西門子PLC模塊EM223型號6ES7223-1HF22-0XA8

S7-1500 的客戶端

如果使用 S7-1500 CPU 的 OPC UA 客戶端（已啟用 OPC UA 客戶端），可使用 STEP

7 V15 及更高版本為這些客戶端創(chuàng)建證書。

1. 在項目樹中，選擇將用作客戶端的 CPU。

2. 雙擊“設(shè)備組態(tài)”(Device configuration)。

3. 在該 CPU 的屬性中，單擊“保護和安全 > 證書管理器”(Protection & Security >

Certificate manager)。

4. 在“設(shè)備證書”(Device certificates) 表格中，雙擊“<新增>”(<Add new>)。

在 STEP 7 中，將打開一個對話框。

5. 單擊“添加”(Add) 按鈕

6. 從“使用”(Usage) 列表選擇“OPC UA 客戶端”(OPC UA client) 條目。

注：

必須在“主題備用名稱 (SAN)”(Subject Alternative Name (SAN)) 中輸入用于訪問系統(tǒng)

中 CPU 的 IP 地址。

因此，在生成客戶端證書之前，需要對 CPU 的 IP 接口進行組態(tài)。

7. 單擊“確定”(OK)。

此時，STEP 7 將在“設(shè)備證書”(Device certificates) 表格中顯示該客戶端證書。

8. 右鍵單擊該行，并在快捷菜單中選擇“導(dǎo)出證書”(Export certificate) 條目。

9. 選擇該客戶端證書的目標存儲目錄西門子PLC模塊EM223型號6ES7223-1HF22-0XA8

其它制造商的客戶端

如果使用來自制造商或 OPC 基金會的 UA 客戶端，則會在安裝期間或在*調(diào)用程序時

自動生成客戶端證書。需要在 STEP 7 中通過全局證書管理器導(dǎo)入這些證書，并將其用于

相應(yīng)的 CPU（如前文所示）。

用戶自己編程 OPC UA 客戶端時，可生成相應(yīng)的證書；請參見“客戶端的實例證書”部分。

也可通過工具生成證書（如，使用 OpenSSL 或 OPC 基金會的證書生成器）：

● 使用 OpenSSL 時的操作步驟：“用戶自己生成 PKI 密鑰對和證書”。

● 使用 OPC 基金會的證書生成器時：“創(chuàng)建自簽名的證書”。

如果在 S7-1500 OPC UA 服務(wù)器的安全通道設(shè)置中啟用了所有安全策略（默認設(shè)

置），即采用端點“無”(None)（不安全），則服務(wù)器和客戶端之間還可能存在非安全數(shù)

據(jù)通信（既未簽名也未加密）。由于選擇“不安全”(No security)，客戶端的身份仍然未

知。無論后續(xù)為哪種安全設(shè)置，每個 OPC UA 客戶端隨后都可以連接到服務(wù)器。

組態(tài) OPC UA 服務(wù)器時，請確保只選擇與您的設(shè)備或工廠的安全概念兼容的安全策

略。應(yīng)禁用所有其它安全策略。

“不安全”安全策略和通過用戶名和密碼進行身份驗證

可執(zhí)行以下組合設(shè)置：

“不安全”安全策略和通過用戶名和密碼進行身份驗證

● S7-1500 的 OPC UA 服務(wù)器支持該組合設(shè)置。OPC UA 客戶端可連接并加密認證數(shù)

據(jù)，反之亦然。

● S7-1500 CPU 的 OPC UA 客戶端也支持該組合設(shè)置：但在運行時，僅當通過電纜發(fā)

送加密的認證數(shù)據(jù)時才能連接！