西門子寬屏顯示6AV2124-0MC24-0AX0觸摸屏

證書主體（即，密鑰持有者）的詳細(xì)信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號(hào)和有效期等等
● 證書頒發(fā)機(jī)構(gòu) (CA) 的數(shù)字簽名，用于證實(shí)信息的正確性。
除此之外，還包含以下擴(kuò)展詳細(xì)：
over TLS)，以確保 Web 瀏覽器地址欄中的證書同樣屬于該 URL 所的 Web 服務(wù)
器。
如何生成并驗(yàn)證簽名
非對(duì)稱密鑰可用于證書的驗(yàn)證：在“MyCert"證書示例中，介紹了具體的“簽名"與“驗(yàn)證簽
名"過程。
生成簽名：

觸摸屏

技術(shù)數(shù)據(jù)

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機(jī)，西門子人機(jī)界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫存.長(zhǎng)期有效

1? S7-400、ET200，

1. “MyCert"證書的簽發(fā)者使用一個(gè)特定的哈希函數(shù)（例如，SHA-1，Secure Hash
Algorithm），根據(jù)證書數(shù)據(jù)生成一個(gè)哈希值。
該 HASH 值是一個(gè)長(zhǎng)度固定的位串。HASH 值長(zhǎng)度固定的優(yōu)勢(shì)在于，簽名的時(shí)間始終
相同。
2. 之后，證書的簽發(fā)者再使用由這種方式生成的 HASH 值和私鑰，生成一個(gè)數(shù)字簽名。
通常采用 RSA 簽名機(jī)制。
3. 數(shù)字簽名將保存在證書中。此時(shí)，證書已簽名。
通信服務(wù)
3.6 安全通信
通信
48 功能手冊(cè), 11/2019, A5E03735819-AH
驗(yàn)證一個(gè)簽名：
1. “MyCert"證書的認(rèn)證方將獲得簽發(fā)者簽發(fā)的證書和公鑰。
2. 使用簽名時(shí)所用的哈希算法（例如，SHA-1），根據(jù)證書數(shù)據(jù)生成一個(gè)新的哈希值。
3. ，再將由證書簽發(fā)者公鑰確定的 HASH 值與簽名算法進(jìn)行比較，對(duì)簽名進(jìn)行檢
查。
4. 如果簽名通過檢查，則表示證書主體的身份以及完整性（即，證書內(nèi)容的可靠性和真
實(shí)性）均通過驗(yàn)證。擁有該公鑰（即，證書頒發(fā)機(jī)構(gòu)的證書）的任何人均可對(duì)該簽名
進(jìn)行檢查，并確認(rèn)該證書確實(shí)由該證書頒發(fā)機(jī)構(gòu)簽發(fā)。
下圖顯示了 Alice 如何采用 Twent（代表證書頒發(fā)機(jī)構(gòu)，CA）證書中的公鑰，驗(yàn)證 Bob
的公鑰簽名。因此，在驗(yàn)證時(shí)僅需檢查證書頒發(fā)機(jī)構(gòu)所頒發(fā)證書的可用性。驗(yàn)證會(huì)在 TLS
會(huì)話中自動(dòng)執(zhí)行。
圖 3-10 使用證書頒發(fā)機(jī)構(gòu)的證書公鑰對(duì)證書進(jìn)行驗(yàn)證
簽名消息
在上文中介紹的簽名與驗(yàn)證機(jī)制，同樣使用 TLS 會(huì)話對(duì)消息進(jìn)行簽名和驗(yàn)證。
如果發(fā)送方基于一條消息生成一個(gè)哈希值并使用私鑰對(duì)該哈希值進(jìn)行簽名，之后將其添加
到原始消息中，則消息接收方即可對(duì)消息的完整性進(jìn)行檢查。接收方使用發(fā)送方的公鑰對(duì)
該 HASH 值進(jìn)行解密，并將其與所收到消息中的 HASH 進(jìn)行比較。如果這兩個(gè)值不同，
則表示該消息在傳送過程中被篡改。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 49
Root 證書的證書鏈
PKI 證書通常按層級(jí)進(jìn)行組織：層級(jí)頂部由根證書構(gòu)成。Root 證書并非由上一級(jí)證書頒
發(fā)機(jī)構(gòu)簽名。Root 證書的證書主體與證書的簽發(fā)者相同。根證書享受信任。它們構(gòu)
成了信任“點(diǎn)"，因此可作為接收方的可信證書。此類證書存儲(chǔ)在專門存儲(chǔ)受信證書的區(qū)
域。
基于該 PKI，Root 證書可用于對(duì)下級(jí)證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書（即，所謂的中間證書）
進(jìn)行簽名。從而實(shí)現(xiàn)從 Root 根證書到中間證書信任關(guān)系的傳遞。由于中間證書可對(duì)諸如
Root 證書之類的證書進(jìn)行簽名，因此這兩種證書均稱為“CA 證書"
這種證書簽名層級(jí)可通過多個(gè)中間證書進(jìn)行延伸，直至層的實(shí)體證書。實(shí)體證書
