SIEMENS西门子 S-1FL2低惯量型电机 1FL2 104-4AG01-1SC0
用于生成证书的字段的说明 • CA 选择证书是自签名,还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书,请参见 “带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书,项目 必须受保护,而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息,请 参见“TIA Portal 中用户管理的基本知识”。 • 证书持有者 在默认设置中,通常包括项目名称和“\OPCUA-1”。在本示例中,项目名称为“PLC1”。在 CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项 目名称。保留默认设置,或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输 入其它更有意义的名称。
• 签名 在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用: – “sha1RSA”、 – “sha256RSA”。 • 生效日期 在此处输入服务器证书开始生效的日期和时间。 • 截止日期 在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在 本示例中,证书的有效期为 30 年。不过,出于安全方面的考虑,应该以更短的时间间隔 更新证书。如果有效期较长,您便有机会决定何时为对系统执行保养等作业的合适时机。 • 用途 默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默 认设置。在 STEP 7 中,可从多个位置调用“创建新证书”(Create a new certificate) 对话 框。例如,如果在 CPU 的 Web 服务器中调用此对话框,则需在“使用”(Usage) 下输入 “Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目: – “OPC UA 客户端”(OPC UA client) – “OPC UA 客户端和服务器”(OPC UA client & server) – “OPC UA 服务器”(OPC UA server) – “TLS” – “Web 服务器”(Web server) • 主题备用名称 (SAN) 在上述示例中输入以下内容:“URI:urn:SIMATIC.S7-1500.OPCUAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI,因为将根据 所传达的应用程序描述对其进行检查。 以下条目也将有效:“IP:192.168.178.151,IP:192.168.1.1”。注意,在此处输入可用 于访问 CPU 的 OPC UA 服务器的 IP 地址。 请参见“访问 OPC UA 服务器 (页 1862)”。 借此,OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接,或验证 实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。 用户认证 (S7-1500, S7-1500T) 用户认证方式 对于 S7-1500 的 OPC UA 服务器,可设置 OPC UA 客户端中用户访问服务器时需通过的认证。可通过以下几种方式: • 访客认证 用户无需证明其身份(匿名访问)。OPC UA 服务器不会检查客户端用户的授权。 对于固件版本不超过 V3.0 的 CPU:如需使用这种认证方式,则可在“OPC UA > 服务器 > 安 全 > 用户认证”(OPC UA > Server > Security > User authentication) 中选择“启用访客认 证”(Enable guest authentication) 选项。 对于固件版本为 V3.1 及以上版本的 CPU:使用本地用户管理,通过“匿名”(Anonymous) 用户实现访客身份验证。 请参见:用户和角色的设置 (页 1356) 说明 为增加安全性,应只允许访问支持用户认证的 OPC UA 服务器。 • 用户名和密码认证 用户必须证明其身份(非匿名访问)。OPC UA 服务器将检查客户端用户是否具备访问服 务器的权限,并通过用户名和正确的密码进行身份验证。 对于固件版本不超过 V3.0 的 CPU:如果要使用此类型的用户身份验证,请按以下步骤进 行操作: – 在“OPC UA > 服务器 > 安全 > 用户身份验证”(OPC UA > Server > Security > User authentication) 中选择“启用用户名和密码身份验证”(Enable user name and password authentication) 选项。 – 取消激活访客认证。 – 在“用户管理”(User management) 表中输入用户。 此时,可单击条目“<新增用户>”()。