创建证书 (S7-1500) 简介 可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时,相关证书仅适用于此设备。独占式使用 CPU 特定的本地证书管理器时,仅创建自签名证书。 还可以使用 Web 服务器或 OPC UA 的CPU 设置直接创建新证书。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 及以上版本(S7-1200) 中,PLC 通信证 书由系统预先选择并自动生成。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为V2.0 或更高版本的 S7-1500 CPU。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5(S7-1200) 及以上版本中,保护机密组 态数据的密码设置必须一致。 操作步骤 要创建新证书,请按以下步骤操作: 1.在巡视窗口中,转至设备属性的“保护和安全 > 证书管理器”(Protection & Security >Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。3.单击新行。将打开新证书选项。 4. 单击“添加”(Add) 按钮。相应对话框窗口随即打开,在此输入新证书的数据。 5.显示如何对新证书进行签名: – 自签名:如果证书必须是自签名证书。 – 由证书颁发机构 (CA)进行签名:从下拉列表中选择证书颁发机构。仅适用于激活了 证书管理器的全局安全设置的情况。 6. 输入证书的参数。 7.如果单击“确定”(OK),则会创建新证书并输入到表格中。 说明 自签名证书使用自签名证书时,已对传输路径进行加密,但消息的接收方尚未确认所谓的发送方是否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送方。此时,可以为设备创建自签发证书,但仍需等待证书颁发机构对证书进行签名。通过项目树中的全局安全证书管理器,您可以在接收到证书颁发机构 (CA) 的“官方”证书后通过指定证书颁发机构的方式,更换临时使用的自签名证书或更新该证书。当然,也可将自签名 证书保留在项目中,并不使用“官方的”CA 证书。结果 已为设备创建新证书。在上述过程中,自动输入“TLS”,作为用途。否则,如果在 Web 服务 器的 CPU设置中使用“安全”区域,则会输入开始创建证书时使用的服务,例如“Web 服务 器”。 证书 ID 证书管理器中的每个证书都会接收到一个ID。此 ID 用于在下列情况下对证书进行标识: • OPC UA 服务器证书 • 受信 OPC UA 客户端的列表 • 受信 OPCUA 用户的列表 • Web 服务器证书 • 安全 OUC 指令 • 用于 PG/HMI 间安全通信的 PLC 通信证书 如果在TIA Portal 中创建或导入证书,则证书 ID 由证书管理器分配。对特定系统数据类型(例 如,SDTTCON_IP_v4_Sec)唯一分配证书时,需要使用证书 ID。证书 ID 在项目中唯一,不 能更改。
分配证书(S7-1500) 简介 可以在巡视窗口中为 CPU 和 CP 分配可用的证书。 要求设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 操作步骤要为设备分配可用的证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 >证书管理器”(Protection & Security > Certificate manager)。 2.单击证书表中的“添加”(Add)。将在表中插入新行。 3. 单击新行。将打开新证书选项。 4. 选择可用的证书。如果只有 CPU特定的局部证书管理器激活,则无法查看全局可用的证书。 如果激活了全局安全证书管理器,则只能查看并选择全局可用的证书。 5.单击绿色复选标记,将所选证书输入到证书表中。 结果 所选证书已分配给设备。导出证书 (S7-1500) 简介可通过证书管理器导出可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500CPU。 操作步骤 若要导出证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 >证书管理器”(Protection & Security > Certificate manager)。 2.右键单击待导出证书所在的行,打开快捷菜单。 3. 单击“导出证书”(Export certificate)。 4.采用以下可选文件格式之一导出证书:CER、DER。 私钥无法导出,因为私钥已进行非对称加密,无法恢复。 结果所选证书已导出,现可进行备份或用于其它项目。 参见 CPU 特定的局部证书管理器 (页 1380) 删除证书(S7-1500) 简介 可通过证书管理器删除可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0或更高版本的 S7-1500 CPU。操作步骤 若要删除证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全> 证书管理器”(Protection & Security > Certificate manager)。 2.右键单击待删除证书所在的行,打开快捷菜单。 3. 单击“删除证书”(Delete certificate)。 结果已在设备中删除所选证书。借助激活的全局安全证书管理器,可为项目保留证书,但不再用 于设备。 