即為待識(shí)別用戶的證書。
驗(yàn)證過程則反向貫穿整個(gè)層級(jí)結(jié)構(gòu)：綜上所述，先通過簽發(fā)者的公鑰確定證書簽發(fā)者并對(duì)
其簽名進(jìn)行檢查，之后再沿著整條信任鏈確定上一級(jí)證書簽發(fā)者的證書，直至到達(dá)根證
書。
結(jié)論：無論組態(tài)何種安全通信類型，每臺(tái)設(shè)備中都必需包含一條到 Root 證書的中間證書
鏈（即證書路徑），對(duì)通信伙伴的層實(shí)體證書進(jìn)行驗(yàn)證。
3.6.4 使用 STEP 7 管理證書
STEP 7 V14 及更高版本與 S7-1500-CPU 固件版本 V2.0 及更高版本一同使用時(shí)，持
Internet PKI (RFC 5280)。因此 S7-1500 CPU 可與同樣支持 Internet PKI 的設(shè)備進(jìn)行數(shù)
據(jù)通信。
如，可使用 X.509 證書驗(yàn)證上文中所介紹的證書。
STEP 7 V14 及以上版本使用的 PKI 與 Internet PKI 相似。例如，證書吊銷列表 (CRL) 不
受支持。
通信服務(wù)
3.6 安全通信
通信
50 功能手冊(cè), 11/2019, A5E03735819-AH
創(chuàng)建或分配證書
對(duì)于具有安全特性的設(shè)備（如，S7-1500 CPU 固件版本 V2.0 及以上版本），可在 STEP
7 中根據(jù)不同應(yīng)用創(chuàng)建特定的證書。
在 CPU 窗口的以下區(qū)域內(nèi)，可創(chuàng)建新的證書或選擇現(xiàn)有的證書：
● “保護(hù)和安全 > 證書管理器"(Protection & Security > Certificate manager)- 用于生成和
分配所有類型的證書。生成證書時(shí)，將預(yù)設(shè)開放式用戶安全通信的 TLS 證書。
● “Web 服務(wù)器 > 安全"(Web server > Security) - 用于生成和分配 Web 服務(wù)器證書。
● “OPC UA > 服務(wù)器 > 安全"(OPC UA > Server > Security)- 用于生成和分配 OPC UA
證書。
圖 3-11 STEP 7 中 S7-1500 CPU 的安全設(shè)置
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 51
“ “ 保護(hù)與安全 > 證書管理器 "(Protection & Security > Certifica te manager) 區(qū)域的特性
在窗口中，只有該區(qū)域內(nèi)才能進(jìn)行全局（即，項(xiàng)目級(jí)）和局部（即，設(shè)備特定）證書
管理器切換（選項(xiàng)“使用證書管理器的全局安全設(shè)置"(Use global security settings for
certificate manager)）。該選項(xiàng)確定了您是否有權(quán)訪問項(xiàng)目中的所有證書。
● 如果在全局安全設(shè)置中 未使用證書管理器，則只能訪問 CPU 的局部證書存儲(chǔ)器。例
如，無法訪問所導(dǎo)入的證書或 Root 證書。如果沒有這些證書，則可用功能將受到限
制。例如，只能生成自簽名證書。
● 如果在全局安全設(shè)置中使用證書管理器并以管理員身份登錄，則有權(quán)訪問全局（項(xiàng)目
級(jí)）證書存儲(chǔ)器。例如，可為 CPU 分配所導(dǎo)入的證書，也可創(chuàng)建由項(xiàng)目 CA（項(xiàng)目的
證書頒發(fā)機(jī)構(gòu)）簽發(fā)與簽名的證書。
下圖顯示了在 CPU 的窗中激活“使用證書管理器的全局安全設(shè)置"(Use global security
settings for the certificate manager) 選項(xiàng)后，項(xiàng)目樹中的“全局安全設(shè)置"(Global security
settings) 顯示。
雙擊項(xiàng)目樹中全局安全設(shè)置下的“用戶登錄"(User login) 并進(jìn)行登錄時(shí)，則將顯示“證書管
理器"(Certificate manager) 行。
雙擊“證書管理器"(Certificate manager) 行，則可訪問項(xiàng)目中的所有證書。這些證書分別
位于選項(xiàng)卡“CA"（證書頒發(fā)機(jī)構(gòu)）、“設(shè)備證書"(Device certificates) 和“可信證書與 Root
證書頒發(fā)機(jī)構(gòu)"(Trusted certificates and root certificate authorities) 內(nèi)。
通信服務(wù)
3.6 安全通信

