SIEMENS西门子 编码器电缆 6FX3502-5BL03-1AH0

             S7-1500 CPU（作为 TLS 客户端）与外部设备（作为 TLS 服务器）之间安全的开放式用户通信 例如，两个设备将通过 TLS 连接或 TLS 会话交换数据，从而交换配方、生产数据或质量数据： • S7-1500 CPU (PLC_1) 作为 TLS 客户端；CPU 采用安全的开放式用户通信 • 外部设备（例如，制造执行系统 (MES)）作为 TLS 服务器 作为 TLS 客户端，S7-1500 CPU 建立与 MES 系统的 TLS 连接/会话。4. 单击下拉列表中的“添加”(Add) 按钮，选择证书。 “生成新证书”(Generate new certificate) 对话框随即打开。 5. 保留该对话框中的默认设置。这些设置专用于开放式用户安全通信（用途：TLS）。 提示信息：扩展证书持有者的预设名称（在这种情况下，为 CPU 名称）。为了更好地进行区 分，需要管理大量设备证书时，建议保留默认的 CPU 名称。 示例：PLC_1/TLS 变为 PLC_1-SecOUC-Chassis17FactoryState。 6. 编译组态。 设备证书和 CA 证书是组态的一部分。 7. 为 PLC_2 重复上述步骤。 在接下来的步骤中，需要创建用户程序以进行数据交换，并下载组态以及相应的程序。 使用自签名证书而非 CA 证书 创建设备证书时，可选择“自签名”(Self-signed) 选项。无需登录全局安全设置即可创建自签 名证书。不建议执行该过程，因为通过这种方法创建的证书不会存在于全局证书存储器中， 因此不会直接分配给伙伴 CPU。 如前文所述，应谨慎选择证书持有者的名称，这样才会毫无疑问地为设备分配合适的证书。 无法通过 STEP 7 项目的 CA 证书验证自签名的证书。要确保自签名证书可通过验证，需要将 通信伙伴的自签名证书加入每个 CPU 的可信伙伴设备列表中。为此，必须已激活选项“使 用证书管理器的全局安全设置”(Use global security settings for certificate manager)，并以用 户身份登录全局安全设置。 要将通信伙伴的自签名证书添加到 CPU 中，请按以下步骤操作： 1. 选择 PLC_1，并导航至“保护和安全”(Protection & Security) 区域的“伙伴设备证 书”(Certificates of partner devices) 表。 2. 单击“证书持有者”(Certificate holder) 列的空行，打开下拉列表，以便添加或选择证书。 3. 从下拉列表中选择通信伙伴的自签名证书，并确认选择。 在接下来的步骤中，需要创建用户程序以进行数据交换，并下载组态以及相应的程序。① TLS 客户端 ② TLS 服务器 为验证 TLS 服务器，S7-1500 CPU 需要 MES 系统的 CA 证书：根证书以及中间证书（如果适 用，用于验证证书路径）。 需要将这些证书导入 S7-1500 CPU 的全局证书存储器中。 要导入通信伙伴的证书，请按照以下步骤进行操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 为要导入的证书选择匹配表（根证书颁发机构的受信证书）。 3. 右键单击该表，打开快捷菜单。单击“导入”(Import)，导入所需证书或所需 CA 证书。 通过导入过程，相关证书会收到证书 ID，并会在下一步中被分配给模块。 4. 选择 PLC_1，并导航至“保护和安全”(Protection & Security) 区域的“伙伴设备证 书”(Certificates of partner devices) 表。 5. 单击“证书持有者”(Certificate holder) 列的空行，以添加导入的证书。 6. 从下拉列表中选择通信伙伴的所需 CA 证书，并确认选择。 此外，MES 系统还会要求提供 CPU 的设备证书来验证 CPU（即，TLS 客户端）。在这种情 况下，CPU 的 CA 证书必须对 MES 系统可用。将证书导入 MES 系统的前提条件是，先从 CPU 的 STEP 7 项目中导出 CA 证书。请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 为要导出的证书选择匹配表（CA 证书）。 3. 单击右键，打开所选证书的快捷菜单。 4. 单击“导出”(Export)。 5. 选择证书的导出格式。 在接下来的步骤中，需要创建用户程序以进行数据交换，并下载组态以及相应的程序。

             S7-1500 CPU（作为 TLS 服务器）和外部设备（作为 TLS 客户端）之间安全的开放式用户通信 如果 S7-1500 CPU 用作 TLS 服务器，并且外部设备（例如，ERP 系统（企业资源规划系统）） 建立 TLS 连接/会话，则您需要以下证书： • 对于 S7-1500 CPU，使用私钥生成设备证书（服务器证书），并将其与硬件配置一同下 载。生成服务器证书时，可使用选项“由证书颁发机构签名”(Signed by certificate authority)。 密钥交换需要使用私钥，如示例“基于 TLS 的 HTTP”的图所示。 • 对于 ERP 系统，需要导出 STEP 7 项目的 CA 证书，并将其导入/下载至 ERP 系统。基于 CA 证书，ERP 系统将在建立 TLS 连接/会话过程中检查从 CPU 传送到 ERP 系统的 S7-1500 服 务器证书。通过 S7-1543-1 CP（作为电子邮件客户端）实现的安全的开放式用户通信（基于 TLS 的 SMTP） S7-1500 CPU 可使用通信指令 TMAIL-C 通过 CP 1543-1 与电子邮件服务器建立安全连接。 