GDS调试 (S7-1500, S7-1500T) OPC UA 规范第 12 部分对证书管理期间的配置阶段和运行阶段进行了区分定义。在配置阶段,GDS 或 OPC UA 客户端为 OPC UA 服务器的客户端提供初始信任列表和 CRL。在 此阶段中,CPU 的OPC UA 服务器接受提供的所有客户端证书和列表;与 OPC UA 服务器的“受信任的客户端”设置类似,在运行期间接受所有客户端证书。服务器只能通过这种方式与未知客户端建立连接。例如,客户端无法通过现有证书或信任列表进行身份验证,而只能在接收相应的客户端证书或相应的信任列表后餐呢个进行验证。 配置阶段有信息安全水平低的特点;配置阶段将通过点亮维护 LED以及在相应的诊 断缓冲区中记录条目(要求维护)的方式加以指示。 在运行阶段中,现有的 CRL将进行更新(举例而言),并且证书和信任列表也将更新。通信 在此阶段中是安全的。 要求在配置阶段,只有具备足够功能权限的授权用户才能建立连接。用户必须拥有具备“管理证 书”功能权限的角色。 另请参见“设置和下载 GDS参数 (页 1771)”。 配置阶段的规则 在配置阶段,CPU 的 OPC UA 无法对发起连接建立动作的 OPC UA客户端进行身份验证。因 此,必须遵循以下规则: • 提供安全环境,例如jinxian调试人员访问CPU。检查彼此通信的设备是否为正确的设备。 • 限制此阶段的时间。下载到 CPU 将组态下载到 CPU 之前,可删除由 GDS管理的证书。确认删除后,下载完成时将进入配置 阶段(参见调试部分)。 下载 CPU 之外的存储卡(读卡器)时,始终会删除该证书存储区。如果激活全球发现服务(推送)但未推送任何证书,则 OPC UA 服务器上没有任何证书、信 任列表或 CRL。CPU 通过点亮维护LED 指示灯和相应的诊断缓冲区条目,指示处于配置阶段 (Maintenance demanded)。 配置阶段的顺序下文中简要介绍了 OPC UA 服务器证书和信任列表配置阶段的相应过程。 Web 服务器证书配置阶段的过程与此类似。与 OPC UA不同,GDS 客户端仅推送 Web 服务 器证书,但不会讲信任列表推送到相应的证书存储区中。
进入配置阶段 OPC UA服务器启动后,CPU 会在满足下面其中一个条件时自动进入配置阶段: • OPC UA 服务器证书是 CPU生成的初始自签名证书,尚未替换为有效的服务器证书。 • 信任列表(可信任客户端列表)为空。 CPU 生成的 OPC UA服务器证书包含 OPC UA 服务器Zui重要的参数,并且除非已存在有效的 服务器证书,否则将在每次接通电源后启动 OPC UA服务器时重新生成(包括私钥在内)。 出于此原因,OPC UA 服务器可能在接通电源后需要更长的启动时间。在硬件配置已下载后,可在运行时更新的证书,其证书存储区将在下载时删除,或者证书将 得到保留,具体取决于设置。换言之,如果 GDS处于激活状态并且证书存储区已删除,CPU 将在下载硬件配置后进入配置阶段。 配置阶段诊断 除了维护 LED 点亮之外,GDS地址模型还有两个节点可提供信息,指示 CPU 的 OPC UA 服 务器是否处于配置阶段:只有在 GDS的要求得到满足后(端点安全已签署并加密,也已具备管理员功能权限), 用户才能出于诊断目的使用图中标记的两个节点。ProvisioningModeEnabled:表示支持配置阶段 ProvisioningModeActive:表示 CPU 的OPC UA 服务器处于配置阶段。 配置阶段结束 在满足以下条件时,CPU 将自动结束配置阶段: • CPU在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书 既可以是自签名证书,也可以是 CA 签名证书。 • CPU中的信任列表不为空,即,存在用于检查客户端证书的 CA 证书,或者存在可xinlai的 OPC UA 客户端的客户端证书。 如果OPC UA 客户端传送 CA 签名证书并且也将 CA 证书添加到信任列表中,则 CPU 的 OPC UA 服务器可自动接受OPC UA 客户端发送的由同一 CA 签名的所有其它证书。申请有效证书 自 TIA Portal 版本 V18/S7-1500CPU 版本 V3.0 起,除了 OPC UA 服务器证书之外,也可将 其它服务的证书传送到 CPU 中,例如用于 Web 服务器。相应的服务(例如 CPU 的 OPC UA 服务器)通过以下步骤接收有效的证书: 1. GDS 客户端(OPC UA客户端)调用“CreateSigningRequest”方法,以便通过证书签名请求 (CSR) 申请证书。 2. 此 CSR必须由证书颁发机构 (CA) 签署。 3. 签名的 CSR 必须再传送回 CPU 的 OPC UA 服务器并用作证书。