西门子PLC模块授权总经销商 6ES7132-6BH01-0BA0 ET 200SP 标准型 适用A0型基座单元
6ES7132-6BH01-0BA0 SIMATIC ET 200SP, Digital output module, DQ 16x 24V DC/0,5AStandard, Source output (PNP,P-switching) Packing unit: 1 piece,fits to BU-type A0, Colour Code CC00, substitute value output,module diagnostics for: short-circuit to L+ and ground, wire break,supply voltage |
在“起始值”(Start value) 列中,设置安全通信的参数。 –“ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则忽略后面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。 – “TLSServerRe”:TLS客户端需具有 X.509-V3 证书。输入值“true”。 – “TLSServerCertRef”:自身 X.509-V3 证书的ID。 – “TLSClientCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA证书),或输入 值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。如果使用不同的 CA证书,则需在证 书管理器的全局安全设置中输入相应的 ID。 5. 在程序编辑器中,创建一个 TSEND_C、TRCV_C 或 TCON指令。 6. 将 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC数据类型的变 量进行互连。 上传设备作为新站 在将带有证书的组态进而组态的开放式用户安全通信作为新站上传到 STEP 7 项目中时,与CPU 的证书不同,CP 的证书不会上传。在将设备加载为新站后,在 CP 的设备证书表格中不会 包含更多证书。上传后,需再次对证书进行组态。否则,重新加载组态将导致 CP 之前存在的证书删除,无法 进行安全通信。 通过 CPU 和 CP 接口的OUC 安全连接(操作相似) • 连接资源: OUC 和安全 OUC 之间无差别。编程的 OUC 安全连接将使用诸如 OUC连接之类的连接资 源,而不考虑与该站通信的 IE/PROFINET 接口。 • 连接诊断: OUC 和 OUC安全连接诊断之间无差别。 • 将带有 OUC 安全连接的项目加载到 CPU 中: 如果还需加载证书,则只能 CPU STOP模式下进行。 建议:加载到设备 > 硬件和软件 (Load to device > Hardware andsoftware)。原因:需确 保带有安全 OUC 的程序、硬件配置和证书一致。 证书随硬件配置一同加载。因此,加载过程中需要停止CPU 的运行。仅当所需的证书位于 模块中时,才能在 RUN 模式下重新加载使用其它 OUC 安全连接的块。 4.6.4.5 通过Modbus TCP 进行 OUC 安全连接 要进行 Modbus TCP 安全连接,需手动创建一个 TCON_IP_V4_SEC 或TCON_ 系统数 据类型的数据块,分配相应参数并在 MB_Server 或 MB_CLIENT指令中直接调用该数据块。 要求: • S7‑1500 CPU 固件版本 V2.5 或更高版本 • Modbus 客户端(TLS客户端)可通过网络中的 IP 通信访问 Modbus 服务器(TLS 服务 器)。 • TLS 客户端和 TLS服务器具有所需的全部证书。 78 通信 功能手册, 11/2022, A5E03735819-AK 通信服务 4.6 安全通信 与Modbus TCP 服务器建立 Modbus TCP 安全连接的示例 在下文章节中,介绍如何通过 Modbus TCP 在Modbus TCP 客户端与 Modbus TCP 服务器之间 建立开放式用户安全通信。 要在 Modbus TCP客户端(TLS 客户端)与 Modbus TCP 服务器(TLS 服务器)之间建立安全 连接并设置邮件服务器的 Ipv4地址,请按以下步骤操作: 1. 