用于生成证书的字段的说明 • CA 选择证书是自签名,还是由 TIA Portal 的一个 CA证书进行签名。有关这些证书,请参见 “带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA证书签名的证书,项目 必须受保护,您必须以具有全部所需功能权限的用户身份登录。更多相关信息,请 参见“TIA Portal中用户管理的基本知识”。 • 证书持有者 在默认设置中,通常包括项目名称和“\OPCUA-1”。在本示例中,项目名称为“PLC1”。在CPU 属性的“常规 > 项目信息 > 名称”("General > Project information> Name) 下设置项 目名称。保留默认设置,或者在“证书持有者”(Certificate holder) 下为 OPC-UA服务器输 入其它更有意义的名称。
• 签名在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用: – “sha1RSA”、 – “sha256RSA”。 •生效日期 在此处输入服务器证书开始生效的日期和时间。 • 截止日期在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在 本示例中,证书的有效期为 30年。出于安全方面的考虑,应该以更短的时间间隔 更新证书。如果有效期较长,您便有机会决定何时为对系统执行保养等作业的合适时机。 •用途 默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中,可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如,如果在 CPU 的 Web 服务器中调用此对话框,则需在“使用”(Usage) 下输入 “Web 服务器”(Webserver)。“用途”(Usage) 下拉列表中包含以下条目: – “OPC UA 客户端”(OPC UA client) –“OPC UA 客户端和服务器”(OPC UA client & server) – “OPC UA 服务器”(OPC UAserver) – “TLS” – “Web 服务器”(Web server) • 主题备用名称 (SAN)在上述示例中输入以下内容:“URI:urn:SIMATIC.S7-1500.OPCUAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此URI,因为将根据 所传达的应用程序描述对其进行检查。以下条目也将有效:“IP:192.168.178.151,IP:192.168.1.1”。注意,在此处输入可用 于访问 CPU 的OPC UA 服务器的 IP 地址。 请参见“访问 OPC UA 服务器 (页 1862)”。 借此,OPC UA客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接,或验证 实际上是否攻击者在尝试将另一台 PC的篡改值发送至 OPC UA 客户端。 用户认证 (S7-1500, S7-1500T) 用户认证方式 对于 S7-1500 的OPC UA 服务器,可设置 OPC UA 客户端中用户访问服务器时需通过的认证。可通过以下几种方式: • 访客认证用户无需证明其身份(匿名访问)。OPC UA 服务器不会检查客户端用户的授权。 对于固件版本不超过 V3.0 的CPU:如需使用这种认证方式,则可在“OPC UA > 服务器 > 安 全 > 用户认证”(OPC UA >Server > Security > User authentication) 中选择“启用访客认 证”(Enableguest authentication) 选项。 对于固件版本为 V3.1 及以上版本的CPU:使用本地用户管理,通过“匿名”(Anonymous) 用户实现访客身份验证。 请参见:用户和角色的设置(页 1356) 说明 为增加安全性,应只允许访问支持用户认证的 OPC UA 服务器。 • 用户名和密码认证用户必须证明其身份(非匿名访问)。OPC UA 服务器将检查客户端用户是否具备访问服务器的权限,并通过用户名和正确的密码进行身份验证。 对于固件版本不超过 V3.0 的CPU:如果要使用此类型的用户身份验证,请按以下步骤进 行操作: – 在“OPC UA > 服务器 > 安全 >用户身份验证”(OPC UA > Server > Security > User authentication)中选择“启用用户名和密码身份验证”(Enable user name and password authentication) 选项。– 取消激活访客认证。 – 在“用户管理”(User management) 表中输入用户。此时,可单击条目“<新增用户>”()。系统将会创建一个新的用户并自 动命名。用户可对该用户名进行编辑并输入密码。Zui多可添加21 个用户。 