ITU X.509 证书

时间：2021-07-28

作者：上海腾希电气技术有限公司

ITU X.509 证书

OPC UA 的多个层级中，都集成有安全机制。其中，数字证书至关重要。仅当 OPC UA 服务器接受 OPC UA 客户端的数字证书并将其归类为可信时，客户端才能与服务器建立安全连接。

请参见“处理客户端和服务器证书”部分。

与此同时，客户端还必须检查并信任服务器的证书。服务器和客户端必须显示自己的身份，并证明该身份与声明的相同。即，服务器和客户端必须证明自己的身份。例如，客户端和服务器的相互验证可有效防止中间人攻击。

“中间人”攻击

“中间人”可能会出现在服务器和客户端之间。中间人是一种程序，会截获服务器与客户端之间的通信并将自身伪装为客户端或服务器，以获取 S7 程序的相关信息或设置 CPU 的值，进而对设备或工厂进行攻击。

OPC UA 使用的数字证书符合国际电信联盟 (ITU) 的 X.509 标准，

可识别（认证）一个程序、计算机或机构的身份。

X.509 证书

X.509 证书包含以下信息：

证书的版本号

证书的序列号

证书颁发机构对证书进行签名的算法。

证书颁发机构的名称

证书有效期的起始和结束时间

由证书颁发机构签名证书的程序、个人或机构名称。

程序、个人或机构的公钥。

因此，X509 证书将身份（程序、个人或机构的名称）与该程序、个人或机构的公钥关联在一起。

在连接建立期间检查

客户端与服务器建立连接时，设备将基于证书检查全部所需信息以确保其完整性，如签名、有效期、应用程序名称 (URN)，对于固件版本 V2.5，还会检查客户端证书中客户端的 IP 地址。

提示

此外，还会检查证书中存储的有效期。因此必须设置 CPU 时钟，且日期/时间必须在有效期内，否则将无法进行通信。

签名和加密

要检查证书是否篡改，则需对证书进行签名。

可通过以下几种方式进行操作：

在 TIA Portal 中，可生成证书并为证书签名。如果您已对项目进行保护，并以具有可进行安全设置的功能权限的用户身份登录，则可以使用全局安全设置。通过全局安全设置可访问证书管理器，由此也可访问 TIA Portal 的证书颁发机构 (CA)。

还可通过其它选项创建证书并为证书签名。在 TIA Portal 中，可将证书导入到全局证书管理器中。

- 联系一家证书颁发机构 (CA) 并对证书进行签名。

此时，认证颁发机构将核实您的身份，并通过该证书颁发机构的私钥对您的证书进行签名。为此，需向证书颁发机构发送一个 CSR（证书签名请求）。

- 自行创建证书并对其进行签名。

例如，为实现上述过程，您应使用 OPC 基金会的“Opc.Ua.CertificateGenerator”程序。还可使用 OpenSSL。
更多信息，请参见“用户自己生成 PKI 密钥对和证书”。

有用信息：证书类型

自签名证书

每个设备都可生成并签署自己的证书。应用示例：通信节点数量有限的静态组态。

不能从自签名证书派生新的证书。但是，需要将所有自签名证书从伙伴设备加载到 CPU（需要在 STOP 模式下执行）。

CA 证书：

所有证书都由证书颁发机构生成和进行签名。应用示例：动态添加设备。

只需将证书从证书颁发机构下载到 CPU。证书颁发机构可以生成新的证书（添加伙伴设备*在 CPU STOP 模式下）。

签名

如下所述，通过该签名，可验证消息的完整性和来源。

首先，发送方根据纯文本信息（纯文本消息）生成 HASH 值。之后，再通过私钥对该 HASH 值进行加密，并将该纯文本消息连同加密后的 HASH 值一同发送到接收方。验证签名时，接收方需要一个发送方的公钥（包含在发送方的 X509 证书中）。接收方基于发送方的公钥，对接收到的 HASH 值进行解密。然后，接收方再根据接收到的纯文本消息生成自己的 HASH 值（HASH 过程包含在发送方的证书中）。接收方对这两个 HASH 值进行比较：

如果两个 HASH 值相同，则表示从发送方接收到的纯文本消息未经更改并未被篡改。

如果两个 HASH 不匹配，则表示到达接收方的的纯文本消息发生了更改。纯文本消息在传送过程中被篡改或受损。

加密

加密数据可防止非经授权的读取。X509 证书不加密；这些证书为公开证书，任何人均可查看。

在加密过程中，发送方将使用接收方的公钥对纯文本消息进行加密。为此，发送方需要接收方的 X509 证书。这是因为，该证书中包含接收方的公钥。接收方使用自己的私钥对消息进行解密。只有接收方才能对该消息进行解密：只有他们才拥有相应的私钥。因此，任何时候私钥都不得泄露。

安全通道

OPC UA 使用客户端与服务器的私钥和公钥建立安全连接，即安全通道。建立安全连接后，客户端和服务器将生成一个只有它们才了解的内部密钥，它们使用此密钥对消息进行签名和加密。较非对称加密过程（私钥和公钥）过程，对称加密过程（共享密钥）的运行速度要快得多。

13681875601

词条
词条说明
项目的基本知识
项目的基本知识项目中包含有创建自动化解决方案时生成的数据和程序。项目中包含的数据有：有关硬件结构的组态数据和模块的参数分配数据用于网络通信的项目工程数据用于设备的项目工程数据项目生命周期中重要事件的日志项目版本项目版本用于定义与项目相兼容的 TIA Portal 版本。TIA Portal 项目版本 V16 中的项目，与 TIA Portal 的较新版本相兼容。在项目属性中，可查看已打开项目的项目
为循环中断 OB 分配参数
为循环中断 OB 分配参数设置参数的过程按如下方法设置循环中断 OB 参数：打开上述循环中断 OB 的“属性”(Properties) 对话框。在区域导航中单击“循环中断”(Cyclic interrupt) 组。可在“循环中断”(Cyclic interrupt) 组中设置的参数概述在“循环中断”(Cyclic interrupt) 组中，可设置下列参数：循环时间相位偏移“循环时间”参数使用参数
添加用户自定义读卡器
添加用户自定义读卡器简介如果没有自动检测到读卡器，则可以手动添加。要求已打开项目视图。步骤要添加读卡器，请按以下步骤操作：打开项目树。选择“项目”(Project) 菜单中的“读卡器/USB 存储器 > 添加用户自定义的读卡器”(Card Reader / USB memory > Add user-defined Card Reader) 命令。将打开“添加用户自定义读卡器”(Add
软件和硬件的基本要求
软件和硬件的基本要求安装时的系统要求下表列出了安装时需满足的软件和硬件较低要求：硬件/软件要求处理器Intel® Core™ i3-6100U，2.30 GHzRAM8 GB硬盘S-ATA，至少配备 20 GB 可用空间网络100 Mbps 或更高屏幕分辨率1024 x 768操作系统 *Windows 7（64 位）***Windows 7 Home Premium SP1 **Windows