西門子PLC模塊CPU224XP型號214-2BD23-0XB8

使用 TIA Portal 的證書生成器

如果使用的 OPC UA 客戶端未生成客戶端證書,，可通過 STEP 7 創(chuàng)建自簽名證書,。

為此，請執(zhí)行以下操作步驟：

1. 在 CPU 特性中,，雙擊“保護(hù)和安全 > 證書管理器”(Protection & Security > Certificatemanager) 下的“<新增>”(<Add new>),，

2. 單擊“添加”(Add)。

3. 在“創(chuàng)建新證書”(Create a new certificate) 對話框中，為“使用(Usage) 選擇“OPC UA客戶端”(OPC UA client) 選項(xiàng),。

4. 單擊“確定”(OK),。

在“主題備用名稱”(Subject Alternative Name) 字段中，STEP 7 將自動輸入所生成證書的

URI,。在使用 OPC 基金會的  堆棧生成程序特定的證書時(shí),，將調(diào)用該字段（如

“ApplicationUri”）。在其它證書生成工具中,，該基金會的名稱可能不同,。

用戶自己生成 PKI 密鑰對和證書

只有在使用無法自行創(chuàng)建 PKI 密鑰對和客戶端證書的 OPC UA 客戶端時(shí)，才會涉及此部

分內(nèi)容,。此時(shí),，可通過 OpenSSL 生成一個(gè)私鑰和一個(gè)公鑰，生成一個(gè) X.509 證書,，并對

該證書進(jìn)行簽名,。西門子PLC模塊CPU224XP型號214-2BD23-0XB8

使用 OpenSSL

OpenSSL 屬于傳輸層安全工具，可用來創(chuàng)建證書,。您還可以使用其它工具,，例如 XCA，

一款密鑰管理軟件,，該軟件具有圖形用戶界面,，改進(jìn)了已頒發(fā)證書的總覽功能。

要在 Windows 系統(tǒng)中使用 OpenSSL,，請按以下步驟操作：

1. 在 OpenSSL 系統(tǒng)中,，安裝 Windows。如果操作系統(tǒng)為 64 位,，則 OpenSSL 將安裝在

“C:OpenSSL-Win64”目錄中,。OpenSSL-Win64 作為開源軟件，可從不同的軟件提供

商處下載,。

2. 創(chuàng)建一個(gè)目錄,，如“C:demo”。

3. 打開命令提示符,。為此,，單擊“Start”，并在搜索欄中輸入“cmd”或“command prompt”,。

右鍵單擊結(jié)果列表中的“cmd.exe”，并以管理員身份運(yùn)行該程序,。Windows 將打開命令

提示符,。

4. 切換到“C:demo”目錄。為此，可輸入以下命令：“cd C:demo”,。

5. 設(shè)置以下網(wǎng)絡(luò)變量：

– set RANDFILE=c:demo.rnd

– set OPENSSL_CONF=C:OpenSSL-Win64binopenssl.cfg

下圖顯示了包含以下命令的命令行窗口：

6. 現(xiàn)在,，啟動 OpenSSL。如果 OpenSSL 已安裝在 C:OpenSSL-Win64 目錄中,，則可

輸入：C:OpenSSL-Win64binopenssl.exe,。下圖顯示的命令行窗口中包含以下命

令：

7. 生成私鑰。將密鑰保存到“myKey.key”文件,。在本示例中,，密鑰的長度為 1024 位；為

了實(shí)現(xiàn)更高的 RSA 安全性,，實(shí)際長度采用 2048 位,。輸入以下命令：“genrsa -out

myKey.key 2048”（在本示例中為“genrsa -out myKey.key 1024”）。下圖顯示了包含

該命令的命令行以及 OpenSSL 輸出結(jié)果：

8. 生成一個(gè) CSR (Certificate Signing Request),。為此,，可輸入以下命令：“req -new -

key myKey.key -out myRequest.csr”。在該命令的執(zhí)行過程中,，OpenSSL 將查詢有關(guān)

證書的信息：

– 國家/地區(qū)名稱：如,，“DE”為德國，“FR”為法國

– 州或省名稱：例如“Bavaria”,。

– 位置名稱：如,，“Augsburg”

– 機(jī)構(gòu)名稱：輸入公司的名稱。

– 機(jī)構(gòu)單位名稱：如,，“IT”

– 公共名稱：如,，“OPC UA client of machine A”

– 電子郵件地址：