借助系统数据类型 TMail_V4_SEC、TMail_V6_SEC 和 TMail_QDN_SEC，可以指定电子邮件 服务器的伙伴端口，进而通过“基于 TLS 的 SMTP”访问电子邮件服务器。 实现安全的电子邮件连接的前提条件是，将根证书和中间证书从电子邮件服务器（提供方） 导入至 STEP 7 项目的全局证书存储器。将这些证书分配至 CP 后，CP 会检查由电子邮件服 务器在通过该证书建立 TLS 连接/会话时发送的电子邮件服务器的服务器证书。请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 为要导入的证书选择匹配表（根证书颁发机构的受信证书）。 3. 右键单击该表，打开快捷菜单。单击“导入”(Import)，导入所需证书或所需 CA 证书。 通过导入过程，相关证书会收到证书 ID，并会在下一步中被分配到 CP。 4. 选择 CP 1543-1，并导航至“安全”(Security) 部分中的“伙伴设备证书”(Certificates of partner devices) 表。 5. 单击“证书持有者”(Certificate holder) 列的空行，以添加导入的证书。 6. 从下拉列表中选择电子邮件服务器所需的 CA 证书，并确认选择。 在接下来的步骤中，需要创建用户程序以实现 CPU 的电子邮件客户端功能，并下载组态以 及相应的程序。 参见 两个 S7-1500 CPU 之间的安全 OUC (页 406) S7-1500 CPU（作为 TLS 客户端）和外部 PLC（作为 TLS 服务器）之间的安全 OUC (页 410) S7-1500 CPU（作为 TLS 服务器）和外部 PLC（作为 TLS 客户端）之间的安全 OUC (页 412) 通过电子邮件实现的安全 OUC (页 419) 通过 CP 接口进行安全 OUC 连接 (页 414) 证书通信原理：基于 TLS 的 HTTP (S7-1200, S7-1500, S7-1500T) 下图展示了如何使用文中介绍的安全机制在 S7-1500 CPU 的 Web 浏览器和 Web 服务器之间 建立安全通信。 首先介绍如何更改 STEP 7 中的选项“仅允许通过 HTTPS 进行访问”(Permit access only through HTTPS)。自 STEP 7 V14 起，可以影响固件版本为 V2.0 及更高版本的 S7-1500 CPU Web 服务器的服务器证书：此服务器证书采用该版本及更高版本的 STEP 7 生成。 此外，还显示了使用 PC 的 Web 浏览器通过加密的 HTTPS 连接调用 CPU 的 Web 服务器网站 时采用的过程。 使用固件版本为 V2.0 及更高版本 S7-1500 CPU 的 Web 服务器证书 对于固件版本 V2.0 及以下版本的 S7-1500 CPU，设置 Web 服务器属性时，如果无特殊要求， 需设置为“只允许通过 HTTPS 访问”(Permit access only with HTTPS)。 对于此类 CPU，无需参与证书的处理过程；CPU 将自动为 Web 服务器生成所需证书。对于固件版本 V2.0 及更高版本的 S7-1500 CPU，STEP 7 会为 CPU 生成服务器证书（Zui终实 体证书）。在 CPU 的属性中为 Web 服务器分配服务器证书（“Web 服务器 > 服务器安全”(Web server > Server security)）。 由于服务器证书名称始终预设，因此 Web 服务器的简单组态没有任何变化：激活 Web 服务 器并激活选项“仅允许使用 HTTPS 进行访问”(Permit access only with HTTPS) - STEP 7 会在 编译期间使用预设名称生成服务器证书。 无论是否在全局安全设置中使用证书管理器：STEP 7 都具备生成服务器证书所需的全部信息。 此外，还可以确定服务器证书的属性，例如名称或有效期等。 说明 在 CPU 中，必须设置当前的日期/时间。 使用安全通信（如，HTTPS、安全 OUC、OPC UA）时，需确保相应模块为当前时间和当前 日期。否则，模块将所用的证书评估为无效，同时不进行安全通信。 下载 Web 服务器证书 下载硬件配置时，系统将自动下载 TIA Portal (STEP 7) 生成的服务器证书。 • 如果在全局安全设置中使用证书管理器，则项目的证书颁发机构（CA 证书）会对 Web 服 务器的服务器证书进行签名。下载时，项目的 CA 证书也会自动加载。 • 如果未在全局安全设置中使用证书管理器，则 STEP 7 会生成服务器证书作为自签名证书。 通过 CPU 的 IP 地址对 CPU 的 Web 服务器进行寻址时，每次 CPU 中以太网接口的 IP 地址发 生更改时，都必须生成新的服务器证书并加载（Zui终实体证书）。这是由于 CPU 的身份随 IP 地址一同更改。根据 PKI 规则，该身份必须进行签名。 如果使用域名（如，“myconveyer-cpu.room13.myfactory.com”）而非 IP 地址对 CPU 进行寻 址，则可避免这一问题。为此，需要通过 DNS 服务器对 CPU 的域名进行管理。 为 Web 浏览器提供一份 Web 服务器的 CA 证书 在 Web 浏览器中，通过 HTTPS 访问 CPU 网站时，需安装该 CPU 的 CA 证书。如果未安装证 书，则将显示一条警告消息，不建议访问该页面。要查看该页面，需显式“添加例外情 况”。 有效的 root 证书（证书颁发机构），可从 Web 服务器“简介”(Intro) Web 页面的“下载证 书”(Download certificate) 中下载。 在 STEP 7 中，可采用另一种方式：使用证书管理器，将项目的 CA 证书导出到 STEP 7 中的 全局安全设置中。之后，再将 CA 证书导入浏览器中。