STEP 7 V14（及更高版本）连同 S7-1500-CPU（固件版本为 2.0 及更高版本）支持 Internet PKI (RFC 5280)的范围为，确保 S7-1500 CPU 能够与同样支持 Internet PKI 的设备进行通信。

例如，会因此而使用 X.509 证书来验证前文介绍的证书。

STEP 7 V14 及更高版本采用的 PKI 与 Internet PKI 类似。例如，证书吊销列表 (CRL) 不受支持。

创建或分配证书

对于具有安全属性的设备（例如，固件版本为 V2.0 或更高版本的 S7-1500 CPU），可以在 STEP 7 中针对不同的应用创建相应的证书。

在 CPU 巡视窗口的以下区域内，可创建新的证书或选择现有的证书：

“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)- 用于生成或分配所有类型的证书。对于安全的开放式用户通信，创建证书所使用的默认设置为 TLS 证书。

“Web 服务器 > 安全”(Web server > Security) - 用于生成和分配 Web 服务器证书。

“OPC UA > 服务器 > 安全”(OPC UA > Server > Security)- 用于生成或分配 OPC UA 证书

“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 区域的特性

只有在巡视窗口的该区域，才能在全局（即，项目级）证书管理器和局部（即，设备特定的）证书管理器之间进行切换（选项“使用证书管理器的全局安全设置”(Use global security settings for certificate manager)）。该选项确定了您是否有权访问项目中的所有证书。

如果在全局安全设置中未使用证书管理器，则只能访问 CPU 的局部证书存储器。例如，您无权访问导入的证书或根证书。如果没有这些证书，则可用的功能有限。例如，您只能创建自签名的证书。

如果在全局安全设置中未使用证书管理器并以管理员身份登录，则有权访问全局（项目级）证书存储器。例如，您可以向 CPU 分配导入的证书，也可以创建项目 CA（项目的证书颁发机构）签发并且签名的证书。

下图显示了在激活 CPU 巡视窗中的“使用证书管理器的全局安全设置”(Use global security settings for certificate manager) 选项后“全局安全设置”(Global security settings) 在项目树中如何显示。

如果您双击项目树中全局安全设置下的“用户登录”(User login) 并进行登录，则还会显示“证书管理器”(Certificate manager) 行。

双击“证书管理器”(Certificate manager) 行，您便有权访问项目中的所有证书，这些证书分别列入选项卡“CA”（证书颁发机构）、“设备证书”(Device certificates) 以及“受信证书和根证书颁发机构”(Trusted certificates and root certification authorities)。

私钥

STEP 7 在生成设备证书或服务器证书（较终实体证书）时会生成私钥。根据是否在全局安全设置使用证书管理器，可确定以加密形式存储私钥的位置：

如果使用全局安全设置，则私钥将以加密形式存储在全局（项目级）证书存储器中。

如果未使用全局安全设置，则私钥将以加密形式在局部（CPU 特定的）证书存储器中。

解密数据等操作所需的私钥显示在全局安全设置中证书管理器的“设备证书”(Device certificates) 选项卡的“私钥”(Private key) 列。

下载硬件配置时，会将设备证书、公钥和私钥下载至 CPU。