在客户端具有所需的“管理证书”功能权限时,CPU 的 OPC UA 服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变型: • 更新证书,但不创建新的密钥对(使用已有的内部 CPU 密钥)• 更新证书,并创建新的密钥对(CPU 内部) 也可以使用外部创建的密钥对来生成证书。 注意 关于生成证书的推荐过程应避免传送私钥;私钥不得离开设备。 我们建议在生成证书时不创建新密钥对,或在 CPU 内创建密钥对。 创建证书但不创建密钥对 •“CreateSigningRequest”方法返回证书签名请求 (CSR),即包含服务器或服务的特定信息 (例如应用程序名称和URL)的文件 (*.csr)。 • 在 CPU 外部,必须对该 CSR 进行验证并由证书颁发机构 (CA) 进行签名,Zui后必须返回证书。 • 随后,必须使用“UpdateCertificate”方法将证书传送到 CPU(“推送”)。 在这种情况下,密钥不会离开CPU。 使用内部创建的密钥对创建证书 此过程与上一节介绍的方法类似,唯一的区别是除了生成 CSR 之外,还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。 在此过程中,私钥不能离开 CPU。 生成新的密钥对会给CPU 带来很大负载。CPU 会在通信负载的预留区内以更低的优先级处 理此请求,且需要的时间较长。此时间的长短取决于 CPU的性能。
由于在密钥生成过程的较长时间内将完全利用所设通信负载的空间部分,在设置“通信 用扫描循环负载”(Scan cycleload due to communication) 空间部分时,应确保不会超出Zui大 循环时间并且预留空间充足。为此,使用 CPU 的Web 服务器页面“诊断 > 运行时间信 息”(Diagnostics > Runtimeinformation)。此页面显示当前程序/通信负载和用户程序循环时间的信息。就更改后的通信负载对循环时间的影响,用户可通过控制器获得帮助。 使用外部创建的密钥对创建证书借助诸如可以生成其它密钥的工具来生成证书。 证书和密钥通过“UpdateCertificate”方法传送到 CPU。由于安全性低,此过程不推荐。 注意 为不同的目标系统使用不同的密钥对于生产系统,始终使用新生成的密钥。如对项目进行仿真和测试(例如,通过 PC 上的 PLCSIM Advanced进行),在任何情况下都不得将作为仿真用途的密钥用于生产系统。 应通过设置相应的权限来限制对 PC 式控制器的访问。推送证书管理的地址模型 (S7-1500, S7-1500T) OPC UA 规范第 12 部分 (OPC 10000-12:Discovery, Global Services) 定义了 OPC UA 服务器 的方法和属性,例如允许 GDS 或 OPC UA客户端更新服务器上的证书和信任列表(“推送 证书管理”)。这些方法和属性也包含在 OPC UA 服务器的地址模型中。 下文介绍了S7-1500 CPU 的 OPC UA 服务器的地址模型中的相关部分。 要求 为了使相关方法和属性对 GDS推送功能可见,必须满足以下要求: • GDS 已激活。 • 设定的安全策略支持通过签名和加密确保数据的完整性和机密性。 •使用运行系统功能权限“管理证书”进行访问 GDS 推送功能的地址模型 GDS 推送功能的地址模型相当于 OPC UA规范的“Information Model for Push Certificate Management”OPC 10000-12:Discovery, Global Services。“ServerConfiguration”节点下方的结构如下所示:用于访问地址模型的方法和属性 下文简要介绍了这些方法和属性,并介绍了S7-1500 CPU 特定地址模型的特殊功能和限制。 上文列出的 OPC UA 规范包含一般说明。此概述表下方给出了有关各个方法的详细说明。 方法/属性(变量) 说明 CreateSigningRequest此方法用于生成以服务(例如 OPC UA 服务器)私钥 进行签名的 PKCS#10 编码证书请求。 UpdateCertificate此方法用于为 OPC UA 服务器更新服务器证书。 ApplyChanges此方法用于,在已设置“ApplyChangesRequired”属性 的情况下,在执行之前执行过的方法时,应用安全相 关更改。 注如果证书因“ApplyChanges”而更改,CPU 将中断此证 书所担保的连接/会话。 背景:作为担保连接基础的证书不再有效。GetRejectedList 此方法会返回被 OPC UA 服务器拒绝的证书列表。 Zui多 4 个条目,具有保持性。ServerCapabilities S7-1500 CPU 的 OPC UA 服务器不支持该变量。SupportedPrivateKeyFormats 此变量用于指定允许使用的私钥格式。对于 S7-1500CPU,仅允许使用“PEM”(字符串数组) MaxTrustListSize 此变量用于指定信任列表的Zui大大小。