西门子PLC模块授权总经销商 6ES7132-6BD20-0DA0 ET 200SP 数字输出模块

西门子PLC模块授权总经销商 6ES7132-6BD20-0DA0  ET 200SP 数字输出模块

STEP 7 自动将所需的 CA 证书与硬件配置一同加载到通信伙伴的 CPU 中，确保两个 CPU 中满足证书验证需求。因此，用户只需生成相应 CPU 的设备证书，其余操作将由 STEP 7 完成。 1.在“保护和安全”(Protection & Security) 区域中，标记 PLC_1 并激活“使用证书管理器的全局安全设置”(Use global security settings for certificate manager) 选项。 2.在项目树的“全局安全设置”(Global security settings) 区域中，以 user 身份进行登录。对于新项目，首次登录时的身份为“Administrator”。 3.返回“保护与安全”(Protection & Security) 区域的 PLC‑1中。在“设备证书”(Device certificates) 表格中，单击“证书主体”(Certificate subject)列的一个空行，添加新的证书。 4. 在下拉列表中，选择一个证书并单击“添加”(Add) 按钮。 “创建证书”(CreateCertificate) 对话框随即打开。 5. 保留该对话框中的默认设置。这些设置专用于开放式用户安全通信（用途：TLS）。提示：补充证书主体的默认名称（此时，为 CPU 名称。为了便于区分，需管理大量设备证 书时，建议保留系统默认的 CPU 名称。示例：PLC_1/TLS 变为 PLC_1-SecOUC-Chassis17FactoryState。 6. 编译组态。 设备证书和CA 证书是组态的一部分。 7. 对于 PLC_2，重复以上操作步骤。在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。 使用自签名证书而非 CA 证书创建设备证书时，可选择“自签名”(Self-signed) 选项。即使在未登录，也可创建自签名证书进行全局安全设置。但不建议执行该操作。这是因为，采用这种方式创建的证书不会保存在全局 证书存储器中，也无法直接分配给伙伴 CPU。如上文所述，选择证书的主体名称时需小心谨慎，以确保为设备指定的证书正确无误。 对于自签名证书，无法通过 STEP 7 项目的 CA证书进行验证。要确保自签名证书可通过验 证，需要将通信伙伴的自签名证书加入每个 CPU 的可信伙伴设备列表中。为此，必须激活选项“使用证书管理器的全局安全设置”(Use global security settings for certificatemanager)，并 以 user 身份登录全局安全设置。 要将通信伙伴的自签名证书添加到 CPU 中，请按以下步骤操作： 1. 选择PLC_1，并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证 书”(Certificatesof partner devices) 表格处。 2. 在“设备证书”(Device certificates)表格中，单击“证书主体”(Certificate subject) 列的一个空 行，添加新的证书。 3.在下拉列表中选择该通信伙伴的自签名证书，并进行确认。 在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。S7-1500 CPU（作为 TLS 客户端）与外部设备（作为 TLS 服务器）之间的开放式用户安全通信 两个设备将通过 TLS连接或 TLS 会话进行数据交换（如，配方、生产数据或质量数据）： • S7‑1500‑CPU (PLC_1) 作为 TLS客户端；该 CPU 采用开放式用户安全通信 • 外部设备（如，制造执行系统 (MES)）作为 TLS 服务器 53 通信服务 4.6安全通信 通信 功能手册, 11/2022, A5E03735819-AK S7-1500 CPU 作为 TLS 客户端，与 MES系统建立 TLS 连接/会话。 ① TLS 客户端 ② TLS 服务器 验证 TLS 服务器时，S7-1500 CPU 需要具有MES 系统的 CA 证书：用于验证证书路径的 Root 证书和中间证书（如果适用）。 需要将这些证书导入 S7-1500 CPU的全局证书存储器中。 要导入通信伙伴的证书，请按照以下步骤进行操作： 1. 打开项目树中全局安全设置下的证书管理器。 2.选择待导入证书的相应表格（可信证书和 Root 证书颁发机构）。 3.右键单击该表，打开快捷菜单。单击“导入”(Import)，导入所需证书或所需 CA 证书。 导入证书时，系统将为该证书指定一个证书ID，并在下一步操作中将其指定给一个模块。 4. 选择 PLC_1，并导航到“保护与安全”(Protection &Security) 区域中的“伙伴设备证 书”(Certificates of partner devices) 表格处。 5.单击“证书主体”(Certificate subject) 列中的空行，添加所导入的证书。 6. 在下拉列表中选择该通信伙伴所需的CA 证书，并进行确认。 MES 系统还需要提供 CPU 的设备证书，用于对该 CPU 进行验证（即，TLS 客户端）。此时， MES系统中应包含该 CPU 的 CA 证书。如果要将证书导入 MES 系统，则需先从 CPU 的 STEP 7 项目中导出该CA 证书。请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 选择待导出证书的匹配表（CA 证书）。 3.右键单击所选择的证书，打开快捷菜单。 4. 单击“导出”(Export)。 5. 选择证书的导出格式。在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。 S7-1500 CPU（作为 TLS 服务器）和外部设备（作为TLS 客户端）之间安全的开放式用户通信 如果将 S7-1500 CPU 用作 TLS 服务器，并且外部设备（如，ERP系统（企业资源规划系统）） 建立了 TLS 连接/会话，则需要具有以下证书： • 对于 S7-1500CPU，需使用私钥生成一个设备证书（服务器证书），并随硬件配置一同下 载到 S7-1500 CPU中。