“不安全”安全策略和通过用户名和密码进行身份验证 可执行以下组合设置:“不安全”安全策略和通过用户名和密码进行身份验证 • S7-1500 的 OPC UA 服务器支持该组合设置。OPC UA客户端可连接并加密认证数据,反 之亦然。 • S7-1500 CPU 的 OPC UA客户端也支持该组合设置:但在运行时,仅当通过电缆发送加 密的认证数据时才能连接! 使用 STEP 7 生成服务器证书(S7-1500, S7-1500T) 在下文中,将介绍使用 STEP 7 生成新证书的操作过程,以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域,设置应用目标。在本示例中,为“OPC UA 客户端和服务器”(OPC UAClient & Server)。 建议:要使用 OPC UA 服务器的所有安全功能,则需使用全局安全设置。 在 CPU特性的“保护和安全 > 证书管理器”(Protection & Security > Certificatemanager) 下 启用全局安全设置。 用户自定义的服务器证书 如果您激活 S7-1500 的 OPC UA 服务器,则 STEP7 会自动为该服务器生成证书(请参见“激 活 OPC UA 服务器 (页 1860)”)。在该过程中,STEP 7使用证书参数的默认值。如果要更改 参数,请按照以下步骤进行操作: 1. 单击 CPU 属性中“常规 > OPC UA >服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server> Security > Secure channel > Server certificate)下的“浏览”(Browse) 按钮。随 即会显示一个对话框,用于显示局部可用的证书。 2. 单击“添加”(Add) 按钮。3.将显示用于生成新证书的对话框(如下图所示)。已输入示例的值: 4. 必要时,可根据公司或客户的安全规范使用其它参数。用于生成证书的字段的说明 • CA 选择证书是自签名,还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书,请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书,项目必须受保护,而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息,请 参见“TIA Portal 中用户管理的基本知识”。 •证书持有者 在默认设置中,通常包括项目名称和“\OPCUA-1”。在本示例中,项目名称为“PLC1”。在 CPU 属性的“常规> 项目信息 > 名称”("General > Project information > Name)下设置项 目名称。保留默认设置,或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。
可通过以下几种方式: • 访客认证 用户无需证明其身份(匿名访问)。OPC UA 服务器不会检查客户端用户的授权。对于固件版本不超过 V3.0 的 CPU:如需使用这种认证方式,则可在“OPC UA > 服务器 > 安 全 >用户认证”(OPC UA > Server > Security > User authentication)中选择“启用访客认 证”(Enable guest authentication) 选项。 对于固件版本为 V3.1 及以上版本的CPU:使用本地用户管理,通过“匿名”(Anonymous) 用户实现访客身份验证。 请参见:用户和角色的设置(页 1356) 说明 为增加安全性,应只允许访问支持用户认证的 OPC UA 服务器。 • 用户名和密码认证用户必须证明其身份(非匿名访问)。OPC UA 服务器将检查客户端用户是否具备访问服务器的权限,并通过用户名和正确的密码进行身份验证。 对于固件版本不超过 V3.0 的CPU:如果要使用此类型的用户身份验证,请按以下步骤进 行操作: – 在“OPC UA > 服务器 > 安全 >用户身份验证”(OPC UA > Server > Security > User authentication)中选择“启用用户名和密码身份验证”(Enable user name and password authentication) 选项。– 取消激活访客认证。 – 在“用户管理”(User management) 表中输入用户。此时,可单击条目“<新增用户>”()。系统将会创建一个新的用户并自 动命名。用户可对该用户名进行编辑并输入密码。Zui多可添加21 个用户。 对于固件版本为 V3.1 及以上版本的 CPU:使用本地用户管理。 • 通过项目的安全设置进行额外的用户管理对于固件版本不超过 V3.0 的 CPU,使用“通过项目安全设置启用其它用户管理”(Enable additional usermanagement via project security settings) 选项。可以在以下常规 OPC UA设置下找到此设置:(CPU 属性:“OPC UA > 常规”(OPC UA > General))下。如果选择此选项,打开项目的用户管理也会用于对 OPC UA 服务器进行用户认证:随后,当前项目 中的相同用户名和密码同样在 OPC UA中生效。 