SIEMENS西门子 软起动器 3RW44253BC44

          用于生成证书的字段的说明• CA选择证书是自签名，还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书，请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书，项目必须受保护，而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息，请参见“TIA Portal 中用户管理的基本知识”。• 证书持有者在默认设置中，通常包括项目名称和“\OPCUA-1”。在本示例中，项目名称为“PLC1”。在CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项目名称。保留默认设置，或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。• 签名在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用：– “sha1RSA”、– “sha256RSA”。• 生效日期在此处输入服务器证书开始生效的日期和时间。• 截止日期在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在本示例中，证书的有效期为 30 年。不过，出于安全方面的考虑，应该以更短的时间间隔更新证书。如果有效期较长，您便有机会决定何时为对系统执行保养等作业的合适时机。• 用途默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中，可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如，如果在 CPU 的 Web 服务器中调用此对话框，则需在“使用”(Usage) 下输入“Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目：– “OPC UA 客户端”(OPC UA client)– “OPC UA 客户端和服务器”(OPC UA client & server)– “OPC UA 服务器”(OPC UA server)– “TLS”– “Web 服务器”(Web server)• 主题备用名称 (SAN)在上述示例中输入以下内容：“URI:urn:SIMATIC.S7-1500.OPC-UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI，因为将根据所传达的应用程序描述对其进行检查。以下条目也将有效：“IP：192.168.178.151，IP：192.168.1.1”。注意，在此处输入可用于访问 CPU 的 OPC UA 服务器的 IP 地址。请参见“访问 OPC UA 服务器 (页 200)”。借此，OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接，或验证实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。211OPC UA 通信11.3 将 S7-1500 用作 OPC UA 服务器通信功能手册, 11/2023, A5E03735819-AL11.3.3.7 用户认证用户认证方式对于 S7-1500 的 OPC UA 服务器，可设置 OPC UA 客户端中用户访问服务器时需通过的认证。可通过以下几种方式：• 访客认证用户无需证明其身份（匿名访问）。OPC UA 服务器不会检查客户端用户的授权。对于固件版本不超过 V3.0 的 CPU：如需使用这种认证方式，则可在“OPC UA > 服务器 > 安全 > 用户认证”(OPC UA > Server > Security > User authentication) 中选择“启用访客认证”(Enable guest authentication) 选项。对于固件版本为 V3.1 及以上版本的 CPU：使用本地用户管理通过“匿名”用户执行访客身份验证。说明为增加安全性，应只允许访问支持用户认证的 OPC UA 服务器。• 用户名和密码认证用户必须证明其身份（非匿名访问）。OPC UA 服务器将检查客户端用户是否具备访问服务器的权限。通过用户名和正确的密码进行身份验证。对于固件版本不超过 V3.0 的 CPU：如果要使用此类型的用户身份验证，请按以下步骤进行操作：– 在“OPC UA > 服务器 > 安全 > 用户身份验证”(OPC UA > Server > Security > Userauthentication) 中选择“启用用户名和密码身份验证”(Enable user name and passwordauthentication) 选项。– 取消激活访客认证。– 在“用户管理”(User management) 表中输入用户。此时，可单击条目“<新增用户>”(<Add new user>)。系统将会创建一个新的用户并自动命名。用户可对该用户名进行编辑并输入密码。Zui多可添加 21 个用户。• 通过项目的安全设置进行额外的用户管理对于固件版本高达 V3.0 的 CPU，“通过项目安全设置，启用附加用户管理”(Enableadditional user management via project security settings) 选项可用。可以在以下常规 OPCUA 设置下找到此设置：（CPU 属性：“OPC UA > 常规”(OPC UA > General)）下。如果选择此选项，打开项目的用户管理也会用于对 OPC UA 服务器进行用户认证：随后，当前项目中的相同用户名和密码同样在 OPC UA 中生效。要激活项目的用户管理，请按以下步骤操作：– 在项目树中单击“安全设置 > 设置”(Security settings > Settings)。– 单击“保护此项目”(Protect this project) 按钮。– 输入用户名和密码。– 在“安全设置 > 用户和角色”(Security settings > Users and roles) 下输入其它用户。如果组态项目中的其它 OPC UA 服务器，还应选择“通过项目的安全设置启用额外用户管理”(Enable additional user administration via the security settings of the project) 选项。随后不需要重复输入用户名和密码。