使用 STEP 7 生成服务器证书

在下文中，将介绍使用 STEP 7 生成新证书的操作过程，以及各种证书的不同应用方式。STEP 7 将基于启动以下对话框时的 CPU 属性区域，设置应用目标。在本示例中，为“OPC UA 客户端和服务器”(OPC UA Client & Server)。

建议：要使用 OPC UA 服务器的所有安全功能，则需使用全局安全设置。

在 CPU 特性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下启用全局安全设置。

用户自定义的服务器证书

如果您激活 S7-1500 的 OPC UA 服务器，则 STEP 7 会自动为该服务器生成证书（请参见“激活 OPC UA 服务器”）。在该过程中，STEP 7 使用证书参数的默认值。如果要更改参数，请按照以下步骤进行操作：

单击 CPU 属性中“常规 > OPC UA > 服务器 > 安全 > 安全通道 > 服务器证书”(General > OPC UA > Server > Security > Secure channel > Server certificate) 下的“浏览”(Browse) 按钮。随即会显示一个对话框，用于显示局部可用的证书。

单击“添加”(Add) 按钮。

将显示用于生成新证书的对话框（如下图所示）。已输入示例的值：




必要时，可根据公司或客户的安全规范使用其它参数。

用于生成证书的字段的说明

CA

选择证书是自签名，还是由 TIA Portal 的一个 CA 证书进行签名。有关这些证书，请参见“带 OPC UA 的证书”部分。如果要生成由 TIA-Portal 的一个 CA 证书签名的证书，项目必须受保护，而且您必须以具有全部所需功能权限的用户身份登录。更多相关信息，请参见“TIA Portal 中用户管理的基本知识”。

证书持有者

在默认设置中，通常包括项目名称和“\OPCUA-1”。在本示例中，项目名称为“PLC1”。在 CPU 属性的“常规 > 项目信息 > 名称”("General > Project information > Name) 下设置项目名称。保留默认设置，或者在“证书持有者”(Certificate holder) 下为 OPC-UA 服务器输入其它更有意义的名称。

签名

在此处选择对服务器证书进行签名时要使用的哈希和加密过程。下列条目可用：

- “sha1RSA”、

- “sha256RSA”。

生效日期

在此处输入服务器证书开始生效的日期和时间。

截止日期

在此处输入服务器证书有效终止的日期和时间。确保证书的有效期不仅为一年或几年。在本示例中，证书的有效期为 30 年。不过，出于安全方面的考虑，应该以更短的时间间隔更新证书。如果有效期较长，您便**会决定何时为对系统执行保养等作业的合适时机。

用途

默认设置为“OPC UA 客户端和服务器”(OPC UA client & server)。保留 OPC UA 服务器的默认设置。在 STEP 7 中，可从多个位置调用“创建新证书”(Create a new certificate) 对话框。例如，如果在 CPU 的 Web 服务器中调用此对话框，则需在“使用”(Usage) 下输入“Web 服务器”(Web server)。“用途”(Usage) 下拉列表中包含以下条目：

- “OPC UA 客户端”(OPC UA client)

- “OPC UA 客户端和服务器”(OPC UA client & server)

- “OPC UA 服务器”(OPC UA server)

- “TLS”

- “Web 服务器”(Web server)

主题备用名称 (SAN)

在上述示例中输入以下内容：“URI:urn:SIMATIC.S7-1500.OPC-UAServer:PLC1,IP:192.168.178.151,IP:192.168.1.1”。必须正确输入此 URI，因为将根据所传达的应用程序描述对其进行检查。

以下条目也将有效：“IP：192.168.178.151，IP：192.168.1.1”。注意，在此处输入可用于访问 CPU 的 OPC UA 服务器的 IP 地址。

请参见“访问 OPC UA 服务器”。

借此，OPC UA 客户端可验证是否要与 S7-1500 的 OPC UA 服务器真正建立连接，或验证实际上是否攻击者在尝试将另一台 PC 的篡改值发送至 OPC UA 客户端。