要激活项目的用户管理,请按以下步骤操作: – 在项目树中单击“安全设置 > 设置”(Security settings> Settings)。 – 单击“保护此项目”(Protect this project) 按钮。 – 输入用户名和密码。 –在“安全设置 > 用户和角色”(Security settings > Users and roles) 下输入其它用户。如果在项目中另外组态一个 OPC UA 服务器并且这些用户也必须访问这个服务器,则还应选择“通过项目的安全设置激活额外用户管理”(Activate additional useradministration via the security settings of the project)选项。随后不需要重复输入或在本地输入用户名 和密码。 通过安全通道传送用户身份验证数据 在 OPC UA中,用户身份验证的标识数据(如,用户名和密码)使用单独的安全策略进行传 输。该安全策略称为“UserTokenPolicy”策略。如果需要进行用户身份验证,则 OPC UA 客户端将在连接的建立过程中选择一个合适的“UserTokenPolicy”,而与安全通道所组态的安全策略无关。此 UserTokenPolicy 可确保UserIdentityToken(如,用户名和密码)始终以适当的安全设置进行传输。如果安全通道根据所组态的安全策略设置为“无安全设置”,则 OPC UA 客户端之后可通过 加密方式传送用户名和密码。有关 OPC UA中建立安全连接的过程信息,请参见“消息的安 全传送 (页 1764)”。 参见 用户认证 (页 1971) 具有OPC UA 功能权限的用户和角色 (页 1879) 具有 OPC UA 功能权限的用户和角色 (S7-1500,S7-1500T) 项目用户进行用集中项目设置时,使用以下用户身份验证选项: • 服务器: 组态 CPU 特性(“OPC UA> 服务器 > 安全 > 用户认证”(OPC UA > Server > Security >User authentication))。选项:“通过项目的安全设置启用额外用户管理”(Enable additional useradministration via the security settings of the project) • 客户端:组态客户端接口(“安全”(Security) 选项卡,“组态”(Configuration))。选项:“用户 (TIA Portal- 安全设置)”(User (TIA Portal - security settings)) 要求在编辑安全设置之前,项目必须受保护并且登录用户需具有足够权限(如,管理员)。项目树中“安全设置”下的设置在项目树的“安全设置”(Security setting) 下访问受保护项目中的集中用户设置和角色。可在这里集中定义用户及其用户名、密码和已分配角色。从而,角色也将得到分配,即,分配到 相应的功能权限。可以在其它位置直接使用这些设置。重用集中安全设置 在其它位置进行重用的示例: • 针对 OPC UA 服务器用户管理的用户选择借助此设置,可以通知服务器具有哪个用户名和哪个密码的哪个客户端(用户)可以访 问服务器。 • 针对 OPC UA 客户端认证的用户选择借助此设置,可以通知客户端用于服务器客户端认证的用户名和密码。客户端和服务器的设置必须对应:客户端登录所使用的用户名和密码必须已在服务器上设置, 并被分配所需权限。3.可在“功能权限”(Function rights) 部分中找到以下功能权限: – OPC UA 服务器访问 该功能权限适用于S7-1500 CPU 的 OPC UA服务器。只有启用此选项时,角色为“PLCopcua-role-all-inclusive”的用户才能与 CPU 的 OPC UA服务器建立会话。用户(客户 端)使用其中一个先前集中定义(并下载到 CPU)的用户名和对应的密码对自身进行 身份验证。 – 管理证书该功能权限适用于 S7-1500 CPU 的 OPC UA服务器。只有启用此选项时,角色为“PLCopcua-role-all-inclusive”的用户才可在运行时将证书、CRL或受信任列表传送到 CPU (推送功能)。自动化证书处理需要用到此功能权限,例如在 GDS(全球发现服务)上 下文中。 – OPCUA 客户端的用户认证 此功能权限适用于 S7-1500 CPU 的 OPC UA 客户端(具有客户端指令)。只有启用此选项时,角色为“PLC-opcua-role-all-inclusive”的用户才能使用用户名和密码进行身份验证,以与服务器建立会话。 4.仍需将“PLC-opcua-role-all-inclusive”角色分配给相关用户(项目树中“安全设置”(Securitysettings) 下的“用户”(Users) 选项卡)。 说明 具有 OPC UA 功能权限用户的“运行系统超时时间”用户组态表中,“运行系统超时时间”(Runtime timeout) 列中的值(会话Zui长持续时间) 不对 CPU 的 OPC UA运行系统权限进行评估。 因此,用户不会在特定时间过后就自动注销。就此目的,使用 OPC UA 特有的机制,例如参数“Zui大会话超时”(Max. session timeout)(位置在“OPC UA > 服务器 > 设置”(OPCUA > Server > Settings))。