GDS推送功能的组态限制 (S7-1500, S7-1500T) 推送功能的证书数量 在 S7-1500 CPU 固件版本 V2.9及以上版本中,无论何种类型,OPC UA 推送功能的组态限 值均为 62 个信任列表条目。 • 每个激活的基于证书的服务(CPU应用程序)“消耗”一个证书条目和一个私钥条目。 • 证书吊销列表条目 (CRL) 的计数与受信任证书列表条目的计数方式一样。 •由不同服务(CPU 应用程序)使用的证书计为一个信任列表条目。 推送功能的元素大小(例如证书) Zui多 4096 个字节 示例希望授予Zui多 62 个 OPC UA 客户端对 OPC UA 服务器的访问权限,并相应填写受信任列表。在受信任列表中添加“证书吊销列表”条目时,Zui多只能信任 61 个客户端证书。 不能通过将硬件配置下载到 CPU 来传输更多的 OPCUA 证书。提示 为了尽可能减少所需证书的数量,建议通过同一个 CA 对 OPC UA 客户端证书进行签名。 在这种情况下,作为OPC UA 服务器的 CPU 仅需要相应的 CA 证书和 CRL。通过这些元素, OPC UA 服务器随后可以验证由 CA签名的所有客户端证书。即,无需将每个客户端证书逐 一添加到受信任列表中。 参见 通过 GDS 实现自动化证书管理(页 1767) 证书管理的必备知识 (页 375) 设置和下载 GDS 参数 (S7-1500,S7-1500T) 下文介绍了证书更新的所需设置。 要求 • 不同应用程序证书需要使用对应的 STEP 7/TIA Portal版本和 S7-1500 CPU 固件版本。 另请参见“证书管理的必备知识 (页 375)” – OPC UA服务器证书需要使用 TIA Portal V17 及更高版本、CPU 固件版本 V2.9 – Web 服务器证书需要使用 TIAPortal V18 及更高版本、CPU 固件版本 V3.0 • 已设置 CPU 的时间/日期(通常应用于基于证书的通信)。 •已启用 OPC UA 服务器。 • 必须启用 GDS 推送管理使用的服务。例如,必须启用 Web 服务器才能传送 Web 服务器证书。 • 在 OPC UA 服务器中必须至少组态一个采用“签名并加密”安全策略的端点。伙伴必须 使用此端点。 •已为经过身份验证的用户组态足够的功能权限 用户必须拥有具备“管理证书”功能权限的角色。 该功能权限具有以下要求: –必须在项目树中启用项目保护:项目树:“安全设置 > 设置 > 项目保护”(Security settings >Settings > Project protection)。 – 在 CPU 设置的“CPU UA > 常规”(OPCUA > General) 区域中,必须启用以下常规用户管 理设置:“通过项目安全设置启用其它用户管理”(Enableadditional user management via project security settings)有关如何设置功能权限的说明,敬请访问“这里 。
启用 GDS 推送满足上述要求后,通过以下操作才能激活 GDS 推送: 1. 在巡视窗口(CPU 参数)中,转到“OPC UA > 服务器> 常规”(OPC UA > Server > General) 区 域。 2.启用“启用全球发现服务(推送)”(Enable Global Discovery Services (Push)) 选项。确定使用的证书存储区 使用 GDS 推送证书管理进行管理的证书与通过 TIA Portal (STEP 7) 下载的证书不在同一个存储区中。启用 GDS 推送证书管理后,CPU 的服务(应用程序)同样使用该证书存储区中的 证书,这些证书可以在运行期间进行管理。 1.在 CPU 设置中,导航至“保护与安全 > 证书管理”(Protection & Security >Certificate management) 区域。 2. 选择“运行期间使用证书管理器提供的证书”(Usecertificates provided by the certificate management at runtime) 选项。另一种方式则使用从 TIA Portal 下载到 CPU 中的证书,这些证书在 CPU 处于 STOP 模式时进行组态。该证书存储区中的证书或信任列表无法在运行时更新。 启用证书失效诊断 如果希望提前收到证书失效通知,请在“保护与安全 >证书管理”(Protection & Security > Certificate management)区域中选择“启用证书失效系统诊断事件”(Enable system diagnostics event for thecertificate lapsing) 选项。 在输入字段“当证书剩余使用时间为...时显示事件”(Display eventwhen the remaining life of the certificate is ...) 中输入百分数值。这些设置的作用: • 证书达到该值时,将出现相应的系统诊断消息,该消息在证书失效或刷新后才会消失。 • 如果证书已到期,CPU将生成相应的系统诊断消息,并在诊断缓冲区中生成一个条目,且 维护 LED 指示灯亮起。 示例: 在 2022 年 6 月 1 日通过GDS 传送的证书的有效期为 2022 年 6 月 1 日至 2022 年 6 月 30 日 (30 天)。已在诊断事件中输入百分数值10。2022 年 6 月 27 日,90% 的有效期将到期。此 时,将显示一条消息,指示所传送的证书将于 2022 年 6 月 30日到期。 无论组态的百分数值是多少,证书的有效期到期后,都将显示一条相应的消息并在诊断缓冲 区中输入一个条目,同时维护 LED指示灯亮起。