安全通道 - 选择安全策略 (S7-1500, S7-1500T) OPC UA 客户端和OPC UA 服务器之间的数据交换在应用层通过 OPC UA 会话实现,但 由通信层及其“安全通道”提供数据的完整性和机密性保护。对于 OPC UA 而言,安全策略汇总了端点的所有安全设置。安全策略以适当的名称指定一组 用于安全通道的安全算法和密钥长度。只有当OPC UA 客户端和 OPC UA 服务器支持相同的 安全策略时,才能建立连接。 示例:“Basic256Sha256 -签名和加密”表示:端点进行安全连接,支持一系列 256 位哈希 和 256 位加密算法。 安全策略源自安全规约,请参见 OPC UA规范第 7 部分(规约)。为此,请执行以下操作步骤: 1. 在服务器的本地证书管理器中,选择“使用证书管理器的全局安全设置”(Useglobal security settings for certificate manager) 选项。这将激活全局证书管理器。可以在用作服务器的 CPU 的特性“保护和安全 > 证书管理器”(Protection & Security >Certificate manager) 下找到此选项。 如果项目未受保护,请在 STEP 7 的项目树中选择“安全设置 >设置”(Security settings > Settings),单击“保护此项目”(Protect thisproject) 按钮并登录。 “全局安全设置”(Global security settings) 菜单项随即显示在 STEP 7项目树的“安全设 置”(Security setting) 下。 2. 双击“全局安全设置”(Global securitysettings)。 3. 双击“证书管理器”(Certificate manager)。 STEP 7将打开全局证书管理器。 4. 单击“受信任证书”(Trusted certificates) 选项卡。 5.在此选项卡的空白区域(而非证书上)中,右键单击鼠标。 6. 选择快捷菜单中的“导入”(Import) 命令。将显示用于导入证书的对话框。 7. 选择服务器信任的客户端证书。 8. 单击“打开”(Open),导入证书。客户端证书现已包含在全局证书管理器中。 请留意刚刚导入的客户端证书 ID。 9. 单击用作服务器的 CPU的特性中的“常规”(General) 选项卡。 10.单击“OPC UA > 服务器 > 安全 >安全通道”(OPC UA > Server > Security > Secure Channel)。11.在“安全通道”(Secure Channel) 对话框中向下滚动至“受信客户端”(Trusted clients) 部分。12.双击表中空行的“<新增>”()。随即会在该行中显示浏览按钮。 13.单击该按钮。 14.选择已导入的客户端证书。15.单击带有绿色复选标记的按钮。 16.编译项目。 17.将组态加载到 S7-1500 CPU。 结果:服务器现已信任此客户端。如果还将服务器证书视为受信证书,则服务器和客户端之间可建 立安全连接。 自动接受客户端证书如果选择选项“运行时自动接受所有客户端证书”(Automatically accept all client certificatesduring runtime)(位于“受信客户端”(Trusted clients) 列表下),则服务器会自动接受所有 客户端证书。注意 调试后的设置 为了避免安全风险,在调试后,需取消选中“运行过程中自动接受客户端证 书”(Automaticallyaccept client certificates during runtime) 选项。
组态服务器的安全设置下图显示了适合对消息进行签名和加密的服务器安全设置。 默认情况下,服务器证书创建时使用 SHA256 签名。可使用以下安全策略: •无 不安全端点 说明 禁用不需要的安全策略 如果在 S7-1500 OPC UA服务器的安全通道设置中启用了所有安全策略(默认设置),即采用端点“无”(None)(不安全),则服务器和客户端之间还可能存在非安全数据通信(既 未签名也未加密)。由于选择“不安全”(Nosecurity),客户端的身份仍然未知。无论后 续为哪种安全设置,每个 OPC UA 客户端随后都可以连接到服务器。 组态 OPCUA 服务器时,请确保只选择与设备或工厂的安全概念兼容的安全策略。应禁 用所有其它安全策略。建议:如果可能,请使用“Basic256Sha256”设置。 • Basic128Rsa15 - 签名(已弃用)端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。 该端点通过签名确保数据的完整性。 •Basic128Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Rsa15 - 签名(已弃用)端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。 该端点通过签名确保数据的完整性。•Basic256Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Sha256 - 签名 端点进行安全连接,支持一系列 256位哈希和 256 位加密算法。 该端点通过签名确保数据的完整性。 • Basic256Sha256 - 签名和加密安全端点,支持一系列 256 位哈希和 256 位加密算法。 该端点将通过签名与加密机制确保数据的完整性和保密性。 •Aes128_Sha256_RsaOaep - 签名 端点进行安全连接,支持一系列 128 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名确保数据的完整性。 对于一般的安全要求。需要 PKI 基础结构。• Aes128_Sha256_RsaOaep - 签名和加密 端点进行安全连接,支持一系列 128 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 •Aes256_Sha256_RsaPss - 签名 端点进行安全连接,支持一系列 256 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名来保护数据的完整性。 对于较高的安全性要求。需要 PKI基础结构。 • Aes256_Sha256_RsaPss - 签名和加密 端点进行安全连接,支持一系列 256 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 对于较高的安全性要求。需要PKI 基础结构。 要启用安全设置,请单击相关行的复选框。 说明 如果设置为“Basic256Sha256 -签名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 签名并加 密”(Basic256Sha256-Sign & Encrypt),则 OPC UA 服务器和 OPC UA 客户端必须使用“SHA256”签名的证书。 对于“Basic256Sha256-签名”(Basic256Sha256 -Sign)和“Basic256Sha256-签名并加 密”(Basic256Sha256 -Sign & Encrypt) 设置,STEP 7中的证书颁发机构将使用“SHA256”自动 对证书进行签名。
“不安全”安全策略和通过用户名和密码进行身份验证 可执行以下组合设置:“不安全”安全策略和通过用户名和密码进行身份验证 • S7-1500 的 OPC UA 服务器支持该组合设置。OPC UA客户端可连接并加密认证数据,反 之亦然。 • S7-1500 CPU 的 OPC UA客户端也支持该组合设置:但在运行时,仅当通过电缆发送加 密的认证数据时才能连接! 使用 STEP 7 生成服务器证书(S7-1500, S7-1500T) 在下文中,将介绍使用 STEP 7 生成新证书的操作过程,以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域,设置应用目标。在本示例中,为“OPC UA 客户端和服务器”(OPC UAClient & Server)。 建议:要使用 OPC UA 服务器的所有安全功能,则需使用全局安全设置。 在 CPU特性的“保护和安全 > 证书管理器”(Protection & Security > Certificatemanager) 下 启用全局安全设置。 用户自定义的服务器证书 如果您激活 S7-1500 的 OPC UA 服务器,则 STEP7 会自动为该服务器生成证书(请参见“激 活 OPC UA 服务器 (页 1860)”)。在该过程中,STEP 7使用证书参数的默认值。如果要更改 参数,请按照以下步骤进行操作: 1. 单击 CPU 属性中“常规 > OPC UA >服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server> Security > Secure channel > Server certificate)下的“浏览”(Browse) 按钮。随 即会显示一个对话框,用于显示局部可用的证书。 2. 单击“添加”(Add) 按钮。