西門子寬屏顯示6AV2124-0MC24-0AX0觸摸屏

西門子寬屏顯示

6AV2124-0MC24-0AX0

觸摸屏

技術(shù)數(shù)據(jù)

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機(jī)，西門子人機(jī)界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫存.長(zhǎng)期有效
通信
52 功能手冊(cè), 11/2019, A5E03735819-AH
私鑰
生成設(shè)備證書和服務(wù)器證書（實(shí)體證書）時(shí)，STEP 7 將生成私鑰。私鑰的加密存儲(chǔ)
的位置，取決于證書管理器中是否使用全局安全設(shè)置：
● 如果使用全局安全設(shè)置，則私鑰將以加密形式存儲(chǔ)在全局（項(xiàng)目級(jí)）證書存儲(chǔ)器中。
● 如果未使用全局安全設(shè)置，則私鑰將以加密形式在局部（CPU 特定的）證書存儲(chǔ)器
中。
解密數(shù)據(jù)時(shí)所需的私鑰將顯示在全局安全設(shè)置中證書管理器中“設(shè)備證書"(Device
certificates) 選項(xiàng)卡的“私鑰"(Private key) 列中。
下載硬件配置時(shí)，同時(shí)會(huì)將設(shè)備證書、公鑰和私鑰下載到 CPU 中。
注意
“使用證書管理器的全局安全設(shè)置"(Use global security settings for certificate manager)
選項(xiàng)會(huì)影響之前所用的私鑰：如果創(chuàng)建證書時(shí)未使用證書管理器中的全局安全設(shè)置，而
且更改了使用該證書管理器的選項(xiàng)，則將導(dǎo)致私鑰丟失且證書 ID 發(fā)生變更。系統(tǒng)會(huì)發(fā)出
警告，提示您注意這種情況。因此，在開始組態(tài)項(xiàng)目時(shí)，需證書管理器選項(xiàng)。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 53
3.6.5 證書管理示例。
如前文所述，每種類型的安全通信都需要使用證書。在以下章節(jié)中，將舉例說明如何通過
STEP 7 進(jìn)行證書管理，以滿足開放式用戶安全通信的要求。
不同通信伙伴所用的設(shè)備往往不同。為各個(gè)通信伙伴提供所需證書的相應(yīng)操作步驟也各不
相同。通常需使用 S7-1500 CPU 或 S7-1500 軟件控制器，固件版本 V2.0 及以上版本。
基本規(guī)則為：
建立安全連接（“握手"）時(shí)，通信伙伴通常僅傳送實(shí)體證書（設(shè)備證書）。
因此，驗(yàn)證已傳送設(shè)備證書所需的 CA 證書必須位于相應(yīng)通信伙伴的證書存儲(chǔ)器中。
兩個(gè) S7- - 1500 CPU 之間安全的開放式用戶通信
兩個(gè) S7-1500 CPU（PLC_1 和 PLC_2）之間通過開放式用戶安全通信進(jìn)行數(shù)據(jù)交換。
使用 STEP 7 生成所需的設(shè)備證書，然后將其分配給 CPU，如下所述。
STEP 7 項(xiàng)目證書頒發(fā)機(jī)構(gòu)（項(xiàng)目的 CA）用于對(duì)設(shè)備證書進(jìn)行簽名。
在用戶程序中根據(jù)證書 ID 對(duì)證書進(jìn)行引用（TCON 通信指令組合相關(guān)的系統(tǒng)數(shù)據(jù)類型，
例如 TCON_IPV4_SEC）。在生成或創(chuàng)建證書時(shí)，STEP 7 將自動(dòng)分配證書 ID。
操作步驟
STEP 7 自動(dòng)將所需的 CA 證書與硬件配置一同加載到通信伙伴的 CPU 中，確保兩個(gè)
CPU 中滿足證書驗(yàn)證需求。因此，用戶只需生成相應(yīng) CPU 的設(shè)備證書，其余操作將由
STEP 7 完成。
1. 在“保護(hù)和安全"(Protection & Security) 區(qū)域中，標(biāo)記 PLC_1 并激活“使用證書管理器
的全局安全設(shè)置"(Use global security settings for certificate manager) 選項(xiàng)。
2. 在項(xiàng)目樹的“全局安全設(shè)置"(Global security settings) 區(qū)域中，以 user 身份進(jìn)行登錄。
對(duì)于新項(xiàng)目，登錄時(shí)的身份為“Administrator"。
通信服務(wù)
3.6 安全通信
通信
54 功能手冊(cè), 11/2019, A5E03735819-AH
3. 返回“保護(hù)與安全"(Protection & Security) 區(qū)域的 PLC-1 中。在“設(shè)備證書"(Device
certificates) 表格中，單擊“證書主體"(Certificate subject) 列的一個(gè)空行，添加新的證
書。
4. 在下拉列表中，選擇一個(gè)證書并單擊“添加"(Add) 按鈕。
“創(chuàng)建證書"(Create Certificate) 對(duì)話框隨即打開。
5. 保留該對(duì)話框中的默認(rèn)設(shè)置。這些設(shè)置于開放式用戶安全通信（用途：TLS）。
提示：補(bǔ)充證書主體的默認(rèn)名稱（此時(shí)，為 CPU 名稱。為了便于區(qū)分，需管理大量設(shè)
備證書時(shí)，建議保留系統(tǒng)默認(rèn)的 CPU 名稱。
示例：PLC_1/TLS 變?yōu)?PLC_1-SecOUC-Chassis17FactoryState。
6. 編譯組態(tài)。
設(shè)備證書和 CA 證書是組態(tài)的一部分。
7. 對(duì)于 PLC_2，重復(fù)以上操作步驟。
在下一個(gè)操作步驟中，需創(chuàng)建用戶程序進(jìn)行數(shù)據(jù)交換，并加載組態(tài)和該程序。
使用自簽名證書而非 CA 證書
創(chuàng)建設(shè)備證書時(shí)，可選擇“自簽名"(Self-signed) 選項(xiàng)。即使在未登錄，也可創(chuàng)建自簽名證
書進(jìn)行全局安全設(shè)置。但不建議執(zhí)行該操作。這是因?yàn)?，采用這種方式創(chuàng)建的證書不會(huì)保
存在全局證書存儲(chǔ)器中，也無法直接分配給伙伴 CPU。
如上文所述，選擇證書的主體名稱時(shí)需小心謹(jǐn)慎，以確保為設(shè)備的證書正確無誤。
對(duì)于自簽名證書，無法通過 STEP 7 項(xiàng)目的 CA 證書進(jìn)行驗(yàn)證。要確保自簽名證書可通過
驗(yàn)證，需要將通信伙伴的自簽名證書加入每個(gè) CPU 的可信伙伴設(shè)備列表中。為此，必須
激活選項(xiàng)“使用證書管理器的全局安全設(shè)置"(Use global security settings for certificate
manager)，并以 user 身份登錄全局安全設(shè)置。

