西門(mén)子顯示屏6AV2123-2GA03-0AX0觸摸屏附件

S7- - 1500 中，系統(tǒng)特定的一致性數(shù)據(jù)的數(shù)量：
如果遵循系統(tǒng)中所的一致性數(shù)據(jù)大數(shù)量，則不會(huì)產(chǎn)生不一致現(xiàn)象。在程序循環(huán)過(guò)
程中，S7-1500 可將塊中 512 個(gè)字節(jié)的通信數(shù)據(jù)一致性地復(fù)制到或傳出用戶(hù)存儲(chǔ)
器。超出該數(shù)據(jù)區(qū)時(shí)，將無(wú)法確保數(shù)據(jù)的一致性。如果要定義確保數(shù)據(jù)的一致性，則
CPU 內(nèi)用戶(hù)程序中的通信數(shù)據(jù)長(zhǎng)度不能超過(guò) 512 個(gè)字節(jié)。之后，即可在 HMI 設(shè)備上通過(guò)
Read/Write 變量對(duì)這些數(shù)據(jù)進(jìn)行一致性訪問(wèn)。
如果需一致性傳輸?shù)臄?shù)據(jù)量超出了系統(tǒng)的數(shù)據(jù)大量，則需在應(yīng)用程序中使用特殊措
施確保數(shù)據(jù)的一致性。
確保數(shù)據(jù)一致性
通過(guò)指令訪問(wèn)公共數(shù)據(jù)：
如果在用戶(hù)程序中通過(guò)一些通信指令訪問(wèn)公共數(shù)據(jù)（如 TSEND/TRCV），則可使用諸如
“DONE"等參數(shù)對(duì)該數(shù)據(jù)區(qū)進(jìn)行訪問(wèn)。因此，在用戶(hù)程序中使用指令進(jìn)行數(shù)據(jù)傳輸，可確
保通信過(guò)程中數(shù)據(jù)區(qū)中數(shù)據(jù)的一致性。
說(shuō)明
用戶(hù)程序中采取的具體措施
要確保數(shù)據(jù)一致性，可將待傳輸數(shù)據(jù)復(fù)制到一個(gè)單獨(dú)的數(shù)據(jù)區(qū)（如，全局?jǐn)?shù)據(jù)塊）中。用
戶(hù)程序繼續(xù)傳輸源數(shù)據(jù)時(shí)，可通過(guò)通信指令將一致性地傳輸單獨(dú)數(shù)據(jù)區(qū)中存儲(chǔ)的數(shù)據(jù)。
在復(fù)制過(guò)程中，系統(tǒng)將使用相應(yīng)的不可中斷型指令，如 UMOVE_BLK 或 UFILL_BLK。這
些指令可確保高達(dá) 16 KB 的數(shù)據(jù)一致性。
使用 PUT/GET 指令或通過(guò) HMI 通信進(jìn)行 Write/Read 操作：
使用 PUT/GET 指令進(jìn)行 S7 通信或通過(guò) HMI 通信進(jìn)行 Write/Read 操作時(shí)，編程或組態(tài)
中需考慮一致性數(shù)據(jù)區(qū)的大小。將 S7-1500 用作服務(wù)器時(shí)，用戶(hù)程序沒(méi)有可用于數(shù)據(jù)傳
輸?shù)闹噶睢Ｔ谟脩?hù)程序運(yùn)行過(guò)程中，可通過(guò) PUT/GET 指令進(jìn)行數(shù)據(jù)交換，對(duì) S7-1500
進(jìn)行更新。但在循環(huán)執(zhí)行用戶(hù)程序時(shí)，不支持對(duì)數(shù)據(jù)進(jìn)行一致性傳輸。待傳送數(shù)據(jù)區(qū)的長(zhǎng)
度應(yīng)小于 512 個(gè)字節(jié)。

