使用 STEP 7 生成服务器证书

时间：2021-07-29

使用 STEP 7 生成服务器证书

在下文中，将介绍使用 STEP 7 生成新证书的操作过程，以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域，设置应用目标。在本示例中，为“OPC UA 客户端和服务器”(OPC UA Client & Server)。

建议：要使用 OPC UA 服务器的所有安全功能，则需使用全局安全设置。

在 CPU 特性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。

用户自定义的服务器证书

如果您激活 S7-1500 的 OPC UA 服务器，则 STEP 7 会自动为该服务器生成证书（请参见“激活 OPC UA 服务器”）。在该过程中，STEP 7 使用证书参数的默认值。如果要更改参数，请按照以下步骤进行操作：

单击 CPU 属性中“常规 > OPC UA > 服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server > Security > Secure channel > Server certificate) 下的“浏览”(Browse) 按钮。随即会显示一个对话框，用于显示局部可用的证书。

单击“添加”(Add) 按钮。

将显示用于生成新证书的对话框（如下图所示）。已输入示例的值：

必要时，可根据公司或客户的安全规范使用其它参数。

用于生成证书的字段的说明

选择证书是自签名，还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书，请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书，项目必须受保护，而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息，请参见“TIA Portal 中用户管理的基本知识”。

证书持有者

在默认设置中，通常包括项目名称和“\OPCUA-1”。在本示例中，项目名称为“PLC1”。在 CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项目名称。保留默认设置，或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。

签名

在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用：

- “sha1RSA”、

- “sha256RSA”。

生效日期

在此处输入服务器证书开始生效的日期和时间。

截止日期

在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在本示例中，证书的有效期为 30 年。不过，出于安全方面的考虑，应该以更短的时间间隔更新证书。如果有效期较长，您便**会决定何时为对系统执行保养等作业的合适时机。

用途

默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中，可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如，如果在 CPU 的 Web 服务器中调用此对话框，则需在“使用”(Usage) 下输入“Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目：

- “OPC UA 客户端”(OPC UA client)

- “OPC UA 客户端和服务器”(OPC UA client & server)

- “OPC UA 服务器”(OPC UA server)

- “TLS”

- “Web 服务器”(Web server)

主题备用名称 (SAN)

在上述示例中输入以下内容：“URI:urn:SIMATIC.S7-1500.OPC-UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI，因为将根据所传达的应用程序描述对其进行检查。

以下条目也将有效：“IP：192.168.178.151，IP：192.168.1.1”。注意，在此处输入可用于访问 CPU 的 OPC UA 服务器的 IP 地址。

请参见“访问 OPC UA 服务器”。

借此，OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接，或验证实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。

13681875601

词条
词条说明
创建并分配用户特定的 IP 规则集
创建并分配用户特定的 IP 规则集创建用户特定的 IP 规则集在全局安全功能中，选择条目“防火墙 > 用户特定的 IP 规则集 > IP 规则集”(Firewall > User-specific IP rule sets > IP rule sets)。双击“添加新的 IP 规则集”(Add new IP rule set) 条目创建用户特定的 IP 规则集。结果：创建的
为什么会收到"Project data not available"这个消息?
有缺陷的.mcp文件（项目名称.mcp)可能导致无法访问项目数据。可以通过替换.mcp文件来解决。mcp文件位于项目目录中。原因一个可能的原因是.mcp文件有缺陷。解决办法替换项目中的.mcp文件。
西门子smart200通过modbusRTU与**值编码器通信
硬件准备1、西门子plc（smart200）2、**值编码器3、装有STEP7-MicroWIN SMART软件的电脑4、网线1、进入编程软件2、首先需要选好PLC型号3、接下来编程插入指令：4、给MODBUS指令分配库寄存器5、编译、下载，可以在状态图表里监控VD200数据PLC读到的编码器数据存放在VD200里注：这里的编码器值是长度值还是角度值需要可以通过easyPro软件来设定如果是角度值
复制连接
复制连接简介连接不会被单独复制，而是始终与项目或设备一起复制。您可以复制：整个项目在项目内或项目间复制一个或多个设备复制项目复制项目时，同时还会复制所有已组态连接。由于连接保持一致，因而不要求对已复制的连接进行任何设置。复制设备如果复制已组态了连接的设备（HMI 设备），相应的连接也将被复制。要完成连接路径，仍必须先完成联网。带 V.10 固件的 S7-1200 CPU 只是用于连接的服务器，其自