系统将会创建一个新的用户并自 动命名。用户可对该用户名进行编辑并输入密码。Zui多可添加 21 个用户。 对于固件版本为 V3.1 及以上版本的 CPU:使用本地用户管理。 • 通过项目的安全设置进行额外的用户管理 对于固件版本不超过 V3.0 的 CPU,使用“通过项目安全设置启用其它用户管理”(Enable additional user management via project security settings) 选项。可以在以下常规 OPC UA 设置下找到此设置:(CPU 属性:“OPC UA > 常规”(OPC UA > General))下。如果选择此 选项,打开项目的用户管理也会用于对 OPC UA 服务器进行用户认证:随后,当前项目 中的相同用户名和密码同样在 OPC UA 中生效。 要激活项目的用户管理,请按以下步骤操作: – 在项目树中单击“安全设置 > 设置”(Security settings > Settings)。 – 单击“保护此项目”(Protect this project) 按钮。 – 输入用户名和密码。 – 在“安全设置 > 用户和角色”(Security settings > Users and roles) 下输入其它用户。 如果在项目中另外组态一个 OPC UA 服务器并且这些用户也必须访问这个服务器,则还 应选择“通过项目的安全设置激活额外用户管理”(Activate additional user administration via the security settings of the project) 选项。随后不需要重复输入或在本地输入用户名 和密码。 通过安全通道传送用户身份验证数据 在 OPC UA 中,用户身份验证的标识数据(如,用户名和密码)使用单独的安全策略进行传 输。该安全策略称为“UserTokenPolicy”策略。 如果需要进行用户身份验证,则 OPC UA 客户端将在连接的建立过程中选择一个合适的 “UserTokenPolicy”,而与安全通道所组态的安全策略无关。此 UserTokenPolicy 可确保 UserIdentityToken(如,用户名和密码)始终以适当的安全设置进行传输。 如果安全通道根据所组态的安全策略设置为“无安全设置”,则 OPC UA 客户端之后可通过 加密方式传送用户名和密码。有关 OPC UA 中建立安全连接的过程信息,请参见“消息的安 全传送 (页 1764)”。
具有 OPC UA 功能权限的用户和角色 (S7-1500, S7-1500T) 项目用户进行用集中项目设置时,使用以下用户身份验证选项: • 服务器: 组态 CPU 特性(“OPC UA > 服务器 > 安全 > 用户认证”(OPC UA > Server > Security > User authentication))。选项:“通过项目的安全设置启用额外用户管理”(Enable additional user administration via the security settings of the project) • 客户端: 组态客户端接口(“安全”(Security) 选项卡,“组态”(Configuration))。选项:“用户 (TIA Portal - 安全设置)”(User (TIA Portal - security settings)) 要求 在编辑安全设置之前,项目必须受保护并且登录用户需具有足够权限(如,管理员)。项目树中“安全设置”下的设置 在项目树的“安全设置”(Security setting) 下访问受保护项目中的集中用户设置和角色。可在 这里集中定义用户及其用户名、密码和已分配角色。从而,角色也将得到分配,即,分配到 相应的功能权限。可以在其它位置直接使用这些设置。 重用集中安全设置 在其它位置进行重用的示例: • 针对 OPC UA 服务器用户管理的用户选择 借助此设置,可以通知服务器具有哪个用户名和哪个密码的哪个客户端(用户)可以访 问服务器。 • 针对 OPC UA 客户端认证的用户选择 借助此设置,可以通知客户端用于服务器客户端认证的用户名和密码。 客户端和服务器的设置必须对应:客户端登录所使用的用户名和密码必须已在服务器上设置, 并被分配所需权限。 服务器和客户端的功能权限 还必须为 S7-1500 CPU 上客户端功能的用户和服务器功能的用户启用相应的客户端或服务 器功能权限。仅集中保存用户名和密码远远不够。 以下为此类型权限使用的说明示例: 1. 例如,在“安全设置 > 用户和角色”(Security settings > Users and roles) 下的“角色”(Roles) 选 项卡中定义新角色(名称为“PLC-opcua-role-all-inclusive”)。 提示:选项卡可能被信息窗口(“尚未检查当前状态...”(The current status has not yet been checked...))覆盖。在这种情况下,请先关闭信息窗口。 2. 在“功能权限类别”(Function rights categories) 部分中,导航到运行系统权限,然后导航到 CPU 功能权限,在此标记相应的 CPU,以便将其功能权限分配到角色。
