西门子PLC模块授权总经销商 6ES7193-6BP20-0DA0 ET 200SP 基础单元

西门子PLC模块授权总经销商 6ES7193-6BP20-0DA0 ET 200SP 基础单元

OPC UA 服务器启动后，CPU 会在满足下面其中一个条件时自动进入配置阶段： • OPC UA 服务器证书是 CPU生成的初始自签名证书，尚未替换为有效的服务器证书。 • 信任列表（可信任客户端列表）为空。 CPU 生成的 OPC UA服务器证书包含 OPC UA 服务器*重要的参数，并且除非已存在有效的服 务器证书，否则将在每次接通电源后启动 OPC UA服务器时重新生成（包括私钥在内）。出于 此原因，OPC UA 服务器可能在接通电源后需要更长的启动时间。 通信 170 功能手册,11/2022, A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全在硬件配置已下载后，可在运行时更新的证书，其证书存储区将在下载时删除，或者证书将得 到保留，具体取决于设置。这意味着，如果 GDS处于激活状态并且证书存储区已删除，CPU 将在硬件配置已下载后进入配置阶段。 配置阶段诊断 配置阶段结束 除了维护 LED点亮之外，GDS 地址模型还有两个节点可提供信息，指示 CPU 的 OPC UA 服务 器是否处于配置阶段： 只有在 GDS的要求得到满足后（端点安全已签署并加密，另外也已具备管理员功能权限）， 用户才能出于诊断目的使用图中标记的两个节点。ProvisioningModeEnabled：表示支持配置阶段 ProvisioningModeActive：表示 CPU 的OPC UA 服务器处于配置阶段。 在满足以下条件时，CPU 将自动结束配置阶段： • CPU在配置阶段生成并自签名的证书已由有效的服务器证书覆盖。该有效的服务器证书既 可以是自签名证书，也可以是 CA 签名证书。 • CPU中的信任列表不为空，即，存在用于检查客户端证书的 CA 证书，或者存在可信赖的 OPC UA 客户端的客户端证书。 如果 OPC UA客户端传送 CA 签名证书并且另外也将 CA 证书添加到信任列表中，则 CPU 的 OPC UA 服务器可自动接受 OPC UA客户端发送的由同一 CA 签名的所有其它证书。 请求有效服务器证书 自 TIA Portal 版本V18/S7-1500 CPU 版本 V3.0 起，除了 OPC UA 服务器证书之外，也可将其 它服务的证书传送到 CPU中，例如用于 Web 服务器。 相应的服务（例如 CPU 的 OPC UA 服务器）通过以下步骤接收有效的证书： 1. GDS客户端（OPC UA 客户端）调用“CreateSigningRequest”方法请求服务器证书：通过证 书签名请求 (CSR)。2. 此 CSR 必须由证书颁发机构 (CA) 签署。 3. 签名的 CSR 必须再传送回 CPU 的 OPC UA服务器并用作证书。 在客户端具有所需的“管理证书”功能权限时，CPU 的 OPC UA 服务器会支持此方法。“CreateSigningRequest”方法允许用于以下变体： • 更新证书，但不创建新的密钥对（使用已有的内部 CPU 密钥）• 更新证书，并创建新的密钥对（CPU 内部） 通信 171 功能手册, 11/2022, A5E03735819-AK OPC UA通信 10.2 OPC UA 的信息安全 此外，也可以使用外部创建的密钥对来生成证书。 注意 关于生成证书的推荐过程应避免传送私钥；私钥不得离开设备。 因此，我们建议在生成证书时不创建新密钥对，或在 CPU 内创建密钥对。 创建证书但不创建密钥对 •“CreateSigningRequest”方法返回证书签名请求 (CSR)，即包含服务器或服务的特定信息 （例如应用程序名称和URL）的文件 (*.csr)。 • 在 CPU 外部，必须对该 CSR 进行验证并由证书颁发机构 (CA) 进行签名，*后必须返回证书。 • 随后，必须使用“UpdateCertificate”方法将证书传送到 CPU（“推送”）。 在这种情况下，密钥不会离开CPU。 使用内部创建的密钥对创建证书 此过程与上一节介绍的方法类似，唯一的区别是除了生成 CSR 之外，还会生成一个密钥对。在“CreateSigningRequest”方法的参数中指定将生成密钥对。 在此过程中，私钥不能离开 CPU。 生成新的密钥对会给CPU 带来很大负载。