本公司*銷(xiāo)售西門(mén)子PLC,200，300，400，1200，西門(mén)子PLC附件，西門(mén)子電機(jī)，西門(mén)子人機(jī)界面，西門(mén)子變頻器，西門(mén)子數(shù)控伺服，西門(mén)子總線(xiàn)電纜現(xiàn)貨供應(yīng)，*咨詢(xún)系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫(kù)存.長(zhǎng)期有效

公司主營(yíng)：

更多信息
● 有關(guān)通信模塊所支持的一致性數(shù)據(jù)大數(shù)量，請(qǐng)參見(jiàn)設(shè)備手冊(cè)中的相應(yīng)技術(shù)規(guī)范。
● 有關(guān)數(shù)據(jù)一致性的更多信息，請(qǐng)參見(jiàn) STEP 7 在線(xiàn)幫助中的指令說(shuō)明。
通信服務(wù)
3.6 安全通信
通信
40 功能手冊(cè), 11/2019, A5E03735819-AH
3.6 安全通信
3.6.1 安全通信的基礎(chǔ)知識(shí)
在 STEP 7 (TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU
中，設(shè)計(jì)了大量的安全通信選項(xiàng)。
簡(jiǎn)介
“安全"(secure) 屬性用于識(shí)別以 Public Key Infrastructure (PKI) 為基礎(chǔ)的通信機(jī)制（例
如，RFC 5280 ，用于 Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List Profile）。Public Key Infrastructure (PKI) 是一個(gè)可簽發(fā)、發(fā)布和檢查數(shù)
字證書(shū)的系統(tǒng)。PKI 通過(guò)簽發(fā)的數(shù)字證書(shū)確保計(jì)算機(jī)通信安全。如果 PKI 采用非對(duì)稱(chēng)密鑰
加密機(jī)制，則可對(duì)網(wǎng)絡(luò)中的消息進(jìn)行數(shù)字簽名和加密。
在 STEP 7 中組態(tài)用于安全通信的組件，將使用非對(duì)稱(chēng)密鑰加密機(jī)制，該機(jī)制使用 Public
Key 和 Private Key 進(jìn)行加密。同時(shí)使用 TLS (Transport Layer Security) 作為加密協(xié)議。
TLS 是 SSL (Secure Sockets Layer) 協(xié)議的后繼協(xié)議。
安全通信的目的
安全通信可用于實(shí)現(xiàn)以下目標(biāo)：
● 機(jī)密性
即，數(shù)據(jù)安全/竊聽(tīng)者無(wú)法讀取。
● 完整性
即，接收方接收到的消息與發(fā)送方發(fā)送的消息*相同，未經(jīng)更改。消息在傳送過(guò)程
中未經(jīng)更改。
● 端點(diǎn)認(rèn)證
即，端點(diǎn)通信伙伴確實(shí)是聲稱(chēng)為參與通信的本人。對(duì)伙伴方的身份進(jìn)行檢查。
在過(guò)去，這些目標(biāo)通常僅與 IT 和計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)。但如今，包含有敏感數(shù)據(jù)的工業(yè)設(shè)備
和控制系統(tǒng)也開(kāi)始面臨相同的信息安全高風(fēng)險(xiǎn)。這是因?yàn)?，這些設(shè)備它們同樣實(shí)現(xiàn)了網(wǎng)絡(luò)
互聯(lián)，因而必須滿(mǎn)足嚴(yán)格的數(shù)據(jù)交換安全要求。
在過(guò)去，往往會(huì)采用單元保護(hù)機(jī)制，通過(guò)防火墻或 VPN 連接保護(hù)自動(dòng)化單元安全（如，
使用安全模塊），而如今同樣如此。
