OCPP 2.0.1及ISO 15118-20要求桩车双向TLS认证,证书有效期通常1-2年。
过期后果:桩端证书失效→TLS握手失败→OCPP后台拒绝连接→远程控制中断→即插即充(PnC)失效→用户无法启动充电。
2024年欧洲某运营商因根证书更新延迟,3000台桩批量离线72小时,损失充电收入+违约金超50万欧元。
触发条件为证书有效期剩余<30天(可配置,建议30-60天),或云端CA策略变更(如密钥轮换、算法升级)。
桩端发起CertificateSignedRequest,包含当前证书信息、新密钥对公钥(由HSM生成,私钥不出安全元件)、证书签名请求(CSR)。
OCPP后台转发至CA(如TÜV、VDE、DigiCert或私有CA),CA验证身份后签发新证书。
后台通过CertificateSignedResponse推送新证书,桩端验证证书链完整性、有效期、签名算法。验证通过后,新证书写入安全存储,旧证书标记为"待废弃",设定切换时间点(如下次充电会话开始时)。
切换后旧证书保留180天(可配置),作为回滚备份。
HSM/TPM为私钥生成和存储的硬件安全模块,私钥永不导出,仅HSM内部完成签名运算。
国产方案为华大电子CIU98、国民技术Z32HUB;国际方案为Infineon OPTIGA、NXP A71CH。
FRAM/eMMC为证书链存储,掉电不丢失,容量2-8MB,支持磨损均衡。
安全Bootloader为证书更新前验证签名,防恶意固件刷入;更新失败自动回滚上一版本。
CA离线或网络中断,桩端重试3次(间隔1小时),失败后进入"证书即将过期"告警状态,本地自治模式继续运行(最多30天宽限期)。
新证书验证失败(如签名不匹配、链断裂),保留旧证书,上报SecurityEventNotification,等待人工介入。
后台强制吊销(如密钥泄露),桩端通过OCSP或CRL检查,立即切换备用证书或进入安全停机。
预置多证书链,桩端同时预置主CA和备用CA根证书,主CA故障时自动切换,避免单点失败。
边缘缓存OCSP响应,减少实时查询延迟,离线时依赖CRL快照。
证书透明日志(CT),监控CA签发行为,发现异常证书及时告警。
国密算法支持,SM2/SM3替代RSA/SHA-256,满足中国市场合规,同时保留国际算法兼容。
Profile 3机制让OCPP控制板"证书到期前30天自动申请、自动签发、自动切换、自动备份",HSM保私钥、FRAM存证书、Bootloader防篡改、异常处理保连续。2026年证书过期断网?Profile 3+多CA预置+边缘缓存,将风险从"批量离线72小时"压到"零人工、零感知、零中断"。证书管理不再是运维黑洞,而是桩端自治的基础设施。
芯橙科技出品的交流充电桩控制板,质优价美,欢迎咨询选购!
联系人: 深圳市芯橙科技有限公司
手机: 18025316892
电话: 0755-21010929
邮箱: shutao.chen@x-cheng.com
地址: 深圳市龙华区民治大道展滔科技大厦B座911