在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个 TCON_IP_V4 SEC数据类型的变量。 图 4-31 TCON_IP_V4_SEC 3. 在“起始值”(Start value)列中,设置 TCP 连接的连接参数。例如,在“MailServerAddress”中 输入邮件服务器的 IPv4 地址。 4.在“起始值”(Start value) 列中,设置安全通信的参数。例如,在“TLSServerCertRef”中输入通 信伙伴的 CA证书的证书 ID。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则忽略后面的安全参数。此时,可设置一个 Modbus TCP 非安全连接。 – “TLSServerCertRef”:对Modbus TCP 服务器中 X.509 V3 (CA) 证书的引用,TLS 客户端 使用该信息对 Modbus TCP服务器进行身份验证。 5. 在程序编辑器中,创建一个 MB_CLIENT 指令。 6. 将 MB_Client 指令的 CONNECT参数与 TCON_IP_4_SECC 数据类型的变量进行互连。 4.6.4.6 通过电子邮件实现 OUC 通过 CPU接口建立与邮件服务器的安全连接 要建立与邮件服务器的安全通信,需手动创建一个 TMAIL_V4_SEC 或 TMAIL_系统数 据类型的数据块,分配参数并在 TMAIL_C 指令中直接调用该数据块。 79 通信服务 4.6 安全通信 通信 功能手册,11/2022, A5E03735819-AK 要求: • TMAIL_C 指令,版本 V5.0 或更高版本 •STEP 7 V15 及更高版本 • S7‑1500 CPU V2.5 及更高版本 • 已经为 CPU(TLS客户端)分配了邮件服务器(TLS 服务器)的所有 CA 证书,且组态已下 载到 CPU 中。 • 在 CPU中,设置当前的日期和时间。 与邮件服务器建立安全连接的操作过程 与邮件服务器建立安全连接时,可选择以下两种操作过程: •SMTPS:客户端尝试与邮件服务器立即建立 TLS 连接(“握手”过程)如果邮件服务器不支持 TLS,则不建立连接。 •STARTTLS:客户端与邮件服务器建立 TCP 连接。客户端将发送一个请求,“更新”当前通过 TCP 连接与 TLC安全连接的连接。如果邮件服务器支持 TLS,则客户端将发生该命令建立 安全连接。为此,邮件服务器将使用 SMTP命令“STARTTLS”。之后,客户端将建立与邮件 服务器的安全连接。优势:如果邮件服务器不支持 TLS,则客户端和邮件服务器之间可进行非安全通信。 在块参数“MAIL_ADDR_PARAM”的数据类型中设置“远程端口”(Remote Port),可定义进行通信的进行。 表格 4-5 SMTPS 和 STARTTLS 进程的端口号 进程 端口 SMTPS: 4651STARTTLS: 任意端口 (≠465)2 1 指令 TMAIL_C 仅在 465 端口采用 SMTPS通信协议。其它所有端口将使用 STARTTLS 通信协议。 2 根据 RFC,邮件服务器使用端口 25,而 STARTTLS安全连接则使用端口 587。RFC 不建议 SMTP 使用 其它端口号,否则无法确保与邮件服务器的通信成功。 示例:通过 IPv4与邮件服务器建立安全连接 在以下章节中,将介绍如何使用 TMAIL_C 通信指令与 IPv4 邮件服务器建立安全连接。要通过邮件服务器的 IP4 地址建立安全连接,请按以下步骤操作: 1. 在项目树中,创建一个全局数据块。 80 通信 功能手册,11/2022, A5E03735819-AK 通信服务 4.6 安全通信 2. 在该全局数据块中,定义一个 TMAIL_V4_SEC数据类型的变量。 在以下示例中,显示了一个全局数据块“MailConnDB”,其中,定义了数据类型为 TMAIL_V4_SEC的变量“MailConnectionSEC”。 图 4-32 数据类型 TMAIL_V4_SEC 3.在“起始值”(Start value) 列中,设置 TCP 连接的连接参数。例如,在“MailServerAddress”中输入邮件服务器的 IPv4 地址。 