什么原因会导致 SIMATIC PCS 7 软件无法启动或延迟
缩写解释 - URL - Uniform Resource Locator - 网络服务器地址
- CA - Certification Authority:
一个经过认证的访问请求,访问的用户,计算机或组织需要满足认证的要求。 - CTL - Certificate Trust List:
获得访问认证所需要满足的要求列表,这些要求形式多样,如,认证簇或文件名簇等。所有列表中的元素需要获得授权并得到受信任访问签名的允许。 - CRL - Certificate Revocation List:
一个由认证机构管理和发布的文档,文档中列出了该认证机构已经撤销了的认证。 - Root Certificate:
一个经过认证机构认证的自签名认证。之所以叫根认证是因为这个认证用于根凭证授权。这个认证必须签署自己的授权认证机构,因为没有更高授权认证机构。
系统行为
在最近多个版本中,当启动SIMATIC或Siemens软件调用某些应用程序时,SIMATIC PCS 7可能出现启动延迟甚至中止,例如,OS的PCS 7 Web选项、WinCC Calender选项、Batch控制中心和Batch 配方编辑器。 环境
现象会发生在以下环境中: - 计算机没有可用的已使能的网络连接;
- 计算不能访问互联网,尤其是:
- Windows Update
- 在认证中涉及到CRL认证的URLs.
详细
Microsoft在最近的产品中提供了安全相关的要求,这涉及到了安装软件的数字签名和操作系统的驱动。西门子为SIMATIC应用提供了相应的数字签名以确保软件安全性和应用的权限。因此,当应用运行时,就需要校验权限。
这些验证可能需要对 URLs、CAs、CTLs 和 CRLs访问,而这些访问有的是在局域网,有的是在因特网,如果这些验证无法完成时,会产生启动延时或无法启动的情况。 以下情形中会导致启动SIMATIC或相关应用时出现延时或失败: - CTL不存在
无论认证是否有受信任机构CA,这个确认都需要执行。如果CA的根认证在本地不可用,这个认证请求就会要求访问internet,如果网络访问不可用,软件的启动会延时或者中止。 - CRL 不可访问
CRL的URL需要授权或者根授权,如果计算机无法访问网络,启动会被延时或者中止。
注意
Windows操作系统事件日志中,在 Microsoft Windows CAPI2 service - "Ready for Operation Protocol" - "Application and Services Protocols", 您可以查看所有相关计算机中的事件描述(该协议必须先在MMC或协议的弹出目录中使能),如果协议中包含错误信息,可以在描述中查找更详细的描述。 如何避免
为了避免获得认证时出现超时的情况,我们推荐在PCS 7项目应用以下设置: "CTL non existent"的处理 - 安装并使用 WSUS(Windows Server Update Service)
- 在所有计算机中安装安全补丁 KB2813430
- 在WSUS server上下载并可本地使用的CTLs
- 在WSUS网络服务器上每日更新CTLs
- 组态所有计算机都可以本地使用 CTLs
- 所有的计算机都每日更新CTLs
"CRL not accessible"的处理 - 除了PCS 7 Web Server可以使用URLs的计算机,我们推荐其余所有计算机都取消CRL检查,URL请求超时设置为1秒。.
- PCS 7 Web Servers使用本地CRLs (譬如使用了客户端认证),推荐使能 CRL检查 (默认设置),并将URL请求超时设置为5秒。
|