CPU 会在通信负载的预留区内以更低的优先级处理 此请求，且需要的时间较长。此时间的长短取决于 CPU 的性能。由于在密钥生成过程的较长时间内将完全利用所设通信负载的空间部分，在设置“通信用循环 负载”(Cycle load due tocommunication) 空间部分时，应确保不会超出*大循环时间并且预留 空间充足。为此，使用 CPU 的 Web服务器页面“诊断 > 运行时间信息”(Diagnostics > Runtimeinformation)。此页面显示当前程序/通信负载和用户程序循环时间的信息。就更改后的通信负载对循环时间的影响，用户可通过控制器获得帮助。 使用外部创建的密钥对创建证书 借助诸如可以生成其它密钥的工具来生成证书。证书和密钥通过“UpdateCertificate”方法传送到 CPU。 由于安全性低，此过程不推荐。 注意为不同的目标系统使用不同的密钥 对于生产系统，始终使用新生成的密钥。如对项目进行仿真和测试（例如，通过 PC 上的 PLCSIMAdvanced 进行），在任何情况下都不得将作为仿真用途的密钥用于生产系统。 应通过设置相应的权限来限制对 PC 式控制器的访问。10.2.7.5 推送证书管理的地址模型 OPC UA 规范第 12 部分 (OPC 10000-12: Discovery,Global Services) 定义了 OPC UA 服务器的 方法和属性，例如允许 GDS 或 OPC UA客户端更新服务器上的证书和信任列表（“推送证书管 理”）。这些方法和属性也包含在 OPC UA 服务器的地址模型中。 下文介绍了S7-1500 CPU 的 OPC UA 服务器的地址模型中的相关部分。 通信 172 功能手册, 11/2022,A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全 要求 为了使相关方法和属性对 GDS推送功能可见，必须满足以下要求： • GDS 已激活。 • 设定的安全策略支持通过签名和加密确保数据的完整性和机密性。 •使用运行系统功能权限“管理证书”进行访问 GDS 推送功能的地址模型 GDS 推送功能的地址模型相当于 OPC UA规范的“Information Model for Push Certificate Management”OPC 10000-12:Discovery, Global Services。 “ServerConfiguration”节点下方的结构如下所示：用于访问地址模型的方法和属性 下文简要介绍了这些方法和属性，并介绍了 S7-1500 CPU 特定地址模型的特殊功能和限制。上文列出的 OPC UA 规范包含一般说明。 此概述表下方给出了有关各个方法的详细说明。 方法/属性（变量）说明CreateSigningRequest 此方法用于生成以服务（例如 OPC UA 服务器）私钥进行签名 的 PKCS#10编码证书请求。 UpdateCertificate此方法用于为 OPC UA 服务器更新服务器证书等。 ApplyChanges此方法用于，在已设置“ApplyChangesRequired”属性的情况 下，在执行之前执行过的方法时，应用安全相关更改。 注如果证书因“ApplyChanges”而更改，CPU 将中断此证书所担保 的连接/会话。 背景：作为担保连接基础的证书不再有效。GetRejectedList 此方法会返回被 OPC UA 服务器拒绝的证书列表。 S7-1500 CPU 的 OPC UA服务器目前不会存储被拒绝的证书。 此方法返回一个空数组 RejectedList。 ServerCapabilitiesS7-1500CPU 的 OPC UA 服务器不支持该变量。 SupportedPrivateKeyFormats此变量用于指定允许使用的私钥格式。对于 S7-1500 CPU，仅 允许使用“PEM”（字符串数组）MaxTrustListSize此变量用于指定信任列表的*大大小。 MulticastDnsEnabled 此变量用于指定是否支持组播DNS。对于 S7-1500 CPU，该值 为“False”。 通信 173 功能手册, 11/2022,A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全 方法/属性（变量）说明CertificateGroups 该对象（文件夹）用于组织 OPC UA 服务器所支持的所有证书组。