对于固件版本为 V3.1 及以上版本的 CPU:使用本地用户管理。 • 通过项目的安全设置进行额外的用户管理对于固件版本不超过 V3.0 的 CPU,使用“通过项目安全设置启用其它用户管理”(Enable additional usermanagement via project security settings) 选项。可以在以下常规 OPC UA设置下找到此设置:(CPU 属性:“OPC UA > 常规”(OPC UA > General))下。如果选择此选项,打开项目的用户管理也会用于对 OPC UA 服务器进行用户认证:随后,当前项目 中的相同用户名和密码同样在 OPC UA中生效。 要激活项目的用户管理,请按以下步骤操作: – 在项目树中单击“安全设置 > 设置”(Security settings> Settings)。 – 单击“保护此项目”(Protect this project) 按钮。 – 输入用户名和密码。 –在“安全设置 > 用户和角色”(Security settings > Users and roles) 下输入其它用户。如果在项目中组态一个 OPC UA 服务器并且这些用户也必须访问这个服务器,则还应选择“通过项目的安全设置激活额外用户管理”(Activate additional useradministration via the security settings of the project)选项。随后不需要重复输入或在本地输入用户名 和密码。 通过安全通道传送用户身份验证数据 在 OPC UA中,用户身份验证的标识数据(如,用户名和密码)使用单独的安全策略进行传 输。该安全策略称为“UserTokenPolicy”策略。如果需要进行用户身份验证,则 OPC UA 客户端将在连接的建立过程中选择一个合适的“UserTokenPolicy”,而与安全通道所组态的安全策略无关。此 UserTokenPolicy 可确保UserIdentityToken(如,用户名和密码)始终以适当的安全设置进行传输。如果安全通道根据所组态的安全策略设置为“无安全设置”,则 OPC UA 客户端之后可通过 加密方式传送用户名和密码。有关 OPC UA中建立安全连接的过程信息,请参见“消息的安 全传送 (页 1764)”。
具有 OPC UA功能权限的用户和角色 (S7-1500, S7-1500T) 项目用户进行用集中项目设置时,使用以下用户身份验证选项: • 服务器:组态 CPU 特性(“OPC UA > 服务器 > 安全 > 用户认证”(OPC UA > Server> Security > Userauthentication))。选项:“通过项目的安全设置启用额外用户管理”(Enable additional useradministration via the security settings of the project) • 客户端:组态客户端接口(“安全”(Security) 选项卡,“组态”(Configuration))。选项:“用户 (TIA Portal- 安全设置)”(User (TIA Portal - security settings)) 要求在编辑安全设置之前,项目必须受保护并且登录用户需具有足够权限(如,管理员)。项目树中“安全设置”下的设置在项目树的“安全设置”(Security setting) 下访问受保护项目中的集中用户设置和角色。可在这里集中定义用户及其用户名、密码和已分配角色。从而,角色也将得到分配,即,分配到 相应的功能权限。可以在其它位置直接使用这些设置。重用集中安全设置 在其它位置进行重用的示例: • 针对 OPC UA 服务器用户管理的用户选择借助此设置,可以通知服务器具有哪个用户名和哪个密码的哪个客户端(用户)可以访 问服务器。 • 针对 OPC UA 客户端认证的用户选择借助此设置,可以通知客户端用于服务器客户端认证的用户名和密码。客户端和服务器的设置必须对应:客户端登录所使用的用户名和密码必须已在服务器上设置, 并被分配所需权限。 服务器和客户端的功能权限还必须为 S7-1500 CPU 上客户端功能的用户和服务器功能的用户启用相应的客户端或服务器功能权限。仅集中保存用户名和密码远远不够。 以下为此类型权限使用的说明示例: 1. 例如,在“安全设置 >用户和角色”(Security settings > Users and roles) 下的“角色”(Roles) 选项卡中定义新角色(名称为“PLC-opcua-role-all-inclusive”)。提示:选项卡可能被信息窗口(“尚未检查当前状态...”(The current status has not yet beenchecked...))覆盖。在这种情况下,请先关闭信息窗口。 2. 在“功能权限类别”(Function rightscategories) 部分中,导航到运行系统权限,导航到 CPU 功能权限,在此标记相应的CPU,以便将其功能权限分配到角色。