Modicon M262 Logic/Motion Controller 上的 OPC UA 客户端支持使用 TLS (Transport Layer Security) 进行安全通讯。
在 TLS 的环境中,可以使用证书来验证通讯合作伙伴的身份。证书在连接建立(被称为 TLS 握手)期间发送。只有在证书验证结果为肯定结果时,才能够建立与通讯合作伙伴的连接。
如果无法建立与 OPC UA 服务器的连接,可能表示证书验证结果为失败。
如要解决这类问题,请考虑一下几点:
o确认 OPC UA 服务器是否仅接受使用可信证书来建立连接。如果是,请检查控制器的证书是否已添加到可信证书列表。
o检查您的应用程序是否被配置为仅接受使用可信证书来建立连接。如果是,请检查接收到的证书是否已添加到可信证书列表。
应始终检查通讯合作伙伴的证书的真实性。这有助于防止意外接受与未授权设备或服务建立连接。为此,必须事先将通讯合作伙伴的证书或其签发方的证书归类为可信证书。
本文档的主要目的是介绍如何执行以下两种操作:
o如何将数字服务器证书声明为可供 M262 控制器上的 OPC UA 客户端信任的证书。
o如何获取控制器的数字证书以便将其手动传输到 M262 服务器。
以下步骤介绍了使用在客户端与服务器之间手动交换的证书来管理 OPC UA 客户端证书的工作流程:
|
步骤 |
操作 |
|---|---|
|
1 |
获取 Modicon M262 Logic/Motion Controller 的客户端证书。请参阅以下章节。 |
|
2 |
将 Modicon M262 Logic/Motion Controller 证书传输到服务器。 |
|
3 |
确认服务器信任 M262 OPC UA 客户端证书。 |
|
4 |
获取服务器证书。 |
|
5 |
将服务器证书下载到 Modicon M262 Logic/Motion Controller。请参阅以下章节。 |
|
6 |
将接收到的服务器证书声明为可信证书。请参阅以下章节。 |
|
7 |
将 M262 OPC UA 客户端与服务器连接。 |
使用在客户端与服务器之间自动交换的证书来管理 OPC UA 客户端证书的工作流程:
|
步骤 |
操作 |
|---|---|
|
1 |
尝试将 M262 OPC UA 客户端与服务器连接。(在不使用可信服务器证书的情况下,第一次连接应该是不成功的,但 M262 OPC UA 客户端可以自动与服务器交换证书)。 |
|
2 |
确认服务器信任 M262 OPC UA 客户端证书。 |
|
3 |
将接收到的服务器证书声明为可信证书。请参阅以下章节。 |
|
4 |
将 M262 OPC UA 客户端与服务器连接。 |
对于 M262 控制器,在 OPC UA 连接初始化期间通过 TLS 握手接收的每个未知或可信的证书被存储在控制器上专门的文件夹中。此文件夹以及包含可信证书的文件夹可以通过控制器的 Web 服务器来访问。在这些文件夹中,您可以看到被拒绝/不可信的证书以及可信证书。此外,您还可以判定是否应将证书声明为可信。
通过控制器 Web 服务器上的 Certificates 网页,您可以将(从 OPC UA 服务器或客户端)接收的证书从文件夹 Rejected 移动到文件夹 Trusted。这样,就能够将已经被视为可信的证书降级为“拒绝”(不可信)。
注意: 如要管理证书,需要(通过 https://)与控制器的 Web 服务器建立安全连接。
有关 Web 服务器的更多信息,请参阅 Modicon M262 Logic/Motion Controller 编程指南\...\Maintenance: Certificates Submenu。
您可能需要将控制器的证书手动传送到 OPC UA 服务器。M262 控制器拥有在控制器首次通电时创建的自己的自签名证书。可以通过 EcoStruxure Machine Expert Logic Builder 中的安全栅栏获取此证书,具体如下表所述。
|
步骤 |
操作 |
描述/注释 |
|---|---|---|
|
1 |
打开 EcoStruxure Machine Expert Logic Builder,并使用相应的 M262 控制器创建项目。 |
- |
|
2 |
在 EcoStruxure Machine Expert Logic Builder 中,从查看菜单执行安全栅栏编辑器。 |
- |
|
3 |
切换到安全栅栏的设备选项卡。 |
- |
|
4 |
单击按钮 Refresh the list of available devices and their certificate stores。 |
结果:根据从所连接的控制器接收的信息,更新显示。 |
|
5 |
选择 Own Certificates 选项卡。 |
- |
|
6 |
从Security Screen编辑器右侧的列表中选择证书,然后单击 Upload the selected certificate from the device and save it to your PC 按钮。 |
请参见下图。 |
|
7 |
在另存为对话框中,导航至 PC 上的保存证书文件的文件夹,然后单击保存按钮。 |
- |
另请参阅如何管理证书 - 用户指南中的章节 Security Screen 编辑器。
将服务器证书下载到 Modicon M262 Logic/Motion Controller
|
步骤 |
操作 |
描述/注释 |
|---|---|---|
|
1 |
打开 EcoStruxure Machine Expert。 |
- |
|
2 |
创建与 Modicon M262 Logic/Motion Controller 对应的项目。 |
- |
|
3 |
配置控制器的通讯设置。 |
- |
|
4 |
打开安全栅栏。 另请参阅如何如何管理证书 - 用户指南中的章节 Security Screen 编辑器。 |
注意: 安全栅栏由 EcoStruxure Machine Expert 窗口右下角的盾形图标来表示。 |
|
5 |
打开安全栅栏的设备选项卡。 |
- |
|
6 |
单击刷新按钮。 |
- |
|
7 |
选择您的 M262 控制器。 |
- |
|
8 |
选择不信任的证书选项卡。 |
- |
|
9 |
单击下载证书按钮(左侧)。 |
- |
|
10 |
选择电脑上的存放服务器证书的文件夹,然后选择要下载的证书。 |
- |
|
11 |
单击打开按钮。 |
注意: 如要更新安全栅栏中的证书列表,需重启控制器。 |
|
步骤 |
操作 |
描述/注释 |
|---|---|---|
|
1 |
通过启动互联网浏览器并输入以下地址的方式,登录到控制器的 Web 服务器: https://<your_controller_ip_address>/ |
- |
|
2 |
输入用户认证信息。 |
- |
|
3 |
选择维护选项卡。 |
- |
|
4 |
选择左侧的证书子菜单。 |
- |
|
5 |
在已拒绝列表(不可信)中选择 OPC UA 证书。 |
注意: 确认已(通过 EcoStruxure Machine Expert 安全栅栏)上传了所需的证书,或者先前已经连接过此 OPC UA 服务器。 |
|
6 |
单击 >> 按钮,将证书移动到可信列表。 |
- |
|
步骤 |
操作 |
描述/注释 |
|---|---|---|
|
1 |
通过启动互联网浏览器并输入以下地址的方式,登录到控制器的 Web 服务器: https://<your_controller_ip_address>/ |
- |
|
2 |
输入用户认证信息。 |
- |
|
3 |
选择维护选项卡。 |
- |
|
4 |
选择左侧的证书子菜单。 |
- |
|
5 |
在可信列表中选择 OPC UA 证书。 |
注意: 确认已(通过 EcoStruxure Machine Expert 安全栅栏)上传了所需的证书,或者先前已经连接过此 OPC UA 服务器。 |
|
6 |
单击 << 按钮,将证书移动到已拒绝列表。 |
- |
注意: 将不再处于激活状态或者不再需要的证书移动到已拒绝列表。这可防止意外连接到 OPC UA 服务器。