但是，通過(guò)企業(yè)內(nèi)部網(wǎng)或公共網(wǎng)絡(luò)以加密形式將數(shù)據(jù)傳送到外部計(jì)算機(jī)變得越來(lái)越重要。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 41
安全通信的通用原則
無(wú)論采用何種機(jī)制，安全通信都基于 Public Key Infrastructure (PKI) 理念，包含以下組成
部分：
● 非對(duì)稱(chēng)加密機(jī)制：
– 使用公鑰或私鑰對(duì)消息進(jìn)行加密/解密。
– 驗(yàn)證消息和證書(shū)中的簽名。
發(fā)送方/認(rèn)證機(jī)構(gòu)通過(guò)自己的私鑰對(duì)消息/證書(shū)進(jìn)行簽名。接收方/驗(yàn)證者使用發(fā)送方/
認(rèn)證機(jī)構(gòu)的公鑰對(duì)簽名進(jìn)行驗(yàn)證。
● 使用 X.509 證書(shū)傳送和保存公鑰。
– X.509 證書(shū)是一種數(shù)字化簽名數(shù)據(jù)，根據(jù)綁定的身份對(duì)公鑰進(jìn)行認(rèn)證。
– X.509 證書(shū)中還包含有公鑰使用的詳細(xì)說(shuō)明或使用限制。例如，證書(shū)中公鑰的生效
日期和過(guò)期日期。
– X.509 證書(shū)中還包含證書(shū)頒發(fā)方的安全相關(guān)信息。
在后續(xù)的章節(jié)中，將簡(jiǎn)要介紹在 STEP 7 (TIA Portal) 中管理證書(shū)和編寫(xiě) secure Open
User Communication (sOUC) 通信指令等所需的基本知識(shí)。
使用 STEP 7 進(jìn)行安全通信：
在 STEP 7 V14 及其更高版本中，提供了安全通信的組態(tài)和操作所需的 PKI。
示例：
● 基于 TLS (Transport Layer Security) 協(xié)議，將 Hypertext Transfer Protokoll 在大多數(shù)瀏覽器中，這類(lèi)的安全連接將突出顯示。
● 將 Open User Communication 轉(zhuǎn)換為 secure Open User Communication。這種通信
方式的底層協(xié)議同樣為 TLS。
● 電子郵件服務(wù)提供商同樣支持基于“Secure SMTP over TLS"協(xié)議進(jìn)行訪問(wèn)，從而提高
電子郵件通信的安全性。
通信服務(wù)
3.6 安全通信
通信
42 功能手冊(cè), 11/2019, A5E03735819-AH
下圖顯示了通信層中的 TLS 協(xié)議。
圖 3-6 通信層中的 TLS 協(xié)議。
采用 OPC UA 的安全通信
固件版本 V2.0 及更高版本的 S7-1500 CPU 中，具有 OPC UA 服務(wù)器功能。OPC UA
Security 中也涉及使用 X.509 數(shù)字證書(shū)進(jìn)行認(rèn)證、加密以及數(shù)據(jù)完整性檢查，并且同樣采
用 Public Key Infrastructure (PKI)。根據(jù)應(yīng)用的具體要求，端點(diǎn)安全可選擇不同安全等
級(jí)。有關(guān) OPC UA 服務(wù)器的功能說(shuō)明，請(qǐng)參見(jiàn)“將 S7-1500 用作 OPC UA 服務(wù)器
(頁(yè) 177)"部分。
3.6.2 通過(guò)加密確保數(shù)據(jù)機(jī)密
消息加密是數(shù)據(jù)安全的一項(xiàng)重要措施。在通信過(guò)程中，即使加密的消息被第三方截獲，這
些潛在的偵聽(tīng)者也無(wú)法訪問(wèn)所獲取的信息。
在進(jìn)行消息加密時(shí)，采用了大量的數(shù)學(xué)處理機(jī)制（算法）。
所有算法都通過(guò)一個(gè)“密鑰"參數(shù)，對(duì)消息進(jìn)行加密和解密。
● 算法 + 密鑰 + 消息 => 密文
● 密文 + 密鑰 + 算法 =>（明文）消息
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E037

本公司*銷(xiāo)售西門(mén)子PLC,200，300，400，1200，西門(mén)子PLC附件，西門(mén)子電機(jī)，西門(mén)子人機(jī)界面，西門(mén)子變頻器，西門(mén)子數(shù)控伺服，西門(mén)子總線(xiàn)電纜現(xiàn)貨供應(yīng)，*咨詢(xún)系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫(kù)存.長(zhǎng)期有效

西門(mén)子LOGO控制器可編程西門(mén)子S7-200PLC模塊西門(mén)子S7-300PLC模塊西門(mén)子S7-400PLC模塊西門(mén)子S7-1200PLC模塊西門(mén)子S7-1500PLC模塊西門(mén)子V20變頻器西門(mén)子V90伺服驅(qū)動(dòng)西門(mén)子觸摸屏西門(mén)子.828.840D.808.802數(shù)控系列西門(mén)子數(shù)控維修西門(mén)子電線(xiàn)電纜西門(mén)子傳感器西門(mén)子交換機(jī) 6GK5 西門(mén)子通訊網(wǎng)卡6GK1西門(mén)子驅(qū)動(dòng)程序西門(mén)子伺服電機(jī)西門(mén)子數(shù)控備件西門(mén)子S120驅(qū)動(dòng)系統(tǒng)西門(mén)子LOGO控制器可編程西門(mén)子S7-200PLC模塊西門(mén)子S7-300PLC模塊西門(mén)子S7-400PLC模塊西門(mén)子S7-1200PLC模塊西門(mén)子S7-1500PLC模塊西門(mén)子V20變頻器西門(mén)子V90伺服驅(qū)動(dòng)