通过安全通道传送用户身份验证数据在 OPC UA 中，用户身份验证的标识数据（如，用户名和密码）使用单独的安全策略进行传输。该安全策略称为“UserTokenPolicy”策略。212通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.3 将 S7-1500 用作 OPC UA 服务器如果需要进行用户身份验证，则 OPC UA 客户端将在连接的建立过程中选择一个合适的“UserTokenPolicy”，而与安全通道所组态的安全策略无关。此 UserTokenPolicy 可确保UserIdentityToken（如，用户名和密码）始终以适当的安全设置进行传输。如果安全通道根据所组态的安全策略采用“无安全设置”，则 OPC UA 客户端之后可通过加密方式传送用户名和密码。有关 OPC UA 中建立安全连接的过程信息，请参见“消息的安全传送 (页163)”。11.3.3.8 具有 OPC UA 功能权限的用户和角色用户认证的以下选项使用集中项目设置（针对项目用户）：• 针对服务器：用于组态 CPU 特性（“OPC UA > 服务器 > 安全 > 用户认证”(OPC UA > Server > Security >User authentication)）。选项：“通过项目的安全设置启用额外用户管理”(Enable additionaluser administration via the security settings of the project)• 针对客户端：用于组态客户端接口（“安全”(Security) 下的“组态”(Configuration) 选项卡）。选项：“用户（TIA Portal - 安全设置）”(User (TIA Portal - security settings))要求在编辑安全设置之前，项目必须受保护，且您必须以具有足够权限的身份（例如作为管理员）登录。项目树中“安全设置”下的设置在项目树的“安全设置”(Security setting) 下访问受保护项目中的集中用户设置和角色。在这里集中定义包含用户名、密码和功能权限的用户。可以在其它位置直接使用这些设置。图 11-30  设置用户和角色重用集中安全设置在其它位置进行重用的示例：• 针对 OPC UA 服务器用户管理的用户选择借助此设置，可以通知服务器具有哪个用户名和哪个密码的哪个客户端（用户）可以访问服务器。• 针对 OPC UA 客户端认证的用户选择借助此设置，可以通知客户端用于服务器客户端认证的用户名和密码。客户端和服务器的设置必须对应：客户端登录所使用的用户名和密码必须已在服务器上设置，并被分配所需权限。213OPC UA 通信11.3 将 S7-1500 用作 OPC UA 服务器通信功能手册, 11/2023, A5E03735819-AL服务器和客户端的功能权限还必须为 S7-1500 CPU 上客户端功能的用户和服务器功能的用户启用相应的客户端或服务器功能权限。仅集中保存用户名和密码远远不够。以下为此类型权限使用的说明示例：1. 例如，在“安全设置 > 用户和角色”(Security settings > Users and roles) 下的“角色”(Roles) 选项卡中定义新角色（名称为“PLC-opcua-role-all-inclusive”）。提示：选项卡可能被信息窗口“尚未检查当前状态...”(The current status has not yet beenchecked...) 覆盖。在这种情况下，请先关闭信息窗口。2. 在“功能权限类别”(Function rights categories) 部分中，导航到运行系统权限，然后导航到CPU 功能权限，选择要设置其功能权限的 CPU。3. 可在“功能权限”(Function rights) 部分中找到以下功能权限：– OPC UA 服务器访问此功能权限适用于 S7-1500 CPU 的 OPC UA 服务器。只有选择此选项时，角色为“PLC-opcua-role-all-inclusive”的用户才可在运行时将证书、CRL 或受信任列表传送到CPU（推送功能）。自动化证书处理需要用到此功能权限，例如在 GDS（全球发现服务）上下文中。– 管理证书此功能权限适用于 S7-1500 CPU 的 OPC UA 服务器。只有启用此选项时，角色为“PLC-opcua-role-all-inclusive”的用户才可在运行时将证书、CRL 或受信任列表传送到CPU（推送功能）。自动化证书处理需要用到此功能权限，例如在 GDS（全球发现服务）上下文中。– OPC UA 客户端的用户认证此功能权限适用于 S7-1500 CPU 的 OPC UA 客户端（具有客户端指令）。只有选择此选项时，角色为“PLC-opcua-role-all-inclusive”的用户才能使用用户名和密码进行身份验证，以与服务器建立会话。图 11-31  设置功能权限4. 仍需将“PLC-opcua-role-all-inclusive”角色分配给相关用户（项目树中“安全设置”(Securitysettings) 下的“用户”(Users) 选项卡）。说明具有 OPC UA 功能权限用户的“运行系统超时时间”用户组态表中，“运行系统超时时间”(Runtime timeout) 列中的值（会话Zui长持续时间）不对 CPU 的 OPC UA 运行系统权限进行评估。因此，用户不会在特定时间过后就自动注销。为此使用 OPC UA 特有的机制，例如参数“Zui大会话超时”(Max. session timeout)（“OPC UA > 服务器 > 设置”(OPC UA > Server >Settings) 区域）。214通信功能手册, 11/2023, A5E03735819-ALOPC UA 通信11.3 将 S7-1500 用作 OPC UA 服务器11.3.3.9 服务器的诊断设置诊断可以在 CPU 设置中指定 OPC UA 服务器的诊断范围。要更改诊断范围，请导航至“OPC UA > 服务器 > 诊断”(OPC UA > Server > Diagnostics) 区域。图 11-32  OPC UA 服务器的诊断设置默认设置默认设置是一种诊断行为，这种行为支持Zui重要的诊断，而不会明显增加通信负载。当 OPC UA 服务器也使用订阅时（仅在调试阶段有必要使用）启用对订阅的诊断。原因：大量诊断活动会在 CPU 中产生较高的通信负载，并可能抑制其它重要消息。或者，诊断量过大可能导致重要消息在大量消息中消失或被忽略。更多信息有关上述设置的含义和作用的更多信息，请参见此处 (页 266)。