这些证书组包含运行期间可动态更新的对象。例如，每个 证书组包含一个信任列表，还包含一个或多个分配给服务（例 如 OPC UA应用程序）的证书。 有关 CertificateGroups 对象的结构以及此对象中提供的方法和 属性的详细信息，请参见下一节。CreateSigningRequest 该方法具有以下参数： 参数数据类型说明 [in]certificateGroupIdNodeIdCertificateGroup 对象的 NodeId。 [in]certificateTypeId NodeId 请求的证书类型。 允许使用的证书类型列表由证书组的“CertificateTypes”变量指定。 例如，OPC UA 服务器使用的证书类型是“RsaSha256ApplicationCertificateType”，Web服务器使用的证书类型是“HttpsCertificateType” [in] subjectName String证书请求中请求的主题名称。如果未指定，则使 用证书的当前主题名称。 [in] regeneratePrivateKey BooleanTrue：服务器生成新私钥。该密钥会一直保存到 调用签名证书匹配的 UpdateCertificate 方法为 止。False：服务器使用既有私钥。 [in] nonce ByteString 用于生成新私钥的额外随机数（参见regeneratePrivateKey）。长度必须至少为 32 字 节。 [out]certificateReCS #10 - DER 编码证书请求。 方法结果代码 结果代码说明Bad_InvalidArgument certificateTypeId、certificateGroupId 或subjectName 无效。 Bad_UserAccessDenied当前用户不具备所需的功能权限。UpdateCertificate 应用： • 通过 CreateSigningRequest 生成证书。未提供私钥。 •新私钥和新证书在服务器之外生成。两者均通过 UpdateCertificate 进行更新。 •证书通过现有证书的私钥生成并签名。未提供私钥。 174 通信 功能手册, 11/2022, A5E03735819-AK OPC UA通信 10.2 OPC UA 的信息安全 参数数据类型说明 [in]certificateGroupIdNodeIdCertificateGroup 对象的 NodeId。 [in]certificateTypeId NodeId 请求的证书类型。 允许使用的证书类型列表由证书组的“CertificateTypes”变量指定。 ByteString [in] certificate [in]issuerCertificates 替换现有证书的 DER 编码证书。 ByteString颁发机构证书 [in]privateKeyFormat String 私钥格式。目前仅支持 PEM。如果未指定 privateKey：零或空字符串。[in] privateKey ByteString 按 privateKeyFormat 中指定的格式进行编码的私 钥。 [out]applyChangesRequired Boolean 指示使用新证书前必须调用“ApplyChanges”方 法。 方法结果代码结果代码说明 Bad_InvalidArgumentcertificateTypeId 或 certificateGroupId无效。 Bad_CertificateInvalid证书无效或格式不受支持。 Bad_NotSupported私钥无效或格式不受支持。Bad_UserAccessDenied当前用户不具备所需的功能权限。Bad_SecurityChecksFailed验证证书完整性时出错。 应用更改 GetRejectedList 通信该方法没有参数。 方法结果代码 结果代码说明 Bad_UserAccessDenied当前用户不具备所需的功能权限。该方法具有以下参数： 参数数据类型说明 [out] certificates ByteStrings 被拒绝的 DER 编码证书列表。由于不会存储被拒绝的证书，此方法目前返回一 个空列表（空数组）。 方法结果代码 结果代码说明Bad_UserAccessDenied当前用户不具备所需的功能权限。 