擁有豐富的自動(dòng)化產(chǎn)品的應(yīng)用和實(shí)踐經(jīng)驗(yàn)以及雄厚的技術(shù)力量，

35819-AH 43
對(duì)稱(chēng)加密
對(duì)稱(chēng)加密的關(guān)鍵在于，兩個(gè)通信伙伴都采用相同的密鑰對(duì)消息進(jìn)行加密和解密，如下圖所
示：Bob 使用的加密密鑰與 Alice 使用的解密密鑰相同。即，我們常說(shuō)的雙方共享一個(gè)密
鑰，可通過(guò)該密鑰對(duì)消息進(jìn)行加密和解密。
① Bob 采用對(duì)稱(chēng)密鑰對(duì)消息進(jìn)行加密
② Alice 采用對(duì)稱(chēng)密鑰對(duì)加密后的消息進(jìn)行解密
圖 3-7 對(duì)稱(chēng)加密
該過(guò)程類(lèi)似于一個(gè)公文箱，發(fā)送方和接收方使用同一把鑰匙打開(kāi)或鎖上該公文箱。
● 優(yōu)勢(shì)：對(duì)稱(chēng)加密算法（如，AES、Advanced Encryption Algorithm）的速度較快。
● 缺點(diǎn)：如何將密鑰發(fā)送給接收方，而不會(huì)落到其他人手中？此為密鑰分發(fā)問(wèn)題。如果
截獲的消息數(shù)量足夠大，則可推算出所用的密鑰，因此必須定期更換。
如果通信伙伴比較多，則需分發(fā)的密鑰數(shù)量巨大。
非對(duì)稱(chēng)加密
在非對(duì)稱(chēng)加密技術(shù)中使用一對(duì)密鑰：一個(gè)公鑰和一個(gè)私鑰。與 PKI 一同使用時(shí)，又稱(chēng)為
公鑰加密系統(tǒng)，簡(jiǎn)稱(chēng) PKI 加密系統(tǒng)。通信伙伴（下圖中的 Alice）擁有一個(gè)私鑰和一個(gè)公
鑰。公鑰對(duì)所有人公開(kāi)。即，任何通信伙伴都可以獲得該公鑰。擁有公鑰的通信伙伴可對(duì)
發(fā)送給 Alice 的消息進(jìn)行加密。即下圖中的 Bob。
通信服務(wù)
3.6 安全通信
通信
44 功能手冊(cè), 11/2019, A5E03735819-AH
Alice 的私鑰為她自己所有而不公開(kāi)，用于對(duì)發(fā)送給她的密文進(jìn)行解密。
① Alice 將其公鑰提供給 Bob。無(wú)需采取防范措施即可實(shí)現(xiàn)該過(guò)程：只要確定采用的
是 Alice 的公鑰，所有人都可以發(fā)消息給 Alice。
② Bob 使用 Alice 的公鑰對(duì)消息進(jìn)行加密。
③ Alice 使用私鑰對(duì) Bob 發(fā)送的密文進(jìn)行解密。由于僅 Alice 擁有私有且未公開(kāi)，因
此只有她才能對(duì)該消息進(jìn)行解密。通過(guò)私鑰，Alice 可以對(duì)使用她所提供的公鑰加
密的消息進(jìn)行解密，而不僅僅只是 Bob 的消息。
圖 3-8 非對(duì)稱(chēng)加密
該系統(tǒng)與類(lèi)似，所有人都可以向發(fā)送消息，但只有擁有密鑰的人才能刪除這些消
息。
● 優(yōu)勢(shì)：使用公鑰加密的消息，僅私鑰擁有者才能進(jìn)行解密。由于在解密時(shí)需要使用另
一密鑰（私鑰），而且加密的消息數(shù)量龐大，因此很難推算出解密密鑰。這意味著，
公鑰無(wú)需保持機(jī)密性，而這與對(duì)稱(chēng)密鑰不同。
另一大優(yōu)點(diǎn)在于，公鑰的發(fā)布更為方便快捷。在非對(duì)稱(chēng)密鑰系統(tǒng)中，接收方將公鑰發(fā)
送到發(fā)送方（消息加密方）時(shí)無(wú)需建立的安全通道。與對(duì)稱(chēng)加密過(guò)程相比，密鑰
管理工作量相對(duì)較少。
● 缺點(diǎn)：算法復(fù)雜（如，RSA，以三位數(shù)學(xué)家 Rivest、Shamir 和 Adleman 的名字的
字母命名），因此性能低于對(duì)稱(chēng)加密機(jī)制。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 45
