使用 STEP 7 生成服务器证书

时间：2021-07-29

使用 STEP 7 生成服务器证书

在下文中，将介绍使用 STEP 7 生成新证书的操作过程，以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域，设置应用目标。在本示例中，为“OPC UA 客户端和服务器”(OPC UA Client & Server)。

建议：要使用 OPC UA 服务器的所有安全功能，则需使用全局安全设置。

在 CPU 特性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。

用户自定义的服务器证书

如果您激活 S7-1500 的 OPC UA 服务器，则 STEP 7 会自动为该服务器生成证书（请参见“激活 OPC UA 服务器”）。在该过程中，STEP 7 使用证书参数的默认值。如果要更改参数，请按照以下步骤进行操作：

单击 CPU 属性中“常规 > OPC UA > 服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server > Security > Secure channel > Server certificate) 下的“浏览”(Browse) 按钮。随即会显示一个对话框，用于显示局部可用的证书。

单击“添加”(Add) 按钮。

将显示用于生成新证书的对话框（如下图所示）。已输入示例的值：

必要时，可根据公司或客户的安全规范使用其它参数。

用于生成证书的字段的说明

选择证书是自签名，还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书，请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书，项目必须受保护，而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息，请参见“TIA Portal 中用户管理的基本知识”。

证书持有者

在默认设置中，通常包括项目名称和“\OPCUA-1”。在本示例中，项目名称为“PLC1”。在 CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项目名称。保留默认设置，或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。

签名

在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用：

- “sha1RSA”、

- “sha256RSA”。

生效日期

在此处输入服务器证书开始生效的日期和时间。

截止日期

在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在本示例中，证书的有效期为 30 年。不过，出于安全方面的考虑，应该以更短的时间间隔更新证书。如果有效期较长，您便**会决定何时为对系统执行保养等作业的合适时机。

用途

默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中，可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如，如果在 CPU 的 Web 服务器中调用此对话框，则需在“使用”(Usage) 下输入“Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目：

- “OPC UA 客户端”(OPC UA client)

- “OPC UA 客户端和服务器”(OPC UA client & server)

- “OPC UA 服务器”(OPC UA server)

- “TLS”

- “Web 服务器”(Web server)

主题备用名称 (SAN)

在上述示例中输入以下内容：“URI:urn:SIMATIC.S7-1500.OPC-UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI，因为将根据所传达的应用程序描述对其进行检查。

以下条目也将有效：“IP：192.168.178.151，IP：192.168.1.1”。注意，在此处输入可用于访问 CPU 的 OPC UA 服务器的 IP 地址。

请参见“访问 OPC UA 服务器”。

借此，OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接，或验证实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。

13681875601

词条
词条说明
编译和加载移植项目 (WinCC flexible)
编译和加载移植项目 (WinCC flexible)编译已移植的项目成功移植 WinCC flexible 项目后，首先需要进行重新编译，然后再加载到 HMI 设备中。在移植前，只有当项目编译无错误，那么在移植后才能成功地进行编译。如果编译移植项目过程中出现错误，则必须将其消除。编译成功完成后，将项目加载到 HMI 设备。下载到 HMI 设备的设置HMI 设备的装载设置未包括在移植中。移植项目后，
通过块调用使用寄存器或状态字传递值
通过块调用使用寄存器或状态字传递值移植通过块调用以寄存器或状态字进行值传递在块发生更改时，寄存器、累加器和状态字中的值将置位为“0”或者将状态设定为“未定义”(undefined)。这意味着不能传递到被调用块中。仅“CC”和“UC”指令除外。如果使用“UC”或“CC”指令并希望通过寄存器、状态字或累加器将参数传送到被调用块中，则必须在被调用块的属性中选择“通过寄存器传送参数”(Paramete
Modbus 编程概述
Modbus 编程概述Modbus 通信的程序调用 - 顺序下图所示是用户程序和 Modbus 设备之间通信的 Modbus 指令的功能。（下游需要使用指令 Send_P2P、Receive_P2P 和 Config 指令）。Modbus 指令应用指令说明在用户程序和 Modbus 设备之间进行数据交换（通信）Modbus_MasterModbus_Master 指令允许通过 PtP 端口作为 M
组态安全功能本地用户
本地用户提示只有与设备存在在线连接时才显示该页面。本地用户在此页面上，创建具有相应权限的本地用户。创建或删除本地用户后，会在“外部用户帐户”表中自动进行此更改。如要通过更直接的方式在内部或外部用户表中进行更改，可使用 CLI 命令。提示显示的值取决于已登录用户的权限。显示框说明用户帐户 (User Account)输入用户的名称。该名称必须满足以下条件：- 名称必须一。- 名