175 功能手册, 11/2022,A5E03735819-AK OPC UA 通信 10.2 OPC UA 的信息安全 10.2.7.6 地址模型中的CertificateGroups 运行过程中，CPU（OPC UA 服务器）中可更新服务或应用程序的证书和信任列表位于地址模型中的“CertificateGroups”对象中，该对象是 S7‑1500 CPU 中所有服务都有的一个证书组。对 于 OPC UA服务器证书，证书组的名称为“OPC UA server”。 地址模型中的 CertificateGroup下图显示了“ServerConfiguration”节点下方“CertificateGroups”对象的结构。 在 STEP 7(TIA Portal) 中，可更改 CertificateGroups 的 Display Name（例如，“OPC UAserver”的显示名称）： 1. 在巡视窗口（CPU 属性）中，导航至“保护与安全 > 证书管理”(Protection &Security > Certificate management) 区域。 2.启用“运行期间使用证书管理提供的证书”(Use certificates provided by certificatemanagement during runtime) 选项。 3. 更改下表中证书组的组名称 (DisplayName)。允许 7 位ASCII 格式的 1-64 字符。 第一列包含已激活的可在运行时传送证书的服务，“ID”列包含用于在 CPU 内部引用证书的固定数字标识符。 以下是“证书管理”(Certificate management) 区域中的显示示例： 图10-7  证书管理设置 “CertificateTypes”节点“CertificateTypes”变量指定分配给服务器应用程序的证书类型的 NodeId。 例如，OPC UA服务器服务支持“RsaSha256ApplicationCertificateType”CertificateType，Web服务器支持“HttpsCertificateTypeCertificateType”。设备与网络 设备与网络 - 转至在线可以在设备视图或网络视图中查看自动化系统当前状态的总览图。 在设备视图中可执行以下任务： • 设备组态和参数分配 •模块组态和参数分配 在网络视图中可执行以下任务： • 设备组态和参数分配 • 网络设备 要求 操作步骤 • STEP 7已打开。 • 项目已经打开。 • 项目视图已打开。 要查看自动化系统当前状态的总览图，请按以下步骤操作： 1.在工作区中打开“网络视图”(Network view)。 2. 选择 CPU。 S7-1500、ET 200MP、ET200SP、ET 200AL、ET 200pro 诊断 功能手册, 11/2022, A5E03735842-AG 33系统诊断的设置和判断 5.2 系统诊断的显示方式 3. 单击工具栏中的“转至在线”(Go online)  按钮。将打开“转至在线”(Go online) 对话框。 图 5-6  转至在线 34 4. 对接口进行相应设置。 5.在“目标子网中兼容的设备”(Compatible devices in the target subnet) 中选择相应的设备。 6.单击“连接”(Connet) 按钮，确认对话框。 在线模式已启动。 S7-1500、ET 200MP、ET 200SP、ET200AL、ET 200pro 诊断 功能手册, 11/2022, A5E03735842-AG 系统诊断的设置和判断 5.2系统诊断的显示方式 结果 5.2.2.4 在线模式 在工作区的网络视图中，将显示带有诊断信息的已连接设备。 此时，可以查看自动化设备当前状态的总览图。 图 5-7  带有诊断信息的 CPU 双击该设备，将转至“设备视图”(Device view)。将在该视图中显示各个模块的诊断信息。 说明 符号及其含义 有关各个符号的含义，请参见“诊断符号说明 (页 29)”和STEP 7 在线帮助中的图例。 在线与诊断 在线模式中，PG/PC与一个或多个设备之间存在一条在线连接。根据设备属性，在线模式中的 诊断选项和功能不同。 • 诊断– 模块的常规信息– 诊断状态–循环时间– 存储器– 诊断缓冲区– 显示– 接口信息（例如 IP 参数、端口信息等） S7-1500、ET 200MP、ET200SP、ET 200AL、ET 200pro 诊断 功能手册, 11/2022, A5E03735842-AG 35系统诊断的设置和判断 5.2 系统诊断的显示方式 • 功能– 分配 IP 地址– 设置 CPU 的时间和日期– 固件更新（例如PLC，显示屏）– 分配设备名称– 复位为出厂设置– 格式化存储卡– 保存服务数据 要建立一个在线连接，必须至少安装有一个 PG/PC接口并通过以太网电缆与一个设备进行物理 连接。