处理客户端和服务器证书 (S7-1500, S7-1500T) 仅当 OPC UA 服务器可向 OPC UA客户端证明身份时,才能建立服务器与客户端之间的安全 连接。服务器证书可用于证实身份。 OPC UA 服务器的证书 激活 OPC UA服务器并确认安全提示后,STEP 7 会自动为服务器生成证书,并将其保存在 CPU 的局部证书目录中。可以使用 CPU的局部证书管理器查看并管理此目录(导出或删除证书)。 下图所示为包含 OPC UA 服务器自动生成的证书的 CPU局部证书管理器:或者,还可以自行生成服务器证书。 在建立连接时,服务器证书将从服务器传送到客户端。客户端将检查该证书。客户端用户将确定是否信任该服务器证书。 此时,客户端用户需确定是否信任该服务器证书。如果信任该服务器证书,则客户端将服务器证书存储在包含可信服务器证书的目录中。 在以下示例中,显示了客户端“"UA SampleClient"”的对话框。如果用户单击“是”(Yes) 按钮, 则客户端将信任此服务器证书:客户端证书来自哪里? S7-1500的客户端 如果使用 S7-1500 CPU 的 OPC UA 客户端(已启用 OPC UA 客户端),可使用 STEP 7 V15 及更高版本为这些客户端创建证书。 1. 在项目树中,选择将用作客户端的 CPU。 2. 双击“设备组态”(Deviceconfiguration)。 3. 在该 CPU 的属性中,单击“保护和安全 > 证书管理器”(Protection &Security > Certificate manager)。 4. 在“设备证书”(Device certificates)表格中,双击“<新增>”()。 在 STEP 7 中,将打开一个对话框。 5. 单击“添加”(Add) 按钮。 6.从“使用”(Usage) 列表选择“OPC UA 客户端”(OPC UA client) 条目。 注: 必须在“主题备用名称(SAN)”(Subject Alternative Name (SAN)) 中输入用于访问系统中 CPU 的 IP 地址。因此,在生成客户端证书之前,需要对 CPU 的 IP 接口进行组态。 7. 单击“确定”(OK)。 此时,STEP 7将在“设备证书”(Device certificates) 表格中显示该客户端证书。 8.右键单击该行,并在快捷菜单中选择“导出证书”(Export certificate) 条目。 9. 选择该客户端证书的目标存储目录。其它制造商的客户端 如果使用来自制造商或 OPC 基金会的 UA 客户端,则会在安装期间或在首次调用程序时自动 生成客户端证书。需要在STEP 7 中通过全局证书管理器导入这些证书,并将其用于相应的 CPU(如前文所示)。 用户自己编程 OPC UA客户端时,可生成相应的证书;请参见“客户端的实例证书”部分。 也可通过工具生成证书(如,使用 OpenSSL 或 OPC基金会的证书生成器): • 使用 OpenSSL 时的操作步骤:“用户自己生成 PKI 密钥对和证书”。 • 使用 OPC基金会的证书生成器时:“创建自签名的证书”。 向服务器宣布客户端证书需要向服务器发送客户端证书,以允许建立安全连接。
为此,请执行以下操作步骤: 1.在服务器的本地证书管理器中,选择“使用证书管理器的全局安全设置”(Use global security settings forcertificate manager) 选项。这将激活全局证书管理器。 可以在用作服务器的 CPU 的特性“保护和安全 >证书管理器”(Protection & Security > Certificate manager) 下找到此选项。如果项目未受保护,请在 STEP 7 的项目树中选择“安全设置 > 设置”(Security settings >Settings),然后单击“保护此项目”(Protect this project) 按钮并登录。 “全局安全设置”(Globalsecurity settings) 菜单项随即显示在 STEP 7 项目树的“安全设 置”(Security setting) 下。2. 双击“全局安全设置”(Global security settings)。 3. 双击“证书管理器”(Certificatemanager)。 STEP 7 将打开全局证书管理器。 4. 单击“受信任证书”(Trustedcertificates) 选项卡。 5. 在此选项卡的空白区域(而非证书上)中,右键单击鼠标。 6.选择快捷菜单中的“导入”(Import) 命令。 将显示用于导入证书的对话框。 7. 选择服务器信任的客户端证书。 8.单击“打开”(Open),导入证书。 客户端证书现已包含在全局证书管理器中。 请留意刚刚导入的客户端证书 ID。 9.单击用作服务器的 CPU 的特性中的“常规”(General) 选项卡。 10.单击“OPC UA > 服务器 > 安全> 安全通道”(OPC UA > Server > Security > Secure Channel)。11.在“安全通道”(Secure Channel) 对话框中向下滚动至“受信客户端”(Trusted clients) 部分。12.双击表中空行的“<新增>”()。随即会在该行中显示浏览按钮。 13.单击该按钮。 14.选择已导入的客户端证书。15.单击带有绿色复选标记的按钮。 16.编译项目。 