安全栅栏

概述

视图 > 安全栅栏命令用于打开安全栅栏编辑器。它让您能够配置与用户、项目和控制器相关的加密通讯参数。

或者，您也可以通过双击 EcoStruxure Machine Expert Logic Builder 状态和信息栏中的按钮，来打开安全栅栏编辑器。

然后便会打开包含设备选项卡的安全栅栏编辑器：

用户选项卡

用户选项卡允许您为已登录用户配置与安全相关的参数：

安全通讯所需的证书。这种应用需要使用包含私有密钥的证书。
用户的数字签名

用户选项卡的元素：

组件	描述
用户配置文件和证书选择区域
可用用户配置文件列表	从列表中选择一个用户配置文件。缺省情况下，将 Windows 登录名指定为用户配置文件。单击加号按钮，可打开用户配置文件对话框，以添加用户配置文件。单击叉号按钮，可从列表中删除用户配置文件。
数字签名	其中列出了包含公共密钥且可用于数字签名的证书。单击按钮，可打开证书选择对话框，将证书添加到数字签名。单击叉号按钮，可从数字签名中删除证书。
项目文件解密	指示用于解密项目文件的证书。单击按钮，可打开证书选择对话框，选择用于解密项目文件的证书。单击叉号按钮，可删除显示的证书。
安全等级区域
激活证书的使用以增强安全度：	如要强制使用加密功能，可选择以下选项。
强制执行加密的交流	选择此选项后，必须使用控制器的服务器证书来建立与控制器的加密连接。
强制执行项目文件的加密	选择此选项后，会使用证书的公共密钥来加密所选用户的项目文件。项目保存后，会使用项目设置 > 安全对话框中指定的证书来加密项目。选中的证书会显示在项目选项卡的项目文件加密区域中。如要打开项目，必须使用参数项目文件解密指定用于解密且包含私有密钥的证书。
强制项目文件签名	选择此选项后，会使用数字签名参数中指定的公共密钥证书来对所选用户的项目文件签名。项目保存后，会将包含签名的签名文件 <项目名称>.project.p7s 保存到项目目录。
强制执行对下载文件、在线变更文件和启动应用程序的加密	并非所有控制器都支持该功能。请参阅控制器的相应编程指南，了解详细信息。选择此选项后，需要使用控制器证书对下载到控制器的数据加密。此证书在安全栅栏选项卡项目的启动应用程序、下载和在线变更的加密区域中定义。有关其他步骤，请参阅使用证书加密启动应用程序。控制器证书存储在控制器证书目录的本地 Windows 证书存储库中。如果您的控制器在目录中没有对应的证书，则必须从控制器加载这些证书，并将证书安装到目录。有关控制器证书处理的说明，请参阅如何管理控制器上的证书用户指南。
强制执行对下载文件、在线变更文件和启动应用程序的签名	并非所有控制器都支持该功能。请参阅控制器的相应编程指南，了解详细信息。选择此选项后，需要使用包含公共密钥的证书对在线代码（下载文件、在线变更文件和启动应用程序）签名。证书从此选项卡的数字签名列表中选择。有关为启动应用程序签名所需的其他步骤，请参阅签名启动应用程序。其前提条件是，必须选择了选项强制执行对下载文件、在线变更文件和启动应用程序的加密。
强制对编译库签名	选择此选项后，在执行了文件 > 项目另存为编译库命令之后，会生成扩展名为 <库名称>.compiled-library 的签名库。前提条件是，必须提供具有私钥且支持代码签名的证书。
强制对签名编译库设置时标	选择此选项后，会向每个已签名的库添加时标。作为时间源，按照以下格式在文本字段中输入时标服务器的 URL： `timestamp.comodoca.com/rfc3161`