项目树中设备右边的符号将指示该设备当前的在线状态。 图5-8  网络视图（部分） 要求 操作步骤 36 • STEP 7 已打开。 • 项目已打开。 •项目视图已打开。 要显示故障设备的总览视图，请按以下步骤操作： 1. 在项目树中选择受影响的设备文件夹。 S7-1500、ET200MP、ET 200SP、ET 200AL、ET 200pro 诊断 功能手册, 11/2022, A5E03735842-AG系统诊断的设置和判断 5.2 系统诊断的显示方式 2. 选择快捷菜单命令“在线与诊断”(Online & Diagnostics)。将启动待诊断模块的在线与诊断视图。 图 5-9  设置在线访问 3. 对接口进行相应设置。在此，可以修改之前成功建立的在线连接的接口访问设置。 4. 单击“转至在线”(Go online) 按钮。 此时，在线连接已经建立。结果 可在巡视窗口的区域导航中“诊断”(Diagnostics) 部分的“属性”(Properties) 选项卡中，查看每个设备的详细诊断信息。 S7-1500、ET 200MP、ET 200SP、ET 200AL、ET 200pro 诊断 功能手册,11/2022, A5E03735842-AG 37 系统诊断的设置和判断 5.2 系统诊断的显示方式 5.2.2.5巡视窗口中的“诊断”选项卡 巡视窗口中的“诊断”选项卡 巡视窗口中的 “诊断”（Diagnostics）选项卡中包含与诊断事件和已组态报警事件等有关的信 息。 图5-10  巡视窗口中“设备信息”选项卡中的诊断信息 说明 符号及其含义 有关诊断符号说明 (页 29)中各个符号的含义，请参见图例和 STEP 7 在线帮助。 子选项卡“设备信息”通过该选项卡，可以大概了解当前或之前建立在线连接的故障设备。下表列出了故障设备的以 下诊断信息： •在线状态：诊断符号与文字形式的在线状态 • 操作模式：符号与文字形式的操作模式 • 设备/模块：受影响设备或模块的名称。 •通过以下方式建立连接：用于指定与故障设备建立连接的路径。 • 报警：对前一列中的条目进行解释说明，必要时将显示一个报警。 •详细信息：该链接可打开设备的在线和诊断视图，并将其置于*顶层。 如果尚未与该设备建立在线连接，则打开“转至在线”(Go online)对话框。 • 帮助：该链接将显示故障的更多信息。 说明 通信和访问错误 在设备信息的“诊断”(Diagnositcs)选项卡中，不会报告有关用户程序的错误（例如，通信 错误、访问错误）。要查看该错误信息，必须从在线与诊断视图中读取 CPU 的诊断缓冲区。单击“详细信息”(Details) 列中的链接，可打开诊断缓冲区。 子选项卡“连接信息” 在“连接信息”(Connectioninformation) 选项卡中，将显示连接的详细诊断信息。如果一个活动的在线连接至少连接到一个相关连接的端点，则将只显示“连接信息”(Connection information) 选项卡。38 S7-1500、ET 200MP、ET 200SP、ET 200AL、ET 200pro 诊断 功能手册, 11/2022,A5E03735842-AG 系统诊断的设置和判断 5.2 系统诊断的显示方式如果在连接表中已选择了一个连接，则该选项卡中将包含以个组： • 连接的详细信息 • 连接的地址详细信息 图5-11  “连接信息”选项卡和打开的连接概览 如果在网络视图中选中一个模块，则选项卡中还将包含以下组： •连接资源 子选项卡“报警显示” 系统诊断报警通过 “报警显示” （Alarm display）选项卡输出。 图5-12  “报警显示”选项卡 要在 STEP 7 中接收报警，请按以下步骤操作： 1. 打开项目视图。2. 在项目树中选择所需的 CPU。 3. 选择快捷菜单命令“转至在线”(Go online)，在线连接相应的 CPU。S7-1500、ET 200MP、ET 200SP、ET 200AL、ET 200pro 诊断 功能手册, 11/2022,A5E03735842-AG 39 系统诊断的设置和判断 5.2 系统诊断的显示方式 4. 在项目树中重新选择所需的CPU，然后选择快捷菜