西门子工业交换机经销总代理商验证 TLS 服务器时,S7-1500 CPU 需要具有 MES 系统的 CA证书:用于验证证书路径的 Root证书和中间证书(如果适用)。需要将这些证书导入 S7-1500 CPU的全局证书存储器中。要导入通信伙伴的证书,请按照以下步骤进行操作:1. 打开项目树中全局安全设置下的证书管理器。2.选择待导入证书的相应表格(可信证书和 Root 证书颁发机构)。3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。导入证书时,系统将为该证书指定一个证书ID,并在下一步操作中将其指定给一个模块。4. 选择 PLC_1,并导航到“保护与安全”(Protection & Security)区域中的“伙伴设备证书”(Certificates of partner devices) 表格处。5.单击“证书主体”(Certificate subject) 列中的空行,添加所导入的证书。6. 在下拉列表中选择该通信伙伴所需的 CA证书,并进行确认。MES 系统还需要提供 CPU 的设备证书,用于对该 CPU 进行验证(即,TLS 客户端)。此时,MES系统中应包含该 CPU 的 CA 证书。如果要将证书导入 MES 系统,则需先从 CPU 的 STEP 7项目中导出该 CA证书。请按以下步骤操作:1. 打开项目树中全局安全设置下的证书管理器。2. 选择待导出证书的匹配表(CA 证书)。3.右键单击所选择的证书,打开快捷菜单。4. 单击“导出”(Export)。5.选择证书的导出格式。在下一个操作步骤中,需创建用户程序进行数据交换,并加载组态和该程序。S7-1500 CPU(作为 TLS服务器)和外部设备(作为 TLS 客户端)之间安全的开放式用户通信如果将 S7-1500 CPU 用作 TLS服务器,并且外部设备(如,ERP 系统(企业资源规划系统))建立了 TLS 连接/会话,则需要具有以下证书:• 对于 S7-1500CPU,需使用私钥生成一个设备证书(服务器证书),并随硬件配置一同下载到 S7-1500 CPU中。生成服务器证书时,需使用选项“由证书颁发机构签名”(Signed bycertificateauthority)。密钥交换需要使用私钥,如示例“基于 TLS 的 HTTP”的图所示。• 对于 ERP 系统,需先导出 STEP7 项目中的 CA 证书,再将其导入/加载到 ERP 系统中。基于 CA 证书,ERP 系统在建立 TLS 连接/会话时将检查从CPU 传送到 ERP 系统的 S7-1500服务器证书。
工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统
集成和硬件维护服务的综合性企业。与西门子品牌合作,只为能给中国的客户提供值得信赖的服务体系,我们
的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。建立现代化仓
储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品,我们以持续的卓越与服务,取得了年销
售额10亿元的佳绩,凭高满意的服务赢得了社会各界的好评及青睐。其产品范围包括西门子S7-SMART200、S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP等各类工业自动化产品。西门子授权代理商、西门子一级代理商 西门子PLC模块代理商﹐西门子模块代理商供应全国范围:
我们还提供。
西门子中国授权代理商——浔之漫智控技术(上海)有限公司,本公司坐落于松江工业区西部科技园,西边和全球zhuming芯片制造商台积电毗邻,
东边是松江大学城,向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等
交通主干道将松江工业区与上海市内外连接,交通十分便利。
目前,浔之漫智控技术(上海)有限公司将产品布局于中、高端自动化科技产品领域,
PLC模块S7-200、S7-1200、S7-300、S7-400、ET200分布式I/O等
HMI触摸屏、SITOP电源、6GK网络产品、ET200分布式I/O SIEMENS驱动产品MM系列变频器、G110 G120变频器、直流调速器、电线电缆、
驱动伺服产品、数控设备SIEMENS低压配电与控制产品及软起动器等
与邮件服务器进行开放式用户安全通信 (SMTP over TLS)S7-1500CPU 可使用通信指令 TMAIL-C 与邮件服务器建立安全连接。系统数据类型 TMail_V4_SEC 和TMail_QDN_SEC 可确定电子邮件服务器的伙伴端口,并通过“SMTP over TLS”协议访问电子邮件服务器。图5-13 S7-1500 CPU 与邮件服务器间的 OUC安全通信要建立安全的邮件连接,则需将电子邮件服务器(提供方)的根证书和中间证书导入 S7-1500CPU的全局证书存储器中。基于这些证书,CPU 在建立 TLS 连接 /会话时将检查由邮件服务器发送的服务器证书。要导入邮件服务器的证书,请按以下步骤操作:1. 打开项目树中全局安全设置下的证书管理器。2.选择待导入证书的相应表格(可信证书和 Root 证书颁发机构)。3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。导入证书后,系统将为该证书指定一个证书ID,并在下一步操作中将其指定给一个模块。4. 选择 PLC_1,并导航到“保护与安全”(Protection & Security)区域中的“伙伴设备证书”(Certificates of partner devices) 表格处。5.单击“证书主体”(Certificate subject) 列中的空行,添加所导入的证书。6. 在下拉列表中选择该通信伙伴所需的 CA证书,并进行确认。在下一个证书通信原理:基于 TLS 的 HTTP下图显示了如何使用后以下机制在 S7-1500 CPU 的 Web浏览器和 Web 服务器之间建立安全通信。需要在 STEP 7 中更改“仅允许 HTTPS 访问”(Permit accessonly through HTTPS) 选项。在STEP 7 V14 及以上版本中,可能会影响 S7-1500 CPU(固件版本V2.0 及以上版本)中 Web 服务器的服务器证书:服务器证书将在 STEP 7的以上版本及更改版本中生成。在该示例中还显示了 PC 的 Web 浏览器端如何基于加密的 HTTPS 连接所调用 CPU的Web 服务器网站。S7‑1500 CPU(固件版本 V2.0 及以上版本)中 Web 服务器证书的应用对于固件版本 V2.0及以下版本的 S7-1500 CPU,设置 Web 服务器属性时,如果无特殊要求,需设置为“只允许通过 HTTPS访问”(Permit access only with HTTPS)。对于此类 CPU,无需进行证书处理;CPU 将自动为 Web服务器生成所需证书。对于固件版本 V2.0 及更高版本的 S7-1500 CPU,STEP 7 会为 CPU生成服务器证书(Zui终实体证书)。在 CPU 的属性中为 Web 服务器分配服务器证书(“Web 服务器 > 安全”(Webserver >Security))。由于服务器证书名称通常为系统预设,无需任何更改即可轻松完成 Web 服务器的组态:激活Web 服务器。默认启用“仅允许 HTTPS 访问”(Permit access only with HTTPS) 选项,STEP 7将在编译过程中使用默认名称生成服务器证书。无论您是否在全局安全设置中使用证书管理器:STEP 7中包含生成服务器证书所需的全部信息。还需确定服务器证书的相关特性。如,名称或有效期等。说明在 CPU中,需设置当前的日期/时间。使用安全通信(如,HTTPS、安全 OUC、OPCUA)时,需确保相应模块为当前时间和当前日期。否则,模块会将所用的证书评估为无效,且无法进行安全通信。加载 Web服务器证书加载硬件配置时,系统将自动加载 STEP 7 生成的服务器证书。•如果在全局安全设置中使用证书管理器,则项目的证书颁发机构(CA 证书)对 Web 服务器的服务器证书进行签名。在加载过程中,项目的CA 证书也将自动加载。• 如果未在全局安全设置中使用证书管理器,则 STEP 7 会生成服务器证书作为自签名证书。通过 CPU 的IP 地址对 CPU 的 Web 服务器进行寻址时,每次 CPU 中以太网接口的 IP地址发生更改时,都必须生成新的服务器证书并加载(Zui终实体证书)。这是由于 CPU 的身份随 IP 地址一同更改。根据 PKI规则,该身份必须进行签名。如果使用域名(如,“myconveyer-cpu.room13.myfactory.com”)而非 IP地址对 CPU 进行寻址,则可避免这一问题。为此,需通过 DNS 服务器对该 CPU 的域名进行管理。为 Web 浏览器提供一份Web 服务器的 CA 证书在 Web 浏览器中,通过 HTTPS 访问 CPU 网站时,需安装该 CPU 的 CA证书。如果未安装证书,则将显示一条警告消息,不建议访问该页面。要查看该页面,需显式“添加例外情况”。有效的 Root 证书,可从CPU Web 服务器“简介”(Intro) Web 页面的“下载证书”(Downloadcertificate) 中下载。在STEP 7 中,可采用另一种方式:使用证书管理器,将项目的 CA 证书导出到 STEP 7 中的全局安全设置中。之后,再将 CA证书导入浏览器中。 下图简要说明了通信的建立方式(“握手”),并着重介绍了通过 HTTP overTLS 进行数据交换时所用的密钥协商过程。该过程可适用于基于 TLS的所有通信方式。即,也可适用于开放式用户安全通信(请参见“安全通信的基本知识”)。&$&$$OLFH֯⭘ĀKWWSVāॿ䇞䇯䰞㖁ㄉ$OLFHਁ䘱⭡ᴽ࣑ಘޜ䫕࣐ᇶⲴሩ〠ᇶ䫕⧠൘ˈ$OLFHо:HEᴽ࣑ಘਟ䘋㹼ሩ〠࣐ᇶ઼䀓ᇶ:HEᴽ࣑ಘ䙊䗷⿱䫕䀓ᇶሩ〠ᇶ䫕:HEᴽ࣑ಘкᐢㆮⲴޜ䫕઼⿱䫕:HEᴽ࣑ಘ᧕ਇ䘎᧕ᒦਁ䘱ޜ䫕৺䇱Җ$OLFH䲿ᵪ䘹ᤙሩ〠ᇶ䫕$OLFH图5-14 基于 HTTPS 的通信握手在本示例图中并不涉及 Alice 端(浏览器端)对 Web服务器所发送证书的验证措施。Alice 是否信任收到的 Web 服务器证书、信任该 Web服务器的身份并接受数据交换,具体取决于验证结果。