OPC UA PubSub 安全 – 应用程序 URI OPC UA 客户端访问 SKS 管理的SecurityGroup 时,SKS 会检查 OPC UA 客户端的应用程序 URI。如果 OPC UA 客户端未获得对SecurityGroup 的访问权限,则会拒绝访问。这样可确保 只有获得授权的 OPC UA 客户端可以访问SecurityGroup 中的密钥。由于 OPC UA 客户端的 应用程序 URI 还包含在证书中,因此 OPC UA客户端不能使用伪造的应用程序 URI。OPC UA 客户端的证书还必须被 OPC UA 服务器分类为可信任证书。否则,将无法在 OPCUA 客户端 与 OPC UA 服务器之间建立连接。 根据 OPC UA 服务器的用途,按以下方式在组态中使用应用程序URI: • 用作 SKS 服务器:在 SKS 服务器的端点描述中输入应用程序 URI。要使 SKS 客户端连接 到作为 SKS服务器的 OPC UA 服务器,需要提供端点描述。 • 用作 SKS 客户端:要在 SKS 服务器的 SecurityGroup中注册 SKS 客户端,则在 SKS 服务 器安全组角色的 Identity 中输入 SKS 客户端的应用程序 URI。SIMATIC NET PC 软件 OPC UA 服务器的应用程序 URI 包含在 OPC UA 服务器的相应服务器证书中,可从证书详细信息中读取。参见“主题备用名称”(Subject Alternative Name) 下,格 式为“URL=
支持用于 OPCUA PubSub 通信的数据类型 对于 SIMATIC NET OPC UA 服务器 V19 或更高版本,以下数据类型支持用于OPC UA PubSub 通信: 说明 数据类型必须按以下方式进行组态才能供 OPC UA 服务使用(已选择选项): • “可从HMI/OPC UA 访问”(Accessible from HMI/OPC UA) • “可从 HMI/OPC UA写入”(Writable from HMI/OPC UA) • “可从 OPC UA 访问 DB”(DB accessiblefrom OPC UA)
使用本地 SecurityKey Service 组态 OPC UA Publisher 前提是必须有一个现有的 STEP 7 项目或创建一个新的 STEP 7项目,其中已组态与安有 OPC UA 服务器 V19 或更高版本的 PC 站的 S7 连接。此外,还需要使用受支持数据类型创建的数据块,参见“支持用于 OPC UA PubSub 通信的数据类型 (页 2043)”部分。 要通过 PC站发布数据,请按以下步骤操作: 1. 打开 STEP 7 项目。 2. 打开 OPC UA服务器的“设备组态”(Device configuration),为 S7 连接的“OPC 符号”(OPC symbols)选择“全部”(All) 选项,如果仅会使用 OPC 符号的子集,则选择“已组 态”(Configured) 选项。3.在项目树中浏览到将用于发布数据的 PC 站,“PC 站 > OPC 服务器 > OPC UA PubSub”(PCstation > OPC server > OPC UA PubSub),以打开编辑器。 4. 对于 S7/ S7OPTOPC UA 服务器,单击“已发布数据集 > 添加数据集”(Published data sets > Add dataset),并选择新创建的数据集。 5. 在“变量”(Tag) 列中单击带三个点号的按钮。在打开的对话框中,浏览到之前创建的数据块。6. 从数据块中选择将使用该数据集发布的变量。 7. 在“组态本地 SKS”(Configure local SKS)中,单击“添加新的 SecurityGroup”(Add new SecurityGroup)。 8. 选择新创建的SecurityGroup ,并在其属性中浏览到“角色权限设置”(Settings for rolerights),然后使用“从证书导入 ApplicationURI”(Import ApplicationURI fromcertificate) 按钮 为每个 Subscriber 导入 ApplicationURI。 9. 单击“连接 >添加新连接”(Connections > Add new connection) 创建新连接。10.选择新创建的连接,并在其属性中浏览到“常规 > Port”(General > Port)。Publisher 和Subscriber 的端口必须相同。 11.转到“常规 > gaoji > 网络接口”(General >Advanced > Network interface),在输入框中输入 将用于发布数据的 PC 站的网络地址。12.为新创建的连接单击“WriterGroups > 添加新 WriterGroup”(WriterGroups >Add new WriterGroup)。 13.选择“WriterGroup > 默认SecurityKeyService”(WriterGroup > Default SecurityKey Service) 进行安全设置。 14.对于“端点描述”(Endpoint description),单击“新增”(Addnew),并使用“选择”(Select) 按 钮为“服务器 > Application URI”(Server >Application URI) 分配具有 Security Key Service 的 ApplicationURI的证书。也可以直接输入 ApplicationURI 或粘贴已复制的 ApplicationURI。 15.对于“DiscoveryURL”,单击“新增”(Add new)。在其中指定组态为 Security Key Service 服务 器的 OPC UA服务器的 IP 地址和端口。 16.选择 WriterGroup,并在属性中浏览到“常规 > Security”(General> Security)。 17.通过“安全配置文件”(Security profile) 下拉列表分配值“签名和加密”(Signand encrypt)(默 认设置),并为“安全组 ID”(Security Group ID) 输入安全组的 ID。可通过默认SecurityKeyService 的属性获取该 ID。 18.对于新创建的 WriterGroup,单击“添加新的DataSetWriter”(Add new DataSetWriter),并选 择新创建的 DataSetWriter。在DataSetWriter 属性中浏览到“常规 > PublishedDataSet”(General >PublishedDataSet),并从下拉列表中选择要发布的数据集。 19.编译 STEP 7 项目并将其下载到设备中。 组态OPC UA 订阅者 前提是必须有一个现有的 STEP 7 项目或创建一个新的 STEP 7 项目,其中已组态与安有 OPC UA服务器 V19 或更高版本的 PC 站的 S7 连接。此外,还需要使用受支持数据类型创建的数 据块,参见“支持用于 OPC UAPubSub 通信的数据类型 (页 2043)”部分。
要通过 PC 站订阅数据,请按以下步骤操作:1. 打开 STEP 7 项目。 2. 打开 OPC UA 服务器的“设备组态”(Deviceconfiguration),为 S7 连接的“OPC 符号”(OPC symbols) 选择“全部”(All) 选项,如果仅会使用OPC 符号的子集,则选择“已组 态”(Configured) 选项。 3. 在项目树中浏览到将用于订阅数据的 PC 站,“PC 站> OPC 服务器 > OPC UA PubSub”(PC station > OPC server >OPC UA PubSub),以打开编辑器。 4. 单击“连接 > 添加新连接”(Connections > Addnew connection) 创建新连接。 5. 选择新创建的连接,并在其属性中浏览到“常规 > Port”(General> Port)。Publisher 和 Subscriber 的端口必须相同。 6. 转到“常规 > gaoji >网络接口”(General > Advanced > Network interface),在输入框中输入将用于订阅数据的 PC 站的网络地址。 7. 为新创建的连接单击“ReaderGroups > 添加新ReaderGroup”(ReadGroups > Add new ReadGroup)。 8. 对于新创建的ReaderGroup,单击“添加新的 DataSetReader”(Add new DataSetWriter),并 选择新创建的DataSetReader。 9. 使用“从项目导入”(Import from project) 按钮从当前 STEP 7 项目导入Publisher 的 DataSetWriter。也可以从文件或可在线访问的设备中导入。 10.在“变量”(Tag)列中单击带三个点号的按钮。在打开的对话框中,浏览到会将所选订阅数据 写入到的变量,并使用绿色复选标记确认选择。 11.编译 STEP7 项目并将其下载到设备中。 组态本地 SKS 要求:已在 STEP 7 项目中组态安有 OPC UA 服务器 V19或更高版本的 PC 站。 要通过 PC 站组态本地 SKS,请按以下步骤操作: 1. 打开 STEP 7 项目。 2.在项目树中浏览到本地 PC 站,“PC 站 > OPC 服务器 > OPC UA PubSub”(PC station> OPC server > OPC UA PubSub),以打开编辑器. 3. 对于“组态本地SKS”(Configure local SKS) 中,单击“新增”(Add new)。 4.选择新创建的安全组,并在其属性中浏览到“角色权限设置”(Settings for role rights),然后使用“从证书导入应用程序 URI”(Import application URI from certificate) 按钮为每个Subscriber 导入应用程序 URI。 5. 编译 STEP 7 项目并将其下载到设备中。 Content Masks表格说明了阅读器参数组中显示的掩码内容。说明对应于规范的原始文本。 各个位的设置是固定的。