通过全球发现服务器(GDS) 实现证书管理 (S7-1500, S7-1500T) 通过 GDS 实现自动化证书管理 (S7-1500,S7-1500T) 在 TIA Portal V17 和 S7-1500 CPU 固件版本 V2.9 及以上版本中,OPC UA服务器的证书管 理服务可用于在运行系统中传送 OPC UA 服务器证书。 通过 GDS 推送管理功能,S7-1500 CPU 的OPC UA 服务器上的 OPC UA 证书、信任列表和证 书吊销列表 (CRL)可自动进行更新。证书管理自动化意味着,当证书到期后以及对 CPU 执行 全新下载操作后,无需再手动重新组态 CPU。使用 GDS推送管理功能还可以在 CPU 处 于 STOP 和 RUN 操作状态时传送更新后的证书和列表。 证书管理信息模型在 OPC UA 第12 部分(OPC 10000-12:OPC 统一架构,第 12 部分:发 现和全球服务)中指定。 自 TIA Portal V18起以及 S7-1500 CPU 固件版本 V3.0 起,GDS 推送管理功能可用于 Web 服 务器证书。通过 GDS推送管理功能更新证书的顺序理论上与通过 OPC UA 服务器证书功能 更新证书的顺序相同。与 OPC UA服务器证书功能的不同之处是,还可以在运行期间或操作 期间将 Web 服务器证书传送到CPU。下文的相应部分介绍了两者之间的区别或局限性。 以下章节概括介绍了全球发现服务以及 TIA Portal V17/CPU固件版本 V2.9 及更高版本支持 的自动化证书更新功能。 发现服务器 要连接到 OPC UA 服务器,OPC UA客户端需要其端点的相关信息,如端点 URL 和安全策略。如果网络中提供大量可用服务器,则发现服务器可负责处理对该服务器信息的搜索和管理。 • OPC UA 服务器注册使用发现服务器。 •OPC UA 客户端向发现服务器请求获取可访问的服务器列表,连接到所需 OPC UA 服 务器。
全球发现服务器 (GDS)OPC UA GDS 理念一方面可组态跨子网发现服务,另一方面为证书集中管理提供接口。 全球发现服务器 (GDS)提供的机制可实现对以下组件的集中管理: • CA 签名证书和自签名证书 • 受信任列表和证书吊销列表 (CRL) GDS提供中央证书管理的接入点,并接管 OPC UA 网络中安全服务器的任务。 GDS 主要用于通过相应的 CRL 来管理 CA 签名证书:• 为 OPC UA 服务器或 Web 服务器初次创建应用程序证书。 • 定期更新受信任列表和 CRL • 更新应用程序证书 证书管理证书管理的任务是自动管理和分发不同服务器或应用程序的证书和信任列表。 在该上下文中,有以下两种不同的角色: • 证书管理器 -提供证书管理功能的 OPC UA 应用 • 证书接收方 - 从证书管理器接收证书、信任列表和 CRL 的 OPC UA 应用程序。证书管理分为以下两种模式:拉取管理和推送管理。 • 采用拉取管理模式时,OPC UA 应用作为 GDS服务器的客户端运行,并使用证书管理方 法来请求获取证书更新和信任列表更新。 • 采用推送管理模式时,OPC UA应用作为服务器运行,并提供将 OPC UA GDS 用作 OPC UA 客户端的方法。充当证书管理器的 GDS用此等方法传送(“推送”)证书和受信列表更 新,有关概念说明,请参见下文中的自动证书更新。 只有 S7-1500 CPU 固件版本V2.9 及以上版本的 OPC UA 服务器才支持推送管理。① 根 CA -为系统颁发证书的设备(此等证书也可通过其它方式传送,例如通过电子邮 件方式) ② 安装有证书管理器的 OPC UAGDS,可创建或签名设备证书、管理信任列表和证书吊 销列表 (CRL),以及将证书和列表写入设备中(推送功能)。对于推送功能,此设备需要 OPC UA 客户端功能。 ③ 装有 OPC UA 应用的设备,接收“推送”的证书和列表 STEP 7 版本 V17及更高版本的自动证书更新概念 GDS 和证书管理器通常合并到一个应用中,但下图中以两个独立的组件显示。 “普通的”OPC UA客户端之类的设备也可以用作证书管理器,但它们需要支持 Bytestring 数 据类型才能传送证书,例如,固件版本为 V2.9以及更高版本的 S7-1500 CPU 作为 OPC UA 客 户端或者具有 GDS 插件的 UA Expert 工具(Unified Automation)。 S7-1500 CPU 的 OPC UA 服务器作为证书接收方,可提供 OPC UA客户端证书读取和写入信 任列表和 CRL 时所需的标准方法与属性。 S7-1500 CPU 的 OPC UA服务器上下文的侧重点是介绍如何使用推送功能为 CPU 提供证书, 并与常规方法(通过下载硬件配置)进行了比较。 下图显示了S7-1500 CPU 固件版本 V2.9 或更高版本中 OPC UA 证书与列表的传输方式: • 或是在 CPU 处于 STOP模式时,通过加载硬件配置来更新;证书是硬件配置的组成部分。 • 或是在 CPU 处于 RUN 或 STOP 模式时,通过 GDS推送方法来更新。 两种方法不能使用。