Skip to main content

对话框:设备安全设置(OPC UA 服务器)

Function: The dialog shows all device security settings which are provided by the connected controller.

称呼: 通讯设置 标签, 设备安全设定 菜单命令

要求: 你已经安装了 CODESYS Security Agent 并配置了控制器的活动路径。

下表显示了影响 OPC UA 服务器的设置。

环境

描述

CommunicationPolicy

应用 OPC UA 安全策略。使用选定的策略和所有更安全的选项。

  • POLICY_AES256SHA256RSAPSS: 从 Aes256Sha256RsaPSS 开始

  • POLICY_BASIC256SHA256: 从 Basic256Sha256 开始

  • POLICY_AES128SHA256RSAOAEP:从 Aes128Sha256RSAOAEP 开始(默认设置)

CommunicationMode

通讯方式

  • SIGNED_AND_ENCRYPTED: 只允许签名和加密的通信

  • MIN_SIGNED:允许签名或签名和加密通信

  • SECURE_IF_POSSIBLE:如果 X.509 证书不适用于 OPC UA 服务器,则允许以纯文本形式进行通信。生成证书后立即禁用不安全模式。 (默认设置)

  • ALL: 允许安全和不安全的通信

  • ONLY_PLAINTEXT: 只允许不安全的通信

Activation

激活/停用 OPC UA 服务器

  • DEACTIVATED:OPC UA 服务器已停用

  • ACTIVATED:OPC UA 服务器激活(默认设置)

UserAuthentication

OPC UA 服务器的 UserToken

  • ENABLED:生成UserTokens以匹配设备用户管理的配置。 (默认设置)

  • ENFORCED: 匿名 UserToken 被禁用。不管设备用户管理中是否允许匿名访问。

AllowUserPasswordOnPlaintext

如果 OPC UA 服务器证书不可用,则以纯文本形式传输密码

  • YES:允许以纯文本形式传输密码。不推荐此设置。

  • NO: 不允许以明文形式传输密码。 (默认设置)

EnableCRLChecks

启用/禁用证书撤销列表 (CRL) 检查。 CRL 用于 CA 签名的证书。

  • YES: 启用 CRL 检查(默认设置)

  • NO: 检查 CRL 已禁用

欲了解更多信息,请参阅: OPC UA 证书的配置

EnableSelfSignedCertBackwardInteroperability

The OPC UA specification requires that for self-signed certificates the cA bit is set in the extensions. This allows even signed ApplicationInstanceCertificates (server or client certificate) to be misused as CA.

  • YES: 允许这些证书。此设置不太安全,但会增加兼容性。 (默认设置)

  • NO:禁止 ApplicationInstance 证书具有 cA 在扩展中设置位。此设置更安全,但会降低兼容性。

DeactivateApplicationAuthentication

OPC UA 协议要求在建立连接时对应用程序进行相互认证。这是通过相互验证应用程序证书通过受保护的连接(签名或签名+加密)来实现的ApplicationInstanceCertificate)。

你可以使用 DeactivateApplicationAuthentication 设置为在 OPC UA 服务器中禁用对客户端证书的检查。根据UA标准,在这种情况下,必须在用户级别进行身份验证(使用设备用户管理)。

NO: 已禁用验证客户证书

YES: 已启用客户端证书验证

DeactivateSecurityPolicy

禁用安全策略

Entry as a policy URL (for example, http://opcfoundation.org/UA/SecurityPolicy#Basic256Sha256) in a comma-separated list

ApplicationName

Defines the Common Name (CN) of the OPC UA Server certificate. If this setting is not set, then OPCUAServer@<HOSTNAME> is used.

CompanyOrOrganizationName

定义了 OrganizationalUnitOU) 的 OPC UA 服务器证书

City

定义了 localityL) 的 OPC UA 服务器证书

State

定义了 StateOrProvinceNameS) 的 OPC UA 服务器证书

Country

定义了 CountryNameC) 的 OPC UA 服务器证书

CertificateIPAdresses

要在 OPC UA 服务器的 X.509 证书中输入的 IP 地址列表,以逗号分隔。以下条目是可能的:

  • 输入一个或多个 IP 地址。例如,用于 NAT 的 IP 地址(网络地址转换)。

    示例:“1.2.3.4,全部”、“静态”、“1.2.3.4、7.8.9.10”

  • All:应将所有本地 IP 地址添加到证书中。只有启动时或更改安全设置时具有有效 IP 地址的网络适配器才会被考虑

  • Static: 喜欢 All,但限制是仅考虑在设备上静态设置的 IP 地址。

本节内容如下: