使用 STEP 7 生成服务器证书

时间：2021-07-29

使用 STEP 7 生成服务器证书

在下文中，将介绍使用 STEP 7 生成新证书的操作过程，以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域，设置应用目标。在本示例中，为“OPC UA 客户端和服务器”(OPC UA Client & Server)。

建议：要使用 OPC UA 服务器的所有安全功能，则需使用全局安全设置。

在 CPU 特性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。

用户自定义的服务器证书

如果您激活 S7-1500 的 OPC UA 服务器，则 STEP 7 会自动为该服务器生成证书（请参见“激活 OPC UA 服务器”）。在该过程中，STEP 7 使用证书参数的默认值。如果要更改参数，请按照以下步骤进行操作：

单击 CPU 属性中“常规 > OPC UA > 服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server > Security > Secure channel > Server certificate) 下的“浏览”(Browse) 按钮。随即会显示一个对话框，用于显示局部可用的证书。

单击“添加”(Add) 按钮。

将显示用于生成新证书的对话框（如下图所示）。已输入示例的值：

必要时，可根据公司或客户的安全规范使用其它参数。

用于生成证书的字段的说明

选择证书是自签名，还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书，请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书，项目必须受保护，而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息，请参见“TIA Portal 中用户管理的基本知识”。

证书持有者

在默认设置中，通常包括项目名称和“\OPCUA-1”。在本示例中，项目名称为“PLC1”。在 CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项目名称。保留默认设置，或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。

签名

在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用：

- “sha1RSA”、

- “sha256RSA”。

生效日期

在此处输入服务器证书开始生效的日期和时间。

截止日期

在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在本示例中，证书的有效期为 30 年。不过，出于安全方面的考虑，应该以更短的时间间隔更新证书。如果有效期较长，您便**会决定何时为对系统执行保养等作业的合适时机。

用途

默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中，可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如，如果在 CPU 的 Web 服务器中调用此对话框，则需在“使用”(Usage) 下输入“Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目：

- “OPC UA 客户端”(OPC UA client)

- “OPC UA 客户端和服务器”(OPC UA client & server)

- “OPC UA 服务器”(OPC UA server)

- “TLS”

- “Web 服务器”(Web server)

主题备用名称 (SAN)

在上述示例中输入以下内容：“URI:urn:SIMATIC.S7-1500.OPC-UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI，因为将根据所传达的应用程序描述对其进行检查。

以下条目也将有效：“IP：192.168.178.151，IP：192.168.1.1”。注意，在此处输入可用于访问 CPU 的 OPC UA 服务器的 IP 地址。

请参见“访问 OPC UA 服务器”。

借此，OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接，或验证实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。

13681875601

词条
词条说明
ARP/邻居表 ARP 表
ARP 表提示只有与设备存在在线连接时才显示该页面。MAC 地址和 IP 地址的分配使用地址解析协议 (ARP) 时，MAC 地址到 IPv4 地址的分配具有一性。该分配情况由各网络节点记录在自己的 ARP 表中。此页面显示设备的 ARP 表。显示值说明该表格包括以下列：接口 (Interface)显示获取行条目所用的接口。MAC 地址 (MAC Address)显示目标设备或源设备的 MAC
日时钟功能的基本原理
日时钟功能的基本原理所有 S7-300/400 CPU 都配有一个实时时钟或软件时钟。在自动化系统中，时钟可充当日时钟主站和带外部同步的从站。这样就可以使用日时钟中断和运行时间定时器。日时钟格式该时钟显示的日时钟较小精度值始终为 1 秒且日期包含星期。某些 CPU 还可显示毫秒。
更改 CPU 的属性
更改 CPU 的属性每个硬件组件（模块、接口或接口模块）都有预选的属性，例如，对于模拟量输入模块预选了测量类型和量程。CPU 的属性CPU 的属性对系统操作有特殊意义。例如，对于 CPU 可设置：启动特性本地数据存储区中断**级存储区磁性锁存时钟存储器保护等级密码可输入的条目用于*哪些设置可以调整以及相应的值范围。不能编辑的字段会在在属性窗口中禁用或不显示。例如，通过接口属性可以对集成的 M
显示 TIA Portal 与 Teamcenter 间连接状态的符号
显示 TIA Portal 与 Teamcenter 间连接状态的符号显示连接状态下表中列出了用于显示 TIA Portal 与 Teamcenter 间连接状态的符号符号说明该符号用于指示 TIA Portal 与 Teamcenter 之间存在一条连接。该符号用于指示 TIA Portal 与 Teamcenter 之间无连接。该符号表示 Teamcente