如果选择在运行系统中通过 GDS 推送功能传送 OPC UA 服务器证书,则必须通过此途径将其它所有证书类型传送到 CPU。GDS 推送功能的组态限制 (S7-1500, S7-1500T)推送功能的证书数量 在 S7-1500 CPU 固件版本 V2.9 及以上版本中,无论何种类型,OPC UA 推送功能的组态限 值均为62 个信任列表条目。 • 每个激活的基于证书的服务(CPU 应用程序)“消耗”一个证书条目和一个私钥条目。 • 证书吊销列表条目(CRL) 的计数与受信任证书列表条目的计数方式一样。 • 由不同服务(CPU 应用程序)使用的证书计为一个信任列表条目。推送功能的元素大小(例如证书) Zui多 4096 个字节 示例 希望授予Zui多 62 个 OPC UA 客户端对 OPC UA服务器的访问权限,并相应填写受信任列表。 在受信任列表中添加“证书吊销列表”条目时,Zui多只能信任 61 个客户端证书。不能通过将硬件配置下载到 CPU 来传输更多的 OPC UA 证书。
为了尽可能减少所需证书的数量,建议通过同一个CA 对 OPC UA 客户端证书进行签名。 在这种情况下,作为 OPC UA 服务器的 CPU 仅需要相应的 CA 证书和CRL。通过这些元素, OPC UA 服务器随后可以验证由 CA 签名的所有客户端证书。即,无需将每个客户端证书逐一添加到受信任列表中。 参见 通过 GDS 实现自动化证书管理 (页 1767) 证书管理的必备知识(页 375) 设置和下载 GDS 参数 (S7-1500, S7-1500T) 下文介绍了证书更新的所需设置。 要求 •不同应用程序证书需要使用对应的 STEP 7/TIA Portal 版本和 S7-1500 CPU 固件版本。另请参见“证书管理的必备知识 (页 375)” – OPC UA 服务器证书需要使用 TIA Portal V17及更高版本、CPU 固件版本 V2.9 – Web 服务器证书需要使用 TIA Portal V18 及更高版本、CPU 固件版本V3.0 • 已设置 CPU 的时间/日期(通常应用于基于证书的通信)。 • 已启用 OPC UA 服务器。 • 必须启用 GDS推送管理使用的服务。例如,必须启用 Web 服务器才能传送 Web 服务器 证书。 • 在 OPC UA服务器中必须至少组态一个采用“签名并加密”安全策略的端点。伙伴必须 使用此端点。 • 已为经过身份验证的用户组态足够的功能权限用户必须拥有具备“管理证书”功能权限的角色。启用 GDS 推送 满足上述要求后,通过以下操作才能激活 GDS 推送: 1.在巡视窗口(CPU 参数)中,转到“OPC UA > 服务器 > 常规”(OPC UA > Server >General) 区 域。 2. 启用“启用全球发现服务(推送)”(Enable Global Discovery Services(Push)) 选项。 确定使用的证书存储区 使用 GDS 推送证书管理进行管理的证书与通过 TIA Portal (STEP 7)下载的证书不在同一个存 储区中。启用 GDS 推送证书管理后,CPU 的服务(应用程序)同样使用该证书存储区中的证书,这些证书可以在运行期间进行管理。 1. 在 CPU 设置中,导航至“保护与安全 > 证书管理”(Protection &Security > Certificate management) 区域。 2.选择“运行期间使用证书管理器提供的证书”(Use certificates provided by the certificatemanagement at runtime) 选项。 另一种方式则使用从 TIA Portal 下载到 CPU 中的证书,这些证书在CPU 处于 STOP 模式时进 行组态。该证书存储区中的证书或信任列表无法在运行时更新。 启用证书失效诊断如果希望提前收到证书失效通知,请在“保护与安全 > 证书管理”(Protection & Security >Certificate management) 区域中选择“启用证书失效系统诊断事件”(Enable systemdiagnostics event for the certificate lapsing) 选项。在输入字段“当证书剩余使用时间为...时显示事件”(Display event when the remaining life ofthe certificate is ...) 中输入百分数值。 这些设置的作用: •证书达到该值时,将出现相应的系统诊断消息,该消息在证书失效或刷新后才会消失。 • 如果证书已到期,CPU将生成相应的系统诊断消息,并在诊断缓冲区中生成一个条目,且 维护 LED 指示灯亮起。 示例: 在 2022 年 6 月 1 日通过GDS 传送的证书的有效期为 2022 年 6 月 1 日至 2022 年 6 月 30 日 (30 天)。已在诊断事件中输入百分数值10。2022 年 6 月 27 日,90% 的有效期将到期。此 时,将显示一条消息,指示所传送的证书将于 2022 年 6 月 30日到期。 无论组态的百分数值是多少,证书的有效期到期后,都将显示一条相应的消息并在诊断缓冲 区中输入一个条目,维护 LED指示灯亮起。