SIEMENS西门子 S-1FL2低惯量型电机 1FL21044AG001SC0
安全通道 - 选择安全策略 (S7-1500, S7-1500T) 虽然 OPC UA 客户端和 OPC UA 服务器之间的数据交换在应用层通过 OPC UA 会话实现,但 由通信层及其“安全通道”提供数据的完整性和机密性保护。 对于 OPC UA 而言,安全策略汇总了端点的所有安全设置。安全策略以适当的名称指定一组 用于安全通道的安全算法和密钥长度。只有当 OPC UA 客户端和 OPC UA 服务器支持相同的 安全策略时,才能建立连接。 示例:“Basic256Sha256 - 签名和加密”表示:端点进行安全连接,支持一系列 256 位哈希 和 256 位加密算法。 安全策略源自安全规约,请参见 OPC UA 规范第 7 部分(规约)。为此,请执行以下操作步骤: 1. 在服务器的本地证书管理器中,选择“使用证书管理器的全局安全设置”(Use global security settings for certificate manager) 选项。这将激活全局证书管理器。 可以在用作服务器的 CPU 的特性“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下找到此选项。 如果项目未受保护,请在 STEP 7 的项目树中选择“安全设置 > 设置”(Security settings > Settings),然后单击“保护此项目”(Protect this project) 按钮并登录。 “全局安全设置”(Global security settings) 菜单项随即显示在 STEP 7 项目树的“安全设 置”(Security setting) 下。 2. 双击“全局安全设置”(Global security settings)。 3. 双击“证书管理器”(Certificate manager)。 STEP 7 将打开全局证书管理器。 4. 单击“受信任证书”(Trusted certificates) 选项卡。 5. 在此选项卡的空白区域(而非证书上)中,右键单击鼠标。 6. 选择快捷菜单中的“导入”(Import) 命令。 将显示用于导入证书的对话框。 7. 选择服务器信任的客户端证书。 8. 单击“打开”(Open),导入证书。 客户端证书现已包含在全局证书管理器中。 请留意刚刚导入的客户端证书 ID。 9. 单击用作服务器的 CPU 的特性中的“常规”(General) 选项卡。 10.单击“OPC UA > 服务器 > 安全 > 安全通道”(OPC UA > Server > Security > Secure Channel)。 11.在“安全通道”(Secure Channel) 对话框中向下滚动至“受信客户端”(Trusted clients) 部分。 12.双击表中空行的“<新增>”()。随即会在该行中显示浏览按钮。 13.单击该按钮。 14.选择已导入的客户端证书。 15.单击带有绿色复选标记的按钮。 16.编译项目。 17.将组态加载到 S7-1500 CPU。 结果: 服务器现已信任此客户端。如果还将服务器证书视为受信证书,则服务器和客户端之间可建 立安全连接。 自动接受客户端证书 如果选择选项“运行时自动接受所有客户端证书”(Automatically accept all client certificates during runtime)(位于“受信客户端”(Trusted clients) 列表下),则服务器会自动接受所有 客户端证书。 注意 调试后的设置 为了避免安全风险,在调试后,需再次取消选中“运行过程中自动接受客户端证 书”(Automatically accept client certificates during runtime) 选项。
组态服务器的安全设置 下图显示了适合对消息进行签名和加密的服务器安全设置。 默认情况下,服务器证书创建时使用 SHA256 签名。可使用以下安全策略: • 无 不安全端点 说明 禁用不需要的安全策略 如果在 S7-1500 OPC UA 服务器的安全通道设置中启用了所有安全策略(默认设置),即 采用端点“无”(None)(不安全),则服务器和客户端之间还可能存在非安全数据通信(既 未签名也未加密)。由于选择“不安全”(No security),客户端的身份仍然未知。无论后 续为哪种安全设置,每个 OPC UA 客户端随后都可以连接到服务器。 组态 OPC UA 服务器时,请确保只选择与设备或工厂的安全概念兼容的安全策略。应禁 用所有其它安全策略。 建议:如果可能,请使用“Basic256Sha256”设置。 • Basic128Rsa15 - 签名(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。 该端点通过签名确保数据的完整性。 • Basic128Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 128 位加密的算法。 该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Rsa15 - 签名(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。 该端点通过签名确保数据的完整性。• Basic256Rsa15 - 签名和加密(已弃用) 端点进行安全连接,支持一系列使用哈希算法 RSA15 和 256 位加密的算法。 该端点通过签名和加密确保数据的完整性和机密性。 • Basic256Sha256 - 签名 端点进行安全连接,支持一系列 256 位哈希和 256 位加密算法。 该端点通过签名确保数据的完整性。 • Basic256Sha256 - 签名和加密 安全端点,支持一系列 256 位哈希和 256 位加密算法。 该端点将通过签名与加密机制确保数据的完整性和保密性。 • Aes128_Sha256_RsaOaep - 签名 端点进行安全连接,支持一系列 128 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名确保数据的完整性。 对于一般的安全要求。需要 PKI 基础结构。 • Aes128_Sha256_RsaOaep - 签名和加密 端点进行安全连接,支持一系列 128 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 • Aes256_Sha256_RsaPss - 签名 端点进行安全连接,支持一系列 256 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名来保护数据的完整性。 对于较高的安全性要求。需要 PKI 基础结构。 • Aes256_Sha256_RsaPss - 签名和加密 端点进行安全连接,支持一系列 256 位加密和 256 位哈希算法。所有证书必须至少使用 Sha256 签名。该端点通过签名和加密来保护数据的完整性和机密性。 对于较高的安全性要求。需要 PKI 基础结构。 要启用安全设置,请单击相关行的复选框。 说明 如果设置为“Basic256Sha256 - 签名”(Basic256Sha256 -Sign) 和“Basic256Sha256 - 签名并加 密”(Basic256Sha256 -Sign & Encrypt),则 OPC UA 服务器和 OPC UA 客户端必须使用 “SHA256”签名的证书。 对于“Basic256Sha256-签名”(Basic256Sha256 -Sign) 和“Basic256Sha256-签名并加 密”(Basic256Sha256 -Sign & Encrypt) 设置,STEP 7 中的证书颁发机构将使用“SHA256”自动 对证书进行签名。
“不安全”安全策略和通过用户名和密码进行身份验证 可执行以下组合设置: “不安全”安全策略和通过用户名和密码进行身份验证 • S7-1500 的 OPC UA 服务器支持该组合设置。OPC UA 客户端可连接并加密认证数据,反 之亦然。 • S7-1500 CPU 的 OPC UA 客户端也支持该组合设置:但在运行时,仅当通过电缆发送加 密的认证数据时才能连接! 使用 STEP 7 生成服务器证书 (S7-1500, S7-1500T) 在下文中,将介绍使用 STEP 7 生成新证书的操作过程,以及各种证书的不同应用方式。 STEP 7 将基于启动以下对话框时的 CPU 属性区域,设置应用目标。在本示例中,为“OPC UA 客户端和服务器”(OPC UA Client & Server)。 建议:要使用 OPC UA 服务器的所有安全功能,则需使用全局安全设置。 在 CPU 特性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下 启用全局安全设置。 用户自定义的服务器证书 如果您激活 S7-1500 的 OPC UA 服务器,则 STEP 7 会自动为该服务器生成证书(请参见“激 活 OPC UA 服务器 (页 1860)”)。在该过程中,STEP 7 使用证书参数的默认值。如果要更改 参数,请按照以下步骤进行操作: 1. 单击 CPU 属性中“常规 > OPC UA > 服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server > Security > Secure channel > Server certificate) 下的“浏览”(Browse) 按钮。随 即会显示一个对话框,用于显示局部可用的证书。 2. 单击“添加”(Add) 按钮。
