简介

借助 CPU 特定的局部证书管理器，无须访问全局安全证书管理器即可使用 OPC UA 服务器和 Web 服务器的证书。

局部证书管理器的功能

与全局证书管理器相比，CPU 特定的局部证书管理器仅具备受限功能。通过局部证书管理器，您只能生成、分配、导出或删除证书。

CPU 特定的局部证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理器”(Protection & Security > Certificate manager) 下。

用于激活全局证书管理器的选项

设备证书表：显示和管理您使用的证书，例如，对于安全 OUC（TLS 服务器/TLS 客户端），为设备的 Web 服务器和 OPC UA 服务器的相关证书。

伙伴设备的证书表：显示已分配为受信用户或客户端的证书。

设备证书

设备证书对于设备及其相关组件有效。例如，此处显示的证书还是为 Web 服务器或为 OPC UA 创建的证书。同样，可以在此处创建带有 Web 服务器或 OPC UA 的设置的证书，但必须在相应的位置使用此类证书。

创建新证书时，会在设备的相应对话框中输入以下值作为默认值：

证书持有者：<CPU 名称>/TLS。字符集受限，因而可满足 ASN.1 的相关规范要求。

签名类型：sha256RSA 或 sha1RSA，具体取决于所使用的安全策略。

有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。

用途：TLS。填写适合 OPC UA 的 X.509 V3 标准证书的扩展项“KeyUsage”和“ExtendedKeyUsage”。

证书持有者的备用名称 (SAN)：所用接口的 IP 地址。

可使用您自己的值覆盖默认值。

伙伴设备的证书

对于伙伴设备的证书，可选择局部证书管理器的设备证书。无须相应的密钥即可使用设备证书。此外，还可以选择其它 CPU 或 CP 的证书，从而在项目中实现安全通信。其它 CPU 或 CP 的证书无须使用私钥即可加载至该 CPU 中。对于可通过全局证书管理器获取的证书链，属于 CPU 或 CP 的证书链仍未中断，相应的证书颁发机构和中间证书仍会分配给 CPU 或 CP。

删除伙伴设备证书表中的证书时，只会删除证书与全局证书管理器的链接。因此，该证书对设备不再可用，但仍保存在全局证书管理器中。需要时，如果从全局证书管理器中将该证书选作新证书，则它会再次用于设备。如果要针对整个项目删除证书，则需要在全局证书管理器的快捷菜单中执行该操作。