使用证书加密启动应用程序

并非所有控制器都支持该功能。请参阅控制器的相应编程指南，了解详细信息。

如要使用来自控制器的证书加密启动应用程序，请在控制器上创建证书，然后按如下步骤将其安装到计算机的 Windows 证书存储库中：

步骤	操作	结果
1	在安全栅栏的设备选项卡中，单击按钮 Refresh the list of available devices and their certificate store 。	-
2	选择左侧的设备条目（设备名称）。	-
3	选择右侧的 Encrypted Application，然后单击按钮 Generate a new certificate on the device。	证书随即被创建，并列在包含符号的表中。
4	双击已创建的证书条目。	缺省 Windows 证书对话框随即打开。
5	在常规选项卡中，单击安装证书按钮。	证书导入向导随即打开。
6	选择当前用户作为存储位置。	-
7	在证书存储库对话框中，选择选项将所有证书放在此存储库中。然后，单击浏览按钮，选择控制器证书文件夹作为证书存储库。	控制器证书随即被导入控制器证书目录，并可用于加密下载文件、在线更改文件和启动应用程序。
8	打开安全栅栏的用户选项卡，并激活安全等级部分中的选项强制执行对下载文件、在线变更文件和启动应用程序的加密。	-
9	打开安全栅栏的项目选项卡，然后双击启动应用程序、下载和在线变更的加密部分中的应用程序条目。	应用程序的属性对话框随即打开。
10	在应用程序的属性对话框中，选择加密选项卡，然后从加密技术列表中选择使用证书加密。然后单击按钮。注：如果在安全栅栏中激活了选项强制执行对下载文件、在线变更文件和启动应用程序的加密，则同时会预选使用证书加密。	证书选择对话框随即打开。
11	在证书选择对话框中，从控制器证书文件夹中选择证书，然后单击按钮。	-
12	单击确定，确认对话框。	证书随后便显示在应用程序的属性对话框中。
13	单击确定，关闭应用程序的属性对话框。	证书随后便显示在安全栅栏项目选项卡的启动应用程序、下载和在线变更的加密部分中：启动应用程序、下载文件和在线更改文件均被加密。

执行此操作后，只要证书和签名有效，便可以传输启动应用程序、执行下载和在线更改。

签名启动应用程序

并非所有控制器都支持该功能。请参阅控制器的相应编程指南，了解详细信息。

如要使用证书签名启动应用程序，请执行以下步骤：

步骤	操作	结果
1	在安全栅栏的用户选项卡中，双击双击包含您要从数字签名列表分配给启动应用程序的私钥的证书。	证书对话框随即打开。
2	选择详细信息选项卡，然后单击复制到文件...按钮。	证书导出向导随机启动。
3	在 Export Private Key 对话框中，选择选项 No, do not export the private key。	-
4	对于导出文件格式，请选择选项 DER encoded binary X.509 (.CER)。	-
5	输入文件名，并导航至文件路径以保存证书。	-
6	按照向导的说明操作，直到显示指示导成功完成的消息。	-
7	返回到安全栅栏编辑器，然后选择设备选项卡。	-
8	单击按钮。	-
9	选择将导入证书的控制器的子文件夹可信证书。	-
10	单击下载按钮。	将打开打开对话框。
11	导航至要导入的证书，然后单击打开按钮。	随即便会显示一条消息，指示所选证书已成功导入。
12	打开安全栅栏编辑器的用户选项卡，选择选项强制执行对下载文件、在线变更文件和启动应用程序的加密，然后选择选项强制执行对下载文件、在线变更文件和启动应用程序的签名，以仅在证书有效时才允许启动应用程序。有关更多信息，请参阅使用证书加密启动应用程序的说明。	-

项目选项卡

项目选项卡允许您配置项目特定的设置。

项目选项卡的元素：

组件	描述
项目文件加密区域
技术	单击按钮，可打开项目设置 > 安全对话框，选择用于加密项目文件的证书。
用户的证书分享本项目	以表格形式列出加密项目文件的证书。
启动应用程序、下载和在线变更的加密区域
控制器应用程序列表	并非所有控制器都支持该功能。请参阅控制器的相应编程指南，了解详细信息。双击列表中的应用程序，可打开属性 > 加密对话框。根据安全栅栏用户选项卡中安全等级的设置，有以下字段可用：包含活动证书区域的加密选项卡包含加密技术列表的加密选项卡在属性 > 加密对话框中，单击按钮，可选择用于启动应用程序、下载和在线变更的加密的控制器证书。控制器证书存储在控制器证书目录的本地 Windows 证书存储库中。如果您的控制器在目录中没有对应的证书，则必须从控制器加载这些证书，并将证书安装到目录。

设备选项卡

安全栅栏编辑器的设备选项卡让您能够配置到所连接的控制器的安全 TCP 通讯。它让您能够访问专用于对所连控制器上的证书进行管理的文件夹。有关更多信息，请参阅如何管理控制器上的证书用户指南。