验证 Web 服务器可靠性的操作步骤如下所示:1. Alice必须获得所有相关颁发机构的公钥。即,必须拥有整个证书链,才能对该 Web 服务器证书(即,Web服务器的Zui终实体证书)进行验证。Alice 的证书存储器中通常包含所需的根证书。安装 Web 浏览器时,将自动安装所有可信的 Root证书。如果 Alice 没有 Root 证书,则必须从证书颁发机构下载并安装到浏览器的证书颁发机构中。证书颁发机构还可以是该 Web服务器所处的设备。可通过以下几种方式获得中间证书:– 服务器以消息签名方式将所需的中间证书连同Zui低层实体证书一并发送给Alice。这样,Alice 即可对证书链的完整性进行验证。– 在这些证书中,通常包含证书签发者的 URL。Alice 可通过这些URL 加载所需的中间证书。在 STEP 7 中进行证书处理时,通常假设已将所需的中间证书和 Root证书导入项目中,并已分配给模块。2. Alice 使用这些证书的公钥,对证书链中的签名进行验证。 3.对称密钥需已经生成并传送到 Web 服务器中。4. 如果采用域名寻址 Web 服务器,则 Alice 还必须根据 RFC 2818中定义的 Internet PKI 规范验证该 Web 服务器的身份。由于该 Web 服务器的 URL(此时,为“FullyQualified DomainName”(FQDN))将保存到 Web 服务器的Zui终实体证书中,Alice 可对该 Web服务器的身份进行验证。如果字段“Subject AlternativeName”中的证书项与浏览器地址栏中的一致,则通过验证。之后,即可通过对称密钥进行数据交换,如上图所示。5.6.3安全通信要求5.6.3.1保护机密的组态数据基于证书的协议需要私钥才能正常发挥作用,并且私钥必须获得妥善保护,如有关安全通信的基本信息中所述。在 STEP 7V17 及以上版本中,可通过密码保护这些密钥和其它需保护的数据:保护机密 PLC组态数据的密码。如果已采取相应措施保护 TIAPortal 项目和 CPU 组态防止未经授权的访问,则可以不使用密码。无论是否分配密码:TIA Portal 都会生成用于保护机密PLC 组态数据的密钥信息。此密码对安全通信过程没有影响。用于保护机密 PLC组态数据的密码的复杂度决定了私钥受到保护的程度。提供密钥信息是进行安全通信(例如,基于 TLS 的 PG/HMI间安全通信)的先决条件:只有此密钥信息可用时,CPU才能处理安全通信所需的证书。下图显示了描述的上下文。ᇶ⸱ޘᆹؑޘᆹؑᇶ⸱สҾᇶ䫕ؑᰐᇶ⸱ オᇶ⸱ 唈䇔ᇶ䫕ؑᆹޘ䙊ؑ图5-15 修改机密组态数据的上下文安全设置向导将硬件目录中的 CPU 添加到 TIA Portal 中支持 PG/HMI安全通信的项目时,该 CPU 的安全设置向导随即启动。该向导将引导您逐步完成以下 CPU 设置:• 保护机密 PLC 组态数据的密码•PG/PC 和 HMI 通信模式• 访问等级在向导中,将这些设置逐一进行详细说明。Zui后,在总览中统一显示所有设置。在 TIAPortal 的网络视图中更换模块,该向导也将启动。与替换下来的 CPU 不同,新 CPU 支持 PG/HMI安全通信。向导中的所有设置都将应用到巡视窗口(CPU 属性)中。• TIA Portal 版本 V17 及以上版本• CPU 支持PG/HMI 间安全通信(S7-1500 CPU 固件版本 V2.9 及以上版本)• CPU 尚未下载,或使用选项“删除用于保护机密PLC 组态数据的密码”(Delete password forprotection of confidential PLCconfiguration data) 将 CPU 复位为出厂设置操作步骤1. 在网络视图或设备视图中打开 CPU 属性。2.导航至区域“保护与安全 > 保护 PLC 组态数据”(Protection & Security > Protectionof the PLCconfiguration data)。结果:启用“保护机密 PLC 组态数据”(Protectconfidential PLC configuration data) 选项,用于输入密码的空白字段以红色突出显示。3.通过“设置”(Set) 按钮组态密码(推荐)或禁用“保护机密 PLC 组态数据”(Protect confidentialPLCconfiguration data) 选项。4. 完成组态并创建用户程序。5. 下载到CPU。下载硬件配置时,系统将要求用户重新输入一次密码。背景:在 TIA Portal中使用已组态的密码来生成密钥信息,以保护机密组态数据。出于安全原因,密码和密钥信息均未保存在项目中。为了将密钥信息传送到CPU,在下载硬件配置时会重新生成密钥信息,此时必须重新输入一次密码。也可在 PG/HMI 与 CPU之间建立基于证书的通信由于 TIA Portal 版本 V17 及以上版本和 CPU 固件版本 V2.9 (S7-1500) 或V4.5 (S7-1200) 中的PG/HMI通信同样基于证书,在调试过程中,系统将提示用户接受服务器证书。密码管理的提示和规则• 在密码管理器中管理密码。•要检查新输入的密码合规性,防止密码简单等问题,请使用 TIA Portal 的密码策略验证设置。– 在项目树中,导航至区域“