参见 CPU 特定的局部证书管理器(页 1380) Web 服务器的证书 (S7-1500) 简介 可以在巡视窗口的“Web 服务器 > 安全”(Webserver > Security) 下为 Web 服务器创建或分配 服务器证书。 局部 Web 服务器证书 如果在局部创建Web 服务器证书而不使用证书管理器的全局安全设置,则存在以下限制: • 该证书仅适用于组态的 CPU,而非整个项目。 •只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中,无法对其它 证书进行签名。• 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。Web 服务器证书的默认设置 创建新证书时,会在 Web服务器的相应对话框中输入以下值作为默认值: • 用途:Web 服务器。填写适用于 Web 服务器的“密钥用法”(Key usage)下的条目(X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”)。 • 证书持有者:/Web服务器。字符集受限,以满足 ASN.1 的相关规范要求。 • 加密过程:EC。 • 加密参数:prime256v1。 •有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN):所用的 CPU 和CP 接口的 IP 地址。 可使用其它值覆盖默认值。 注意 带预留 IP 地址的 SAN 如果证书持有者的备用名称包含一个或多个预留的IP 地址,则证书将不能满足指南“Baseline Requirements Certificate Policy for theIssuance and Management of Publicly-TrustedCertificates”要求。这会导致与您自己的 Web 浏览器不兼容。 为满足上述指南要求,应使用域名代替证书持有者备用名称中的IP 地址。这要求网络中包 含 DNS 服务器,用于解析设备的 IP 地址。 参见 应了解的证书管理器知识 (页 1379)证书通信原理:基于 TLS 的 HTTP (页 384) OPC UA 服务器的证书 (S7-1500) 简介可以在巡视窗口的“OPC UA > 服务器 > 安全”(OPC UA > Server > Security)下为 OPC UA 创建 或分配服务器证书。 OPC UA 的局部服务器证书 如果在局部为 OPC UA创建服务器证书而不使用证书管理器的全局安全设置,则存在以下限 制: • 该证书仅适用于组态的 CPU,而非整个项目。 •只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中,无法对其它 证书进行签名。• 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。 服务器证书的默认设置 创建新证书时,会在 OPC UA的相应对话框中输入以下值作为默认值: • 用途:OPC UA 服务器。填写适用于 OPC UA 服务器的“密钥用法”(Keyusage) 下的条目 (X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”)。 •证书持有者:/OPCUA。字符集受限,可满足 ASN.1 的相关规范要求。 • 加密过程:RSA。 • 加密参数:2048。 •有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN):所用接口的 IP地址以及 OPC UA 服务器的 URI。 可使用其它值覆盖默认值。Syslog (S7-1500) 简介 (S7-1500) 使用Syslog 消息 举例来说,有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。Syslog(系统日志记录)是用于传送已记录事件的 IETF 标准协议 (RFC 5424),并满足这一 要求。CPU可以记录以下事件,例如: • 安全事件 • 固件更新 • 对用户程序的更改 • 对组态的更改 • 对运行状态的更改 每个固件版本为V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该 缓冲,可查看 syslog消息并识别潜在的安全风险。如果要使用 syslog 消息访问本地缓存,请 使用 Web 服务器的 Web API(API方法 Syslog.Browse)。有关操作步骤的信息,请参见 《Web 服务器 》功能手册。 不能禁止记录安全相关事件。可选择将CPU 记录的事件传送到网络中的 syslog 服务器。 转发给 syslog 服务器 自 STEP 7 V19起,对于固件版本为 V3.1 及更高版本的 CPU,可以将 syslog 消息传送到服 务器,例如 SINECINS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会 保存所连接设备发出的所有syslog 消息。系统和网络事件的消息集中存储在 syslog 服务器 的存储位置中。在 syslog 服务器界面,可查看收集的syslog 消息,从而确定潜在安全风险 或问题的来源。 在安全信息和事件管理系统(SIEM 系统)中进行处理 为了能够接受传入的syslog 消息,SIEM‑系统必须根据 RFC 5424 理解 syslog 协议。否则, SIEM系统无法接受或处理传入的消息。 SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的事件。在该事件中,会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检测可能的攻击模型,并在必要时通知用户,比如系统中多个点遭受多次攻击的情况。