创建另一个具有更长期限（例如365天）的自签名证书。如果已安装CODESYS Security Agent安全代理，即使已存在证书，也可以在安全页面上执行此操作。使用设备编辑器的PLC指令并不是一个方便的解决方法。
见下文: “使用具有更长有效期的控制器证书配置加密通信”
导入CA-签名的证书。这目前只能通过 runtime 的 PLC shell 命令来实现。因此，我们建议先使用自签名证书。

5.

.

点击确定以确认对话框提示。

⇒	该证书被列为受信任的。在第一次接受自签名证书后，您可以再次与控制器建立加密连接，而无需进一步提示。
	将打开一个对话框，提示是否应激活设备用户管理。

6.

.

点击是以确认对话框提示。

⇒	添加设备用户对话框打开。

7.

.

现在创建一个设备用户，以便作为该用户编辑用户管理。此时只有管理员组可用。为用户指定名称和密码。显示密码强度。也可以设置修改密码的选项。默认用户可以随时修改密码。点击确定进行确认。

⇒	将打开设备用户登录对话框。

8.

.

为刚刚定义的用户指定用户名和密码。

⇒	已登录控制器。在用户和组选项卡中，可以使用按钮切换到同步模式。界面为设备用户管理，可对该界面进行编辑。
	点击确定确认后，设备用户管理将显示在编辑器视图中。它包含刚刚定义的管理员组。该用户的名称也以设备用户的形式显示在窗口的任务栏中。

9.

.

所有保存的控制器证书（从第5步开始）都保存在计算机上的本地Windows证书存储中。你可以通过执行, certmgr.msc命令访问该内存。

⇒	在控制器证书中列出了与控制器进行加密通信的所有注册证书。

.

通过CODESYS Security Agent为加密通信配置具有更长期有效的控制器证书（推荐）

.

通过设备编辑器的PLC指令安装用于加密通信的控制器证书

当CODESYS Security Agent对您不可用时，请选择此不太方便的方法。在这种情况下，可以在设备编辑器的PLC 指令选项卡上为通信加密设置一个具有更长期有效的证书。

.

要求：已连接到控制器。

1.

.

首先，检查控制器上是否已存在合格证书。如果没有可用的证书，则创建一个新的证书。

双击设备树中的控制器，打开设备编辑器，然后选择PLC指令选项卡。

⇒	该选项卡显示空白显示窗口。在此下方是命令行。

2.

.

在命令行中键入以下命令：cert-getapplist。

⇒	列出所有使用的证书。该列表包含有关runtime组件以及证书是否可用的信息。

3.

.

如果组件CmpSecureChannel的证书仍然不存在，请在输入行中键入以下命令：

cert-genselfsigned <number of the component in the applist>

4.

.

点击日志选项卡，然后点击刷新按钮（

）。

⇒	显示证书是否成功生成。

5.

.

再次切换回PLC指令选项卡并键入命令cert-getapplist。

⇒	将显示组件CmpSecureChannel的新证书。

6.

.

在接下来的两个步骤中，在CODESYS的安全栅栏中激活加密通信。

7.

.

在状态栏中双击

打开安全栅栏。

8.

.

在用户选项卡上，选择安全级别组中的强制加密通信选项。

⇒	所有控制器的通信都是加密的。如果控制器上没有证书，则无法登录。
	开发系统、网关和控制器之间的连接线在控制器的设备编辑器的通讯设置选项卡上显示为黄色。

9.

.

作为应用于所有控制器的强制加密通信选项的替代方案，您还可以仅为特定控制器定义加密通信。为此，请在相应控制器的编辑器中选择通信设置选项卡。然后在设备列表框中点击加密通信。

⇒	与该控制器的通信是加密的。如果控制器上没有证书，则无法登录。
	开发系统、网关和控制器之间的连接线在控制器的设备编辑器的通讯设置选项卡上显示为黄色。

10.

.

当您第一次加载到控制器时，会弹出一个对话框，提示控制器证书不是由可信任的权威机构签名的。此外，该对话框还显示有关证书的信息，并提示您将其作为可信证书安装到控制器证书文件夹的本地存储中。

确认对话框后，证书将安装在本地存储中，并登录到控制器。

将来，与控制器的通信将使用此控制证书自动加密。

11.

.

为了提高< V3.5 13.0 控制器的密钥交换的安全性，可以在控制器上生成Diffie-Hellman参数。为此，请在输入行中键入命令cert-gendhparams。

>= V3.5.13.0.的控制器不再需要此功能。