SIMATIC 应用程序,组件和驱动程序接收数字签名,以确保应用程序的可信和可靠。证书被用于数字签名,在应用程序运行时,需要对它们进行强制检查。因此,证书检查支持工厂和 WinCC 系统的安全运行。
如果签名证书(根证书)不能被找到或者不更新,可能会显示一条错误的消息或者应用程序被中止。
Windows 证书存储
要检查数字签名,操作系统需要访问当前证书的出存储。通常连接因特网被用于更新证书的存储。
如果您的系统配置不允许连接因特网,那么必须保证在证书存储的证书列表是完整的和最新的。
此项提供一个示例,说明如何为离线系统提供最新的证书列表。
在 Microsoft KB 2813430 中可以提供更多的信息和步骤 。
Windows 管理员知识
对所描述的步骤需要深入的 Windows 管理员知识。总之,对注册表的修改不提供任何保证 ,因为这完全使用户的责任。在任何情况下,建议在执行操作之前对注册表进行备份。
重要链接
有更多的信息和步骤被描述在微软的条目中:
-
Microsoft KB 2813430 (https://support.microsoft.com/en-us/kb/2813430)
-
Microsoft - 证书(FAQ) (http://windows.microsoft.com/en-us/windows/certificate-faq)
需求
-
需要有管理员的权限配置系统相关的计算机。
-
需要一台具有网络共享功能的电脑,它在配置系统的网络中提供加载的证书列表。
此电脑在以上的描述中被命名为“证书服务器”。
需要一台能够连接因特网的电脑去加载证书列表和将它们存储在证书服务器的网络共享中。
步骤- 示例
- 安装Microsoft KB 2813430 在所有的电脑上。
- 安装Microsoft KB 2813430 在电脑上,从因特网加载证书列表。
- 在证书服务器上创建一个网络共享。
电脑上创建一个文件名 “Fileserver01” 例如: Fileserver01CertStore - 将分配系统的电脑可以读取网络共享的访问 。
-
将更新证书列表的电脑可以写入给该网络共享的访问。
-
在使用因特网的电脑上,可以使用以下命令加载最新的证书列表:
Certutil -syncWithWU <server><share>
例如: Certutil -syncWithWU Fileserver01CertStore
证书是从internet上加载的,并存储在证书服务器的网络共享中。 -
在每个离线系统上,都设置了以下三个注册表键:
[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesAuthRoot]:
- "DisableRootAutoUpdate"=dword:00000000
- "EnableDisallowedCertAutoUpdate"=dword:00000001[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootAutoUpdate]:
- "RootDirURL"=file://<server><share>
例如: "RootDirURL"=file://Fileserver01CertStore -
重新启动安装了 Microsoft KB 的所有电脑,或者已经更改了注册表键的所有电脑。
结果
如果一个证书必须在一个没有本地证书存储的离线电脑上进行验证,那么离线电脑就会在证书服务器的共享网络中寻找丢失的签名证书。
注释
应该定期更新证书服务器上的证书存储。
为了在本地网络中保持离线存储,应该定期在证书服务器上加载最新的证书列表,如上所述。
原创文章,作者:ximenziask,如若转载,请注明出处:https://www.zhaoplc.com/plc342165.html
微信扫一扫 
支付宝扫一扫