 项目本身。如果“主题的公用名”(Common name of subject)和“签发者”(Issuer) 相同,则属于自签证书,即证书由带私钥的 STEP 7 项目签发。 •带私钥的更gaoji认证机构。这些第三方证书属于项目的外部证书,可导入并存储到 STEP 7 的证书存储库中。 自动生成以下认证机构:• 项目的 CA 证书:创建新项目时,将生成项目的 CA 证书,该证书为证书签名使用不同的 哈希算法。项目的 CA证书始终位于其安全模块中。通过 CA 证书衍生各个安全模块的 SSL 证书和 OPC UA 客户端/服务器证书。 • CA组证书:创建新的 VPN 组时,将为该组生成一个 CA 证书。通过此证书衍生出 VPN 组 成员的 VPN 设备证书。 设备证书“设备证书”选项卡 显示由认证机构为模块生成的设备特定的证书。其中包括: • 模块的 SSL证书:为所创建的每个模块生成一个衍生自项目 CA 证书的 SSL 证书。下载组 态时,在 PG/PC 与模块安全通信期间,使用 SSL证书进行验证。 • 模块的 OPC UA 客户端/服务器证书:根据 CP 443-1 OPC UA 已组态的 OPC UA 客户端/服务器功能,生成用于通过相关通信伙伴进行验证的 OPC UA 客户端/服务器证书。 • 模块的 VPN 组证书:对于每个 VPN组中的每个模块,将为其生成一个 VPN 设备 证书。选择“责任”(Responsibility)默认情况下,所有设备特定证书的设置为“用户”(User),且无法更改。只有 OPC UA 证书的默认设置为“系统”(System),可选择使证书保持Zui新的方式: • 系统:编译后,所有证书参数(除“有效起始日期”(Validfrom) 和“有效终止日期”(Valid to))将重置为默认设置并由系统自动更新。添加的参数(例如“主题备用名称(SAN)”(Subject alternative name (SAN))将被删除。此行为也适用于从“用户”(User) 切换到“系统”(System)。 • 用户:编译后,证书参数(如“主题备用名称 (SAN)”(Subject AlternativeName (SAN))) 保持不变或按照在“更新证书”(Renew certificate) 对话框中设置的方式进行维护。系统不会自动更新参数。 受信任的证书和根证书颁发机构 “受信根认证机构”(Trusted root certificationauthorities) 选项卡 显示导入到 STEP 7 的第三方证书。可导入来自外部 FTP 服务器的服务器证书、来自其它STEP 7 项目的项目证书和 dyn.DNS 等外部服务所需的证书。导入后,必须通过本地安全设置或证书管理器中的“分配”(Assign) 功能将证书分配给相应模 块。有关详细信息,请参见证书概述(页 442)部分。 导入证书 导入证书 如果导入或创建/更新文件,系统将自动检测该文件中包含哪些证书。例如,可能是含有以下内容的证书链: • 由认证机构 1 颁发的设备证书 A,带有私钥 • 由认证机构 1 颁发的 CA 证书B,不带私钥 • 由颁发过证书 B 的认证机构 2 颁发的 CA 证书 C,不带私钥。
导入文件时,将存储以下证书: •“设备证书”(Device certificates) 选项卡中的设备证书 A;私钥:是 • “认证机构(CA)”(Certificate authority) 选项卡中的认证机构所颁发的 CA 证书 B;私钥: 否 • “认证机构(CA)”(Certificate authority) 选项卡中的认证机构 2 颁发的 CA 证书 C;私钥: 否为了能够生成认证机构 1 更新的新设备证书,请执行以下操作: • 导入认证机构 1 的证书(带私钥)。 结果: – “认证机构(CA)”(Certificate authority) 选项卡中认证机构的证书 B 并未被覆盖,因为 该证书已导入。 –将私钥状态从“否”(No) 设置为“是”(Yes)。 – 现在,新设备证书便可在更新期间颁发。此行为也适用于证书的创建/更新,请参见“创建/更新证书 (页 449)”部分。 对于 *.p12 格式,可以导入Zui多包含256 个字符的文件。