西門子PLC模塊CPU224XP型號214-2BD23-0XB8

使用 TIA Portal 的證書生成器

如果使用的 OPC UA 客戶端未生成客戶端證書，可通過 STEP 7 創(chuàng)建自簽名證書。

為此，請執(zhí)行以下操作步驟：

1. 在 CPU 特性中，雙擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificatemanager) 下的“<新增>”(<Add new>)，

2. 單擊“添加”(Add)。

3. 在“創(chuàng)建新證書”(Create a new certificate) 對話框中，為“使用(Usage) 選擇“OPC UA客戶端”(OPC UA client) 選項(xiàng)。

4. 單擊“確定”(OK)。

在“主題備用名稱”(Subject Alternative Name) 字段中，STEP 7 將自動(dòng)輸入所生成證書的

URI。在使用 OPC 基金會(huì)的  堆棧生成程序特定的證書時(shí)，將調(diào)用該字段（如

“ApplicationUri”）。在其它證書生成工具中，該基金會(huì)的名稱可能不同。

用戶自己生成 PKI 密鑰對和證書

只有在使用無法自行創(chuàng)建 PKI 密鑰對和客戶端證書的 OPC UA 客戶端時(shí)，才會(huì)涉及此部

分內(nèi)容。此時(shí)，可通過 OpenSSL 生成一個(gè)私鑰和一個(gè)公鑰，生成一個(gè) X.509 證書，并對

該證書進(jìn)行簽名。西門子PLC模塊CPU224XP型號214-2BD23-0XB8

使用 OpenSSL

OpenSSL 屬于傳輸層安全工具，可用來創(chuàng)建證書。您還可以使用其它工具，例如 XCA，

一款密鑰管理軟件，該軟件具有圖形用戶界面，改進(jìn)了已頒發(fā)證書的總覽功能。

要在 Windows 系統(tǒng)中使用 OpenSSL，請按以下步驟操作：

1. 在 OpenSSL 系統(tǒng)中，安裝 Windows。如果操作系統(tǒng)為 64 位，則 OpenSSL 將安裝在

“C:OpenSSL-Win64”目錄中。OpenSSL-Win64 作為開源軟件，可從不同的軟件提供

商處下載。

2. 創(chuàng)建一個(gè)目錄，如“C:demo”。

3. 打開命令提示符。為此，單擊“Start”，并在搜索欄中輸入“cmd”或“command prompt”。

右鍵單擊結(jié)果列表中的“cmd.exe”，并以管理員身份運(yùn)行該程序。Windows 將打開命令

提示符。

4. 切換到“C:demo”目錄。為此，可輸入以下命令：“cd C:demo”。

5. 設(shè)置以下網(wǎng)絡(luò)變量：

– set RANDFILE=c:demo.rnd

– set OPENSSL_CONF=C:OpenSSL-Win64binopenssl.cfg

下圖顯示了包含以下命令的命令行窗口：

6. 現(xiàn)在，啟動(dòng) OpenSSL。如果 OpenSSL 已安裝在 C:OpenSSL-Win64 目錄中，則可

輸入：C:OpenSSL-Win64binopenssl.exe。下圖顯示的命令行窗口中包含以下命

令：

7. 生成私鑰。將密鑰保存到“myKey.key”文件。在本示例中，密鑰的長度為 1024 位；為

了實(shí)現(xiàn)更高的 RSA 安全性，實(shí)際長度采用 2048 位。輸入以下命令：“genrsa -out

myKey.key 2048”（在本示例中為“genrsa -out myKey.key 1024”）。下圖顯示了包含

該命令的命令行以及 OpenSSL 輸出結(jié)果：

8. 生成一個(gè) CSR (Certificate Signing Request)。為此，可輸入以下命令：“req -new -

key myKey.key -out myRequest.csr”。在該命令的執(zhí)行過程中，OpenSSL 將查詢有關(guān)

證書的信息：

– 國家/地區(qū)名稱：如，“DE”為德國，“FR”為法國

– 州或省名稱：例如“Bavaria”。

– 位置名稱：如，“Augsburg”

– 機(jī)構(gòu)名稱：輸入公司的名稱。

– 機(jī)構(gòu)單位名稱：如，“IT”

– 公共名稱：如，“OPC UA client of machine A”

– 電子郵件地址：