说明 连接参数接口 ID 请注意,在数据类型 TMAIL_V4_SEC 中,如果指令TMAIL_C 的指令版本为 V5.0 或更高版 本,则需在接口 ID 中输入值“0”。此时,CPU 将自行搜索适用的本地 CPU接口。 4. 在“起始值”(Start value) 列中,设置安全通信的参数。例如,在“TLSServerCertRef”中输入通信伙伴的 CA 证书的证书 ID。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则忽略后 面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。 –“TLSServerCertRef”:对电子邮件服务器中 X.509 V3 (CA) 证书的引用,供 TLS 客户端用来对邮件服务器进行身份验证。 5. 在程序编辑器中,创建一个 TMAIL_C 指令。 81 通信服务 4.6 安全通信 通信功能手册, 11/2022, A5E03735819-AK 6. 将 TMAIL_C 指令的 MAIL_ADDR_PARAM 参数与TMAIL_V4_SEC 数据类型的变量进行互连。 在以下示例中,TMAIL_C 指令的 MAIL_ADDR_PARAM参数已与“MailConnectionSEC”变量 (TMAIL_V4_SEC 数据类型)进行互连。 图4-33 TMAIL_C 指令 通过通信模块接口与邮件服务器建立安全连接要通过一个通信模块与邮件服务器建立安全通信,则需手动创建一个系统类型为 TMAIL_V4_SEC、TMAIL_ 或TMAIL_V6_SEC 的数据块,分配参数并在 TMAIL_C 指令 中直接调用该数据块。 要求: • TMAIL_C 指令,版本V4.0 • S7-1500 CPU 固件版本 V2.0 及以上版本,通信模块 CP 1543‑1 固件版本 V2.0及以上版本 • ET 200SP CPU 固件版本 V2.0 及以上版本,通信模块CP 1542SP‑1 (IRC) 固件版本 V1.0 及 以上版本 • 已将邮件服务器的所有 CA 证书分配给CP(TLS 客户端),而且已将组态下载到 CPU 中。 • 在 CPU 中,设置当前的日期和时间。有关如何通过通信模块的接口与邮件服务器建立安全连接的信息,请参见 STEP 7 在线帮助。 应用示例 通过本应用示例(https://support.industry.siemens.com/cs/cn/zh/view/46817803),介绍了如何使用 S7-1500 或 S7-1200 站的 CP 与电子邮件服务器建立安全连接,以及通过默认应用程 序“TMAIL_C”从 S7CPU 发送电子邮件。 更多信息 有关系统数据类型 TMail_V4_SEC 和 TMAIL_ 的更多信息,请参见STEP 7 在线帮助。 有关安全通信的更多信息,请参见“安全通信 (页 40)”部分。 82 通信 功能手册, 11/2022,A5E03735819-AK 通信服务 4.6 安全通信 4.6.5 PG/HMI 间安全通信 4.6.5.1 基于标准化安全机制的PG/HMI 通信 在 V17 及以上版本中集成有*新型控制器和*新型 HMI 设备,TIA Portal、STEP 7 和WinCC 的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信(简称为 PG/HMI 通信)。 具体涉及以下 CPU 系列:• S7-1500 控制器系列固件版本 V2.9 及以上版本 • S7-1200 控制器系列固件版本 V4.5 及以上版本 •软件控制器固件版本 V21.9 及以上版本 • SIMATIC 启动控制器固件版本 V2.9 及以上版本 • PLCSim 和PLCSim Advanced 版本 V4.0 HMI 组件经更新以支持 PG/HMI 间安全通信: • 使用 WinCC精简版、精智版和**版组态的面板或 PC • 安装有 WinCC 专业版运行系统 的 PC • WinCC Unified PC和精智面板 还更新了 V6.1 及以上版本的 SINAMICS RT SW 和 V17 及以上版本的 STARTDRIVE。