西門子寬屏顯示6AV2124-0MC24-0AX0觸摸屏

西門子寬屏顯示

6AV2124-0MC24-0AX0

觸摸屏

技術(shù)數(shù)據(jù)

要將通信伙伴的自簽名證書添加到 CPU 中，請(qǐng)按以下步驟操作：
1. 選擇 PLC_1，并導(dǎo)航到“保護(hù)與安全"(Protection & Security) 區(qū)域中的“伙伴設(shè)備證
書"(Certificates of partner devices) 表格處。
2. 在“設(shè)備證書"(Device certificates) 表格中，單擊“證書主體"(Certificate subject) 列的一
個(gè)空行，添加新的證書。
3. 在下拉列表中選擇該通信伙伴的自簽名證書，并進(jìn)行確認(rèn)。
在下一個(gè)操作步驟中，需創(chuàng)建用戶程序進(jìn)行數(shù)據(jù)交換，并加載組態(tài)和該程序。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 55
S7- - 1500 CPU （作為 TLS 客戶端）與外部設(shè)備（作為 TLS 服務(wù)器）之間的開放式用戶安全通信
兩個(gè)設(shè)備將通過 TLS 連接或 TLS 會(huì)話進(jìn)行數(shù)據(jù)交換（如，配方、生產(chǎn)數(shù)據(jù)或質(zhì)量數(shù)
據(jù)）：
● S7-1500 CPU (PLC_1) 作為 TLS 客戶端；該 CPU 采用開放式用戶安全通信
● 外部設(shè)備（如，制造執(zhí)行系統(tǒng) (MES)）作為 TLS 服務(wù)器
S7-1500 CPU 作為 TLS 客戶端，與 MES 系統(tǒng)建立 TLS 連接/會(huì)話。
① TLS 客戶端
② TLS 服務(wù)器
驗(yàn)證 TLS 服務(wù)器時(shí)，S7-1500 CPU 需要具有 MES 系統(tǒng)的 CA 證書：用于驗(yàn)證證書路徑
的 Root 證書和中間證書（如果適用）。
需要將這些證書導(dǎo)入 S7-1500 CPU 的全局證書存儲(chǔ)器中。
要導(dǎo)入通信伙伴的證書，請(qǐng)按照以下步驟進(jìn)行操作：
1. 打開項(xiàng)目樹中全局安全設(shè)置下的證書管理器。
2. 選擇待導(dǎo)入證書的相應(yīng)表格（可信證書和 Root 證書頒發(fā)機(jī)構(gòu)）。