17.将组态加载到 S7-1500 CPU。 结果:服务器现已信任此客户端。如果还将服务器证书视为受信证书,则服务器和客户端之间可建 立安全连接。自动接受客户端证书如果选择选项“运行时自动接受所有客户端证书”(Automatically accept all client certificatesduring runtime)(位于“受信客户端”(Trusted clients) 列表下),则服务器会自动接受所有 客户端证书。注意 调试后的设置 为了避免安全风险,在调试后,需再次取消选中“运行过程中自动接受客户端证 书”(Automaticallyaccept client certificates during runtime) 选项。 参见 使用 STEP 7 生成服务器证书(页 1875) 安全通道 - 选择安全策略 (S7-1500, S7-1500T) 虽然 OPC UA 客户端和 OPCUA 服务器之间的数据交换在应用层通过 OPC UA 会话实现,但 由通信层及其“安全通道”提供数据的完整性和机密性保护。 对于OPC UA 而言,安全策略汇总了端点的所有安全设置。安全策略以适当的名称指定一组 用于安全通道的安全算法和密钥长度。只有当 OPCUA 客户端和 OPC UA 服务器支持相同的 安全策略时,才能建立连接。 示例:“Basic256Sha256 -签名和加密”表示:端点进行安全连接,支持一系列 256 位哈希 和 256 位加密算法。 安全策略源自安全规约,请参见 OPC UA规范第 7 部分(规约)。组态服务器的安全设置 下图显示了适合对消息进行签名和加密的服务器安全设置。 默认情况下,服务器证书创建时使用SHA256 签名。可使用以下安全策略: • 无 不安全端点 说明 禁用不需要的安全策略 如果在 S7-1500 OPC UA服务器的安全通道设置中启用了所有安全策略(默认设置),即采用端点“无”(None)(不安全),则服务器和客户端之间还可能存在非安全数据通信(既 未签名也未加密)。由于选择“不安全”(Nosecurity),客户端的身份仍然未知。无论后 续为哪种安全设置,每个 OPC UA 客户端随后都可以连接到服务器。 组态 OPCUA 服务器时,请确保只选择与设备或工厂的安全概念兼容的安全策略。应禁 用所有其它安全策略。建议:如果可能,请使用“Basic256Sha256”设置。 • Basic128Rsa15 - 签名(已弃用)端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。 该端点通过签名确保数据的完整性。 •Basic128Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Rsa15 - 签名(已弃用)端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。 该端点通过签名确保数据的完整性。•Basic256Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Sha256 - 签名 端点进行安全连接,支持一系列 256位哈希和 256 位加密算法。 该端点通过签名确保数据的完整性。 • Basic256Sha256 - 签名和加密安全端点,支持一系列 256 位哈希和 256 位加密算法。 该端点将通过签名与加密机制确保数据的完整性和保密性。 •Aes128_Sha256_RsaOaep - 签名 端点进行安全连接,支持一系列 128 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名确保数据的完整性。 对于一般的安全要求。需要 PKI 基础结构。• Aes128_Sha256_RsaOaep - 签名和加密 端点进行安全连接,支持一系列 128 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 •Aes256_Sha256_RsaPss - 签名 端点进行安全连接,支持一系列 256 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名来保护数据的完整性。 对于较高的安全性要求。需要 PKI基础结构。 • Aes256_Sha256_RsaPss - 签名和加密 端点进行安全连接,支持一系列 256 位加密和 256位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 对于较高的安全性要求。需要PKI 基础结构。 要启用安全设置,请单击相关行的复选框。 说明 如果设置为“Basic256Sha256 -签名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 签名并加 密”(Basic256Sha256-Sign & Encrypt),则 OPC UA 服务器和 OPC UA 客户端必须使用“SHA256”签名的证书。 对于“Basic256Sha256-签名”(Basic256Sha256 -Sign)和“Basic256Sha256-签名并加 密”(Basic256Sha256 -Sign & Encrypt) 设置,STEP 7中的证书颁发机构将使用“SHA256”自动 对证书进行签名。