PG/HMI 通信的特性 PG 通信和 HMI 通信*显著的一个特点是简单:在安装 TIA Portal 的编程设备和 CPU之间建立 在线连接(例如,以下载程序)只需几步简单的操作。此在线连接基于公认的 SIMATIC 通信标准,可满足机密性和完整性等方面的要求。 在将机器和系统集成到开放 IT 环境过程中,必须确保编程设备/HMI 设备与 CPU之间的通信不 仅要有效保护敏感数据的完整性和机密性,同时还要确保其符合公认的安全标准,从而能够应 对未来的挑战。 在 TIAPortal 版本 V14 中,基于用户程序的“开放式用户通信”过程已扩展为“安全的开放式用户通信”机制。同时还建立了其它基于证书的通信机制(HTTPS、Secure SMTP over TLS 或 OPC UA)。在 TIAPortal 版本 V17 即以上版本中,还对 PG/HMI 通信进行了升级:在此,TLS(传 输层安全)协议用于采用标准化安全机制的PG/HMI 间安全通信。 更改的内容 用于提高安全性的附加可选密码 上述设备的组态形式中*显著的变化是能够分配密码以保护相应 CPU的敏感组态数据。敏感 组态数据包括诸如私钥等数据,基于证书的协议正常运行(安全通信)需要私钥,对于 TIA Portal V17及以上版本,PG/HMI 通信也需要私钥。在 TIA Portal 中输入密码时,可以使用策略设置来检查已分配的密码。这样,可确保企业遵循既定的密码策略。如果计算机或系统已采用其它类似保护,而无需实施基于西门子工业深度防御机制的保护措 施,则无需进行密码分配。如果已采取相应措施保护TIA Portal 项目和 CPU 组态防止未经授权 的访问,则可以不使用密码。 警告 如果不使用密码,则私钥仅获得弱保护请注意,如果未使用密码来保护受信任的组态数据,则安全通信所需证书的私钥仅获得弱保 护。 83 通信服务 4.6 安全通信 通信功能手册, 11/2022, A5E03735819-AK PG/HMI 与 CPU 之间基于证书的通信 由于 PG/HMI通信基于证书,因此调试过程中要求接受服务器证书。 通过其它参数分配选项,可以确定 CPU 运行期间的行为:例如,可以指定 CPU允许连接到不 支持 PG/HMI 间安全通信的设备。 维护/更换部件方案 为了在更换部件方案中更换 CPU时不发生故障,必须遵守特定的规则(参见“更换部件方案的 规则 (页 66)”)。 更多信息有关如何保护机密组态数据的概览,请参见“保护机密的组态数据 (页 58)”部分。 4.6.5.2 PG/HMI 间安全通信的其它设置除了分配用于保护机密 PLC 组态数据的密码外,还提供其它设置选项以确定 CPU 运行期间的 行为。 PG/PC 和 HMI 通信模式可以设置 CPU 与编程设备和 HMI 设备的通信方式: • 仅通过 PG/HMI 间安全通信 • 通过 PG/HMI间安全通信和先前使用的 PG/HMI 通信(简称为“传统的 PG/HMI 通信”)。 操作步骤 1. 在 CPU属性中,导航至区域“保护与安全 > 连接机制”(Protection & Security > Connectionmechanisms)。 2. 选择要使用的选项。 选择证书或生成新证书 如果选择用于 PG/HMI通信的连接机制,则可以选择符合条件的 PLC 通信证书来保护连接,或 者由 TIA Portal生成证书。如果已分配密码或已取消激活保护机密 PLC 组态数据的选项(即未 设置密码),则“保护与安全 >连接机制”(Protection & Security > Connection mechanisms) 中已预先设置了具有适当设置和有效默认名称的证书。 操作步骤 如果要通过 TIA Portal 生成新证书,或者要选择其它现有证书: 1.在“PLC 通信证书”(PLC communication certificate) 字段中,单击三个点以展开该字段。 2.选择所需证书,或单击“添加”(Add) 按钮。 3. 添加证书时,将显示一个包含证书设置选项的对话框。 用于设置“TLS服务器”,可以更改其它参数(例如名称、哈希算法)。 应用证书管理的通用规则。例如,如果要生成 CA证书,则必须选择“证书管理器的全局设 置”(Global settings for the certificate manager)选项。此外,也可选择生成自签名 PLC 证书。 84