要导出 *.p12 文件,可选择“Use secure key for .p12 file”选项。 •选择此选项后,会使用目前被认定为安全的加密算法创建 PKCS12 容器。 – 证书:PPKDF2 – 私钥:AES •取消选择此选项后,会使用不再被认定为安全的加密算法创建 PKCS12 容器。 – 证书:40-Bit-RC2 – 私钥:3DES 加载PKCS12 容器之前,检查设备是否支持加密算法。 分配证书 含义 在“Assign certificate with ID x todevice”对话框中,将现有证书分配给一个或多个设备。 如何访问该功能 1. 右键单击证书的列表条目。 2.在快捷菜单中选择“Assign”命令。3. 将打开“Assign certificate with ID x todevice”对话框。 4. 为“Used as”选择相应选项,定义证书的分配方式: – Device certificate(not specified):例如,用于安全 OUC 或块 – Device certificate:Web 服务器证书。 –Trusted certificate:例如 OPC UA证书可作为设备证书分配给设备,也可作为受信任证书分配给其它目标。每个设备只能使用 一个证书作为设备证书。 创建/更新证书 更新证书在此对话框中,更新 CA 证书和设备证书。该功能对导入的证书无效 创建证书在此对话框中,可以手动创建证书。此功能非常有用,例如,可在误删了通过 STEP 7 生成的证书时使用。之后便可将创建的证书分配给所需的设备,详情请参见分配证书 (页 448) 部 分。 如何访问该功能 1.更新:在证书管理器中,右键单击列表条目,在快捷菜单中选择“Renew”命令。创建:在证书管理器中,右键单击空行,在快捷菜单中选择“Create”命令。 2. 选择用法: – Usage:对于 X.509V3 标准的数字证书,在扩展项“KeyUsage”中输入该值。 – Key Usage:对于 X.509 V3标准的数字证书,在扩展项“ExtendedKeyUsage”中输入该 值。 3. 决定新证书将是否由自己签发或由认证机构签发。 4.如果证书将由认证机构签发,则可使用“Select”按钮选择待使用的认证机构。只能选择存储在当前项目证书存储库中并且具有私钥的认证机构。请参见“证书概述 (页 442)”部分。 5.根据证书,在相应输入字段中输入以下参数: 参数 含义 Certificate owner 证书持有人。证书所有者的值Zui多可以包含 64个字符(带 ID)。 Cipher 选择加密方法。 请注意“更改密码”部分。Key length 根据密码选择算法。 RSA的固定代码长度(以位为单位):2048 EC 的 ECC 曲线:prime256k1 或 secp384r Hashalgorithm 签发证书所使用的算法。 Valid from 证书的有效期 Valid to Subjectalternative name (SAN) 根据要更新的证书,显示具有合适名称类型(例如所使用接口的 IP 地址)和值的主题备用名称(例如 OPC UA 服务器的 URI)。 更改密码 说明 密码“EC”仅适用于 TIM 1531 IRC V2.1及更高版本 默认情况下,所有设备的密码设置为“RSA”。 可以将所有设备的密码设置为“EC”,但该方法仅适用于 TIM 1531IRC V2.1 及更高版本。对 于所有其它设备,编译后会显示一条错误消息。 请按以下步骤更改密码: 1. 选择设备证书。 2.选择“Renew”快捷菜单命令。 3. 在“Renew certificate”对话框中,选择“Self signed”选项。 4.对于密码,选择“EC”条目并选择算法和散列算法。 说明 加密参数“secp256K1”无效。可以选择加密参数“secp256k1”,但由于参数无效,编译后会收到错误消息。 结果: •编译期间,具有已组态设置的证书已分配给设备。 • 在“Renewcertificate”对话框的证书参数中,“EC”现在显示为加密方法。更换证书 含义 在“替换证书”(Replacecertificate) 对话框中,用新的证书替换现有证书。 请注意,CA 证书仅能由 CA证书替换,设备证书也只能由设备证书替换。 更换单个证书时,不更新签名。