ITU X.509 证书

时间：2021-07-28作者：上海腾希电气技术有限公司浏览：154

ITU X.509 证书



OPC UA 的多个层级中，都集成有安全机制。其中，数字证书至关重要。仅当 OPC UA 服务器接受 OPC UA 客户端的数字证书并将其归类为可信时，客户端才能与服务器建立安全连接。

请参见“处理客户端和服务器证书”部分。

与此同时，客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份，并证明该身份与声明的相同。即，服务器和客户端必须证明自己的身份。例如，客户端和服务器的相互验证可有效防止中间人攻击。

“中间人”攻击

“中间人”可能会出现在服务器和客户端之间。中间人是一种程序，会截获服务器与客户端之间的通信并将自身伪装为客户端或服务器，以获取 S7 程序的相关信息或设置 CPU 的值，进而对设备或工厂进行攻击。

OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的 X.509 标准，

可识别（认证）一个程序、计算机或机构的身份。

X.509 证书

X.509 证书包含以下信息：

证书的版本号

证书的序列号

证书颁发机构对证书进行签名的算法。

证书颁发机构的名称

证书有效期的起始和结束时间

由证书颁发机构签名证书的程序、个人或机构名称。

程序、个人或机构的公钥。

因此，X509 证书将身份（程序、个人或机构的名称）与该程序、个人或机构的公钥关联在一起。

在连接建立期间检查

客户端与服务器建立连接时，设备将基于证书检查全部所需信息以确保其完整性，如签名、有效期、应用程序名称 (URN)，对于固件版本 V2.5，还会检查客户端证书中客户端的 IP 地址。

提示 此外，还会检查证书中存储的有效期。因此必须设置 CPU 时钟，且日期/时间必须在有效期内，否则将无法进行通信。




签名和加密

要检查证书是否篡改，则需对证书进行签名。

可通过以下几种方式进行操作：

在 TIA Portal 中，可生成证书并为证书签名。如果您已对项目进行保护，并以具有可进行安全设置的功能权限的用户身份登录，则可以使用全局安全设置。通过全局安全设置可访问证书管理器，由此也可访问 TIA Portal 的证书颁发机构 (CA)。

还可通过其它选项创建证书并为证书签名。在 TIA Portal 中，可将证书导入到全局证书管理器中。

- 联系一家证书颁发机构 (CA) 并对证书进行签名。

此时，认证颁发机构将核实您的身份，并通过该证书颁发机构的私钥对您的证书进行签名。为此，需向证书颁发机构发送一个 CSR（证书签名请求）。

- 自行创建证书并对其进行签名。

例如，为实现上述过程，您应使用 OPC 基金会的“Opc.Ua.CertificateGenerator”程序。还可使用 OpenSSL。
更多信息，请参见“用户自己生成 PKI 密钥对和证书”。

有用信息：证书类型

自签名证书

每个设备都可生成并签署自己的证书。应用示例：通信节点数量有限的静态组态。

不能从自签名证书派生新的证书。但是，需要将所有自签名证书从伙伴设备加载到 CPU（需要在 STOP 模式下执行）。

CA 证书：

所有证书都由证书颁发机构生成和进行签名。应用示例：动态添加设备。

只需将证书从证书颁发机构下载到 CPU。证书颁发机构可以生成新的证书（添加伙伴设备*在 CPU STOP 模式下）。

签名

如下所述，通过该签名，可验证消息的完整性和来源。

首先，发送方根据纯文本信息（纯文本消息）生成 HASH 值。之后，再通过私钥对该 HASH 值进行加密，并将该纯文本消息连同加密后的 HASH 值一同发送到接收方。验证签名时，接收方需要一个发送方的公钥（包含在发送方的 X509 证书中）。接收方基于发送方的公钥，对接收到的 HASH 值进行解密。然后，接收方再根据接收到的纯文本消息生成自己的 HASH 值（HASH 过程包含在发送方的证书中）。接收方对这两个 HASH 值进行比较：

如果两个 HASH 值相同，则表示从发送方接收到的纯文本消息未经更改并未被篡改。

如果两个 HASH 不匹配，则表示到达接收方的的纯文本消息发生了更改。纯文本消息在传送过程中被篡改或受损。

加密

加密数据可防止非经授权的读取。X509 证书不加密；这些证书为公开证书，任何人均可查看。

在加密过程中，发送方将使用接收方的公钥对纯文本消息进行加密。为此，发送方需要接收方的 X509 证书。这是因为，该证书中包含接收方的公钥。接收方使用自己的私钥对消息进行解密。只有接收方才能对该消息进行解密：只有他们才拥有相应的私钥。因此，任何时候私钥都不得泄露。

安全通道

OPC UA 使用客户端与服务器的私钥和公钥建立安全连接，即安全通道。建立安全连接后，客户端和服务器将生成一个只有它们才了解的内部密钥，它们使用此密钥对消息进行签名和加密。较非对称加密过程（私钥和公钥）过程，对称加密过程（共享密钥）的运行速度要快得多。


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• S7-300 PLC与DCS控制系统的通信

  本文就西门子S7-300系列PLC与横河CS3000型DCS集散控制系统的之间的通信，介绍如何实现Modbus和Profibus-DP协议设 备的相互通信、上海泗博自动化的Modbus转Profibus-DP网关PM-160在其中的应用，以及这两种不同通信协议的通信方式。关键词：Modbus协议 Profibus-DP协议 Modbus转Profibus-DP 串口转Profibus-DP 分布式

• MAC ACL规则组态

  规则组态简介在此页面上为基于 MAC 的访问控制列表 (ACL) *访问规则。使用基于 MAC 的 ACL，您可*是转发还是丢弃特定 MAC 地址的帧。显示框说明该表格包括以下列：规则编号 (Rule Number)显示 ACL 规则的编号。创建规则时，会创建一个具有一编号的新行。源 MAC (Source MAC)输入源的单播 MAC 地址。目标 MAC 地址输入目标的单播 MAC 地址。

• 长度测量（模拟量）

  长度测量（模拟量）说明“长度测量”(Length measurement) 功能可以在运行操作期间测量距离。 长度测量的启动和停止通过数字量输入“长度测量”(Length measurement) 进行边沿触发。 在“检测”(Detection) 下拉列表中，选择边沿的类型。共有以下几个选项：关闭在上升沿启动/停止在数字量输入的上升沿启动长度测量，下一个上升沿停止长度测量。在下降沿启动/停止在数字

• VLAN 基于协议的 VLAN 组

  基于协议的 VLAN 组简介在此页面*组并为其分配协议。显示框说明该页面包含以下框：基于协议的 VLAN (Protocol Based VLAN)启用或禁用基于协议的 VLAN 分配。协议值 (Protocol Value)输入十六进制协议值。下面列出几个示例：- PROFINET：88:92- IP：08:00- Novell：81:37- netbi