GDS 调试 (S7-1500, S7-1500T) OPC UA 规范第 12部分对证书管理期间的配置阶段和运行阶段进行了区分定义。 在配置阶段,GDS 或 OPC UA 客户端为 OPC UA服务器的客户端提供初始信任列表和 CRL。在 此阶段中,CPU 的 OPC UA 服务器接受提供的所有客户端证书和列表;与 OPCUA 服务器的 “受信任的客户端”设置类似,在运行期间接受所有客户端证书。服务器只能通过这种方式与未知客户端建立连接。例如,客户端无法通过现有证书或信任列表进行身份验证,而只能在接收相应的客户端证书或相应的信任列表后餐呢个进行验证。 配置阶段有信息安全水平低的特点;因此,配置阶段将通过点亮维护 LED以及在相应的诊 断缓冲区中记录条目(要求维护)的方式加以指示。 在运行阶段中,现有的 CRL将进行更新(举例而言),并且证书和信任列表也将更新。通信 在此阶段中是安全的。 要求在配置阶段,只有具备足够功能权限的授权用户才能建立连接。用户必须拥有具备“管理证 书”功能权限的角色。 另请参见“设置和下载 GDS参数 (页 1771)”。 配置阶段的规则 在配置阶段,CPU 的 OPC UA 无法对发起连接建立动作的 OPC UA客户端进行身份验证。因 此,必须遵循以下规则: • 提供安全环境,例如jinxian调试人员访问CPU。检查彼此通信的设备是否为正确的设备。 • 限制此阶段的时间。
CPU 通过点亮维护 LED指示灯和相应的诊断缓冲区条目,指示处于配置阶段 (Maintenance demanded)。 配置阶段的顺序 下文中简要介绍了OPC UA 服务器证书和信任列表配置阶段的相应过程。 Web 服务器证书配置阶段的过程与此类似。与 OPC UA 不同,GDS客户端仅推送 Web 服务 器证书,但不会讲信任列表推送到相应的证书存储区中。进入配置阶段 OPC UA 服务器启动后,CPU会在满足下面其中一个条件时自动进入配置阶段: • OPC UA 服务器证书是 CPU生成的初始自签名证书,尚未替换为有效的服务器证书。 • 信任列表(可信任客户端列表)为空。 CPU 生成的 OPC UA服务器证书包含 OPC UA 服务器Zui重要的参数,并且除非已存在有效的 服务器证书,否则将在每次接通电源后启动 OPC UA服务器时重新生成(包括私钥在内)。 出于此原因,OPC UA 服务器可能在接通电源后需要更长的启动时间。在硬件配置已下载后,可在运行时更新的证书,其证书存储区将在下载时删除,或者证书将 得到保留,具体取决于设置。换言之,如果 GDS处于激活状态并且证书存储区已删除,CPU 将在下载硬件配置后进入配置阶段。 配置阶段诊断 除了维护 LED 点亮之外,GDS地址模型还有两个节点可提供信息,指示 CPU 的 OPC UA 服 务器是否处于配置阶段:配置阶段结束 在满足以下条件时,CPU将自动结束配置阶段: • CPU 在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书既可以是自签名证书,也可以是 CA 签名证书。 • CPU 中的信任列表不为空,即,存在用于检查客户端证书的 CA证书,或者存在可xinlai的 OPC UA 客户端的客户端证书。 如果 OPC UA 客户端传送 CA 签名证书并且另外也将 CA证书添加到信任列表中,则 CPU 的 OPC UA 服务器可自动接受 OPC UA 客户端发送的由同一 CA签名的所有其它证书。申请有效证书 自 TIA Portal 版本 V18/S7-1500 CPU 版本 V3.0 起,除了 OPCUA 服务器证书之外,也可将 其它服务的证书传送到 CPU 中,例如用于 Web 服务器。 相应的服务(例如 CPU 的 OPC UA服务器)通过以下步骤接收有效的证书: 1. GDS 客户端(OPC UA客户端)调用“CreateSigningRequest”方法,以便通过证书签名请求 (CSR) 申请证书。 2. 此 CSR必须由证书颁发机构 (CA) 签署。 3. 签名的 CSR 必须再传送回 CPU 的 OPC UA 服务器并用作证书。在客户端具有所需的“管理证书”功能权限时,CPU 的 OPC UA 服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变型: • 更新证书,但不创建新的密钥对(使用已有的内部 CPU 密钥)• 更新证书,并创建新的密钥对(CPU 内部) 此外,也可以使用外部创建的密钥对来生成证书。 注意 关于生成证书的推荐过程应避免传送私钥;私钥不得离开设备。 因此,我们建议在生成证书时不创建新密钥对,或在 CPU 内创建密钥对。 创建证书但不创建密钥对 •“CreateSigningRequest”方法返回证书签名请求 (CSR),即包含服务器或服务的特定信息 (例如应用程序名称和URL)的文件 (*.csr)。 • 在 CPU 外部,必须对该 CSR 进行验证并由证书颁发机构 (CA) 进行签名,Zui后必须返回证书。 • 随后,必须使用“UpdateCertificate”方法将证书传送到 CPU(“推送”)。 在这种情况下,密钥不会离开CPU。 使用内部创建的密钥对创建证书 此过程与上一节介绍的方法类似,唯一的区别是除了生成 CSR 之外,还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。 在此过程中,私钥不能离开 CPU。 生成新的密钥对会给CPU 带来很大负载。CPU 会在通信负载的预留区内以更低的优先级处 理此请求,且需要的时间较长。此时间的长短取决于 CPU的性能。