生成服务器证书时，需使用选项“由证书颁发机构签名”(Signed by certificate authority)。密钥交换需要使用私钥，如示例“基于 TLS 的 HTTP”的图所示。 • 对于 ERP 系统，需先导出 STEP 7 项目中的 CA证书，然后再将其导入/加载到 ERP 系统中。 基于 CA 证书，ERP 系统在建立 TLS 连接/会话时将检查从 CPU 传送到ERP 系统的 S7-1500 服务器证书。 54 通信 功能手册, 11/2022, A5E03735819-AK 通信服务 4.6安全通信 ① TLS 服务器 ② TLS 客户端 图 4-12  S7‑1500 CPU 与 ERP系统间的 OUC 安全通信 相关操作步骤，请参见上文介绍。 与邮件服务器进行开放式用户安全通信 (SMTP over TLS)S7-1500 CPU 可使用通信指令 TMAIL-C 与邮件服务器建立安全连接。 系统数据类型 TMail_V4_SEC 和TMail_ 可确定电子邮件服务器的伙伴端口，并通 过“SMTP over TLS”协议访问电子邮件服务器。 图4-13  S7-1500 CPU 与邮件服务器间的 OUC 安全通信要建立安全的邮件连接，则需将电子邮件服务器（提供方）的根证书和中间证书导入 S7-1500 CPU的全局证书存储器中。基于这些证书，CPU 在建立 TLS 连接 / 会话时将检查由邮件服务器 发送的服务器证书。要导入邮件服务器的证书，请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 选择待导入证书的相应表格（可信证书和Root 证书颁发机构）。 3. 右键单击该表，打开快捷菜单。单击“导入”(Import)，导入所需证书或所需 CA 证书。导入证书后，系统将为该证书指定一个证书 ID，并在下一步操作中将其指定给一个模块。 4. 选择PLC_1，并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证 书”(Certificatesof partner devices) 表格处。 5. 单击“证书主体”(Certificate subject)列中的空行，添加所导入的证书。 6. 在下拉列表中选择该通信伙伴所需的 CA 证书，并进行确认。 在下一个操作步骤中，需创建该 CPU中电子邮件客户端功能的用户程序，并加载组态与该程 序。 55 通信服务 4.6 安全通信 通信 功能手册, 11/2022,A5E03735819-AK 4.6.2.4 证书通信原理：基于 TLS 的 HTTP 下图显示了如何使用后以下机制在 S7-1500CPU 的 Web 浏览器和 Web 服务器之间建立安全 通信。 首先需要在 STEP 7 中更改“仅允许 HTTPS访问”(Permit access only through HTTPS) 选项。在 STEP 7 V14 及以上版本中，可能会影响S7-1500 CPU（固件版本 V2.0 及以上版本）中 Web 服 务器的服务器证书：服务器证书将在 STEP 7的以上版本及更改版本中生成。 此外，在该示例中还显示了 PC 的 Web 浏览器端如何基于加密的 HTTPS 连接所调用 CPU 的Web 服务器网站。 S7‑1500 CPU（固件版本 V2.0 及以上版本）中 Web 服务器证书的应用 对于固件版本 V2.0及以下版本的 S7-1500 CPU，设置 Web 服务器属性时，如果无特殊要求， 需设置为“只允许通过 HTTPS访问”(Permit access only with HTTPS)。 对于此类 CPU，无需进行证书处理；CPU 将自动为 Web服务器生成所需证书。 对于固件版本 V2.0 及更高版本的 S7-1500 CPU，STEP 7 会为 CPU生成服务器证书（*终实体 证书）。在 CPU 的属性中为 Web 服务器分配服务器证书（“Web 服务器 > 安全”(Webserver > Security)）。 由于服务器证书名称通常为系统预设，因此无需任何更改即可轻松完成 Web 服务器的组态：激活 Web 服务器。默认启用“仅允许 HTTPS 访问”(Permit access only with HTTPS) 选项，STEP 7 将在编译过程中使用默认名称生成服务器证书。 无论您是否在全局安全设置中使用证书管理器：STEP 7中包含生成服务器证书所需的全部信 息。 此外，还需确定服务器证书的相关特性。如，名称或有效期等。 说明 在 CPU中，需设置当前的日期/时间。 使用安全通信（如，HTTPS、安全 OUC、OPC UA）时，需确保相应模块为当前时间和当前日期。否则，模块会将所用的证书评估为无效，且无法进行安全通信。 加载 Web 服务器证书 加载硬件配置时，系统将自动加载 STEP 7生成的服务器证书。 • 如果在全局安全设置中使用证书管理器，则项目的证书颁发机构（CA 证书）对 Web 服务器的服务器证书进行签名。在加载过程中，项目的 CA 证书也将自动加载。 • 如果未在全局安全设置中使用证书管理器，则 STEP 7会生成服务器证书作为自签名证书。 通过 CPU 的 IP 地址对 CPU 的 Web 服务器进行寻址时，每次 CPU 中以太网接口的IP 地址发生 更改时，都必须生成新的服务器证书并加载（*终实体证书）。这是由于 CPU 的身份随 IP 地 址一同更改。根据 PKI规则，该身份必须进行签名。 如果使用域名（如，“myconveyer-cpu.room13.myfactory.com”）而非 IP地址对 CPU 进行寻 址，则可避免这一问题。为此，需通过 DNS 服务器对该 CPU 的域名进行管理。 为 Web 浏览器提供一份Web 服务器的 CA 证书 在 Web 浏览器中，通过 HTTPS 访问 CPU 网站时，需安装该 CPU 的 CA证书。如果未安装证 书，则将显示一条警告消息，不建议访问该页面。要查看该页面，需显式“添加例外情况”。 有效的 Root 证书，可从CPU Web 服务器“简介”(Intro) Web 页面的“下载证书”(Download certificate) 中下载。