西门子PLC模块CPU224XP型号214-2BD23-0XB8

西门子PLC模块CPU224XP型号214-2BD23-0XB8

使用 TIA Portal 的证书生成器

如果使用的 OPC UA 客户端未生成客户端证书，可通过 STEP 7 创建自签名证书。

为此，请执行以下操作步骤：

1. 在 CPU 特性中，双击“保护和安全 > 证书管理器”(Protection & Security > Certificatemanager) 下的“<新增>”(<Add new>)，

2. 单击“添加”(Add)。

3. 在“创建新证书”(Create a new certificate) 对话框中，为“使用(Usage) 选择“OPC UA客户端”(OPC UA client) 选项。

4. 单击“确定”(OK)。

在“主题备用名称”(Subject Alternative Name) 字段中，STEP 7 将自动输入所生成证书的

URI。在使用 OPC 基金会的  堆栈生成程序特定的证书时，将调用该字段（如

“ApplicationUri”）。在其它证书生成工具中，该基金会的名称可能不同。

用户自己生成 PKI 密钥对和证书

只有在使用无法自行创建 PKI 密钥对和客户端证书的 OPC UA 客户端时，才会涉及此部

分内容。此时，可通过 OpenSSL 生成一个私钥和一个公钥，生成一个 X.509 证书，并对

该证书进行签名。西门子PLC模块CPU224XP型号214-2BD23-0XB8

使用 OpenSSL

OpenSSL 属于传输层安全工具，可用来创建证书。您还可以使用其它工具，例如 XCA，

一款密钥管理软件，该软件具有图形用户界面，改进了已颁发证书的总览功能。

要在 Windows 系统中使用 OpenSSL，请按以下步骤操作：

1. 在 OpenSSL 系统中，安装 Windows。如果操作系统为 64 位，则 OpenSSL 将安装在

“C:OpenSSL-Win64”目录中。OpenSSL-Win64 作为开源软件，可从不同的软件提供

商处下载。

2. 创建一个目录，如“C:demo”。

3. 打开命令提示符。为此，单击“Start”，并在搜索栏中输入“cmd”或“command prompt”。

右键单击结果列表中的“cmd.exe”，并以管理员身份运行该程序。Windows 将打开命令

提示符。

4. 切换到“C:demo”目录。为此，可输入以下命令：“cd C:demo”。

5. 设置以下网络变量：

– set RANDFILE=c:demo.rnd

– set OPENSSL_CONF=C:OpenSSL-Win64binopenssl.cfg

下图显示了包含以下命令的命令行窗口：

6. 现在，启动 OpenSSL。如果 OpenSSL 已安装在 C:OpenSSL-Win64 目录中，则可

输入：C:OpenSSL-Win64binopenssl.exe。下图显示的命令行窗口中包含以下命

令：

7. 生成私钥。将密钥保存到“myKey.key”文件。在本示例中，密钥的长度为 1024 位；为

了实现更高的 RSA 安全性，实际长度采用 2048 位。输入以下命令：“genrsa -out

myKey.key 2048”（在本示例中为“genrsa -out myKey.key 1024”）。下图显示了包含

该命令的命令行以及 OpenSSL 输出结果：

8. 生成一个 CSR (Certificate Signing Request)。为此，可输入以下命令：“req -new -

key myKey.key -out myRequest.csr”。在该命令的执行过程中，OpenSSL 将查询有关

证书的信息：

– 国家/地区名称：如，“DE”为德国，“FR”为法国

– 州或省名称：例如“Bavaria”。

– 位置名称：如，“Augsburg”

– 机构名称：输入公司的名称。

– 机构单位名称：如，“IT”

– 公共名称：如，“OPC UA client of machine A”

– 电子邮件地址：