管理 OPC UA 证书
使用证书加密
要管理编程系统中控制器上的证书,需要在 安全屏幕 观点。为此,请安装 CODESYS Security Agent 如有必要,可添加。
重要
建议使用证书链。在此配置中,中间 CA 证书可以 不是 必须在运行时系统的证书存储库中存储和更新。因此,这通常意味着在续订或交换客户证书时不需要在 PLC 上进行任何配置更改。
为 OPC UA 服务器生成证书
为了与客户端安全地交换和加密数据,OPC UA 服务器需要证书。首次建立连接时,客户端必须将此证书归类为可信证书。
在编程系统中,打开 OPC UA 服务器项目。在控制器上启动适用的运行时系统。在设备编辑器中,浏览网络并连接到所需的目标系统。控制器的活动路径已设置。
连接处于活动状态且呈绿色。
点击 查看 → 安全屏幕 命令。
切换到 设备 选项卡。
在左视图中(下方 信息),选择您的设备。
在右侧视图中,显示了需要证书的控制器的所有服务。
选择 OPC UA 服务器 服务。
为设备创建新证书。为此,请单击
图标。这 证书设置 对话框打开。
定义证书参数并单击 好的 关闭对话框。
证书在控制器上创建。
重新启动运行时系统。
为 OPC UA 服务器安装可信 CA 证书
当 OPC UA 客户端拥有来自可信证书颁发机构 (CA) 的证书时,该证书还必须在 OPC UA 服务器中注册为可信证书。然后,CA 安装在 “可信证书” 下。
安装证书吊销列表 (CRL 在 CA 中,需要执行以下步骤:
的转移
CRLs 每个文件传输到cert/import目录运行以下命令 PLC 外壳 命令:
cert-importcrl
使用证书链
在 3.5 SP22 及更高版本中,默认情况下,OPC UA 服务器和客户端都支持验证通过 OPC UA 协议传输的证书链。
如果客户端在建立连接时传输证书链,则无需对中间 CA 进行额外的手动配置。
如果所使用的 OPC UA 客户端不通过 OPC UA 协议传输证书链,则需要手动配置中间 CA。
要使其起作用,必须单独安装中间 CA 的证书。它们被复制到
OPCUAServer/Intermediate通过文件传输在 PLC 上的目录。传输后,OPC UA 服务器将自动使用这些证书
发送证书链
在 3.5 SP22 及更高版本中,OPC UA 服务器和 OPC UA 客户端在建立连接时默认传输完整的证书链(如果可能的话)。
有关更多信息,请参阅以下内容: PLC 上的证书
当为 OPC UA 服务器或客户端创建 CA 签名证书并在 PLC 上设置了相应的中间 CA 时,将使用证书链。目前这是通过安装 PKCS #12 容器来完成.p12i 文件),它可以包含完整的证书链。PKCS #12 容器是私钥和证书的受保护容器
如果某些 OPC UA 应用程序无法正确处理证书链,则 OPC UA 服务器(和客户端)传输证书链可能是 禁用。要使其起作用,请使用设备安全设置 SendCertificateChains 的 OPC UA 服务器(或客户端)必须设置为 NO。
有关更多信息,请参阅以下内容: 设备安全设置(OPC UA 服务器)