實(shí)際通信中的加密過(guò)程
在實(shí)際通信過(guò)程中（如，與 CPU Web 服務(wù)器通信和開(kāi)發(fā)式用戶(hù)安全通信），通常在相關(guān)
的應(yīng)用層之后使用 TLS 協(xié)議。例如，應(yīng)用層采用的協(xié)議為 HTTP 或 SMTP，詳細(xì)信息見(jiàn)
前文所述。
例如，TLS (Transport Layer Security) 混合采用非對(duì)稱(chēng)加密和對(duì)稱(chēng)加密（混合加密）機(jī)制
確保數(shù)據(jù)通過(guò) Internet 進(jìn)行安全傳輸，并支持以下子協(xié)議：
● TLS Handshake Protocol，對(duì)通信伙伴進(jìn)行身份驗(yàn)證，并在非對(duì)稱(chēng)加密的基礎(chǔ)上對(duì)數(shù)
據(jù)傳輸所需的算法和密鑰進(jìn)行協(xié)商
● TLS Record Protocol 采用對(duì)稱(chēng)加密機(jī)制對(duì)用戶(hù)數(shù)據(jù)加密以及進(jìn)行數(shù)據(jù)交換。
無(wú)論是非對(duì)稱(chēng)加密還是對(duì)稱(chēng)加密，這兩種數(shù)據(jù)安全加密機(jī)制在安全性方面沒(méi)有明顯差異。
數(shù)據(jù)安全等級(jí)取決于設(shè)置的參數(shù)，如所選密鑰的長(zhǎng)度等等。
加密使用不當(dāng)
通過(guò)位串，無(wú)法公鑰的身份。欺瞞者可使用他們自己的公鑰聲明為其他人。如果第三
方使用該公鑰將其認(rèn)作是的通信伙伴，則將導(dǎo)致機(jī)密信息被竊取。之后，欺瞞者再使
用自己的密鑰對(duì)這些本消息進(jìn)行解密，雖然這些消息本不應(yīng)發(fā)送給他們。終，導(dǎo)致敏感
信息泄露，落入他人之手。
為了有效預(yù)防此類(lèi)錯(cuò)誤的發(fā)生，該通信伙伴必須確信與正確的通信伙伴進(jìn)行數(shù)據(jù)通信。此
類(lèi)信任關(guān)系是通過(guò) PKI 中的數(shù)字證書(shū)建立的。
3.6.3 通過(guò)簽名確保數(shù)據(jù)的真實(shí)性和完整性
由能夠截獲服務(wù)器與客戶(hù)端之間的通信并將自身偽裝成客戶(hù)端或服務(wù)器的程序?qū)嵤┑墓?br />稱(chēng)為中間人攻擊。如果未能檢測(cè)到這些程序的真實(shí)身份，則將造成諸如 S7 程序、CPU
中設(shè)定值等重要信息泄漏，進(jìn)而導(dǎo)致設(shè)備或工廠遭受攻擊?？墒褂脭?shù)字證書(shū)避免此類(lèi)攻
擊。
在安全通信過(guò)程中，所用的數(shù)字證書(shū)符合 International Telecommunication Union (ITU)
的 X.509 標(biāo)準(zhǔn)。該證書(shū)用于檢查（認(rèn)證）程序、計(jì)算機(jī)或組織機(jī)構(gòu)的身份。
通信服務(wù)
3.6 安全通信
通信
46 功能手冊(cè), 11/2019, A5E03735819-AH
如何通過(guò)證書(shū)建立信任關(guān)系
X.509 證書(shū)主要用于將帶有證書(shū)的數(shù)據(jù)身份（如，電子郵件地址或計(jì)算機(jī)名稱(chēng)）與公鑰中
的身份綁定在一起。身份可以是個(gè)人、計(jì)算機(jī)，也可以是機(jī)器設(shè)備。
證書(shū)由證書(shū)頒發(fā)機(jī)構(gòu)（Certificate Authority，CA）或證書(shū)主體簽發(fā)。而 PKI 系統(tǒng)則
了用戶(hù)信任證書(shū)頒發(fā)機(jī)構(gòu)及其所簽發(fā)證書(shū)的規(guī)則。
證書(shū)認(rèn)證過(guò)程：

西門(mén)子顯示屏6AV2123-2GA03-0AX0觸摸屏附件

西門(mén)子顯示屏

觸摸屏附件

技術(shù)數(shù)據(jù)

4、HMI觸摸屏TD200 TD400C TP177,

1. 要獲取一份證書(shū)，需要向與證書(shū)頒發(fā)機(jī)構(gòu)相關(guān)聯(lián)的注冊(cè)機(jī)構(gòu)提交一份證書(shū)申請(qǐng)。
2. 證書(shū)頒發(fā)機(jī)構(gòu)將基于既定標(biāo)準(zhǔn)對(duì)該申請(qǐng)和申請(qǐng)人進(jìn)行評(píng)估。
3. 如果可以清晰識(shí)別申請(qǐng)人的身份，則證書(shū)頒發(fā)機(jī)構(gòu)將簽發(fā)一份已簽名的證書(shū)進(jìn)行確
認(rèn)。申請(qǐng)人現(xiàn)成為證書(shū)主體。
在下圖中，對(duì)這一過(guò)程進(jìn)行了簡(jiǎn)要說(shuō)明。但不涉及 Alice 對(duì)該數(shù)字簽名的檢查過(guò)程。
圖 3-9 由證書(shū)頒發(fā)機(jī)構(gòu)對(duì)證書(shū)進(jìn)行簽名
自簽名證書(shū)
自簽名證書(shū)指，由證書(shū)主體而非獨(dú)立的證書(shū)頒發(fā)機(jī)構(gòu)簽名的證書(shū)。
示例：
● 用戶(hù)也可以自己創(chuàng)建證書(shū)并簽名，對(duì)發(fā)送給通信伙伴的消息進(jìn)行加密。在上述示例
中，Bob（而非 Twent）可以使用私鑰對(duì)自己的證書(shū)進(jìn)行簽名。之后，Alice 將使用
Bob 的公鑰檢查該簽名是否與 Bob 的公鑰相匹配。該過(guò)程可用于簡(jiǎn)單的工廠內(nèi)部數(shù)據(jù)
加密通信。
● 例如，根證書(shū)是一種由證書(shū)頒發(fā)機(jī)構(gòu) (CA) 簽署的自簽名證書(shū)，其中包含證書(shū)頒發(fā)機(jī)
構(gòu)的公鑰。
 通信服務(wù)
3.6 安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 47
自簽名證書(shū)的特性
自簽名證書(shū)的證書(shū)主體“CN"(Common Name of Subject) 和“Issuer"屬性相同：用戶(hù)已完
成對(duì)證書(shū)的簽名。字段“CA" (Certificate Autority) 需設(shè)置為“False"；自簽名證書(shū)不得用于
對(duì)其它證書(shū)進(jìn)行簽名。
自簽名證書(shū)未包含在 PKI 系統(tǒng)中。
證書(shū)內(nèi)容
符合 X.509 V3 標(biāo)準(zhǔn)（同樣用于 STEP 7 和 S7-1500 CPU）要求的證書(shū)通常包含以下元
素：
● 公鑰
● 證書(shū)主體（即，密鑰持有者）的詳細(xì)信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號(hào)和有效期等等
● 證書(shū)頒發(fā)機(jī)構(gòu) (CA) 的數(shù)字簽名，用于證實(shí)信息的正確性。
除此之外，還包含以下擴(kuò)展詳細(xì)：
over TLS)，以確保 Web 瀏覽器地址欄中的證書(shū)同樣屬于該 URL 所的 Web 服務(wù)
器。
如何生成并驗(yàn)證簽名
非對(duì)稱(chēng)密鑰可用于證書(shū)的驗(yàn)證：在“MyCert"證書(shū)示例中，介紹了具體的“簽名"與“驗(yàn)證簽
名"過(guò)程。
生成簽名：
1. “MyCert"證書(shū)的簽發(fā)者使用一個(gè)特定的哈希函數(shù)（例如，SHA-1，Secure Hash
Algorithm），根據(jù)證書(shū)數(shù)據(jù)生成一個(gè)哈希值。
該 HASH 值是一個(gè)長(zhǎng)度固定的位串。HASH 值長(zhǎng)度固定的優(yōu)勢(shì)在于，簽名的時(shí)間始終
相同。
2. 之后，證書(shū)的簽發(fā)者再使用由這種方式生成的 HASH 值和私鑰，生成一個(gè)數(shù)字簽名。
通常采用 RSA 簽名機(jī)制。
3. 數(shù)字簽名將保存在證書(shū)中。此時(shí)，證書(shū)已簽名。
通信服務(wù)
3.6 安全通信
通信
48 功能手冊(cè), 11/2019, A5E03735819-AH
驗(yàn)證一個(gè)簽名：
1. “MyCert"證書(shū)的認(rèn)證方將獲得簽發(fā)者簽發(fā)的證書(shū)和公鑰。
2. 使用簽名時(shí)所用的哈希算法（例如，SHA-1），根據(jù)證書(shū)數(shù)據(jù)生成一個(gè)新的哈希值。