SIEMENS西门子 Basic PN驱动器 6SL5 610-1BB10-4AF0

                 创建证书 (S7-1500) 简介 可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时，相关证书仅适 用于此设备。独占式使用 CPU 特定的本地证书管理器时，仅创建自签名证书。 此外，还可以使用 Web 服务器或 OPC UA 的 CPU 设置直接创建新证书。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 及以上版本 (S7-1200) 中，PLC 通信证 书由系统预先选择并自动生成。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 (S7-1200) 及以上版本中，保护机密组 态数据的密码设置必须一致。 操作步骤 要创建新证书，请按以下步骤操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。3. 单击新行。将打开新证书选项。 4. 单击“添加”(Add) 按钮。相应对话框窗口随即打开，在此输入新证书的数据。 5. 显示如何对新证书进行签名： – 自签名：如果证书必须是自签名证书。 – 由证书颁发机构 (CA) 进行签名：从下拉列表中选择证书颁发机构。仅适用于激活了 证书管理器的全局安全设置的情况。 6. 输入证书的参数。 7. 如果单击“确定”(OK)，则会创建新证书并输入到表格中。 说明 自签名证书 使用自签名证书时，虽然已对传输路径进行加密，但消息的接收方尚未确认所谓的发送方是 否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送 方。此时，可以为设备创建自签发证书，但仍需等待证书颁发机构对证书进行签名。通过项 目树中的全局安全证书管理器，您可以在接收到证书颁发机构 (CA) 的“官方”证书后通过 指定证书颁发机构的方式，更换临时使用的自签名证书或更新该证书。当然，也可将自签名 证书保留在项目中，并不使用“官方的”CA 证书。 结果 已为设备创建新证书。在上述过程中，自动输入“TLS”，作为用途。否则，如果在 Web 服务 器的 CPU 设置中使用“安全”区域，则会输入开始创建证书时使用的服务，例如“Web 服务 器”。 证书 ID 证书管理器中的每个证书都会接收到一个 ID。此 ID 用于在下列情况下对证书进行标识： • OPC UA 服务器证书 • 受信 OPC UA 客户端的列表 • 受信 OPC UA 用户的列表 • Web 服务器证书 • 安全 OUC 指令 • 用于 PG/HMI 间安全通信的 PLC 通信证书 如果在 TIA Portal 中创建或导入证书，则证书 ID 由证书管理器分配。对特定系统数据类型（例 如，SDT TCON_IP_v4_Sec）唯一分配证书时，需要使用证书 ID。证书 ID 在项目中唯一，不 能更改。

              分配证书 (S7-1500) 简介 可以在巡视窗口中为 CPU 和 CP 分配可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 操作步骤 要为设备分配可用的证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。 3. 单击新行。将打开新证书选项。 4. 选择可用的证书。如果只有 CPU 特定的局部证书管理器激活，则无法查看全局可用的证书。 如果激活了全局安全证书管理器，则只能查看并选择全局可用的证书。 5. 单击绿色复选标记，将所选证书输入到证书表中。 结果 所选证书已分配给设备。导出证书 (S7-1500) 简介 可通过证书管理器导出可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 操作步骤 若要导出证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 右键单击待导出证书所在的行，打开快捷菜单。 3. 单击“导出证书”(Export certificate)。 4. 采用以下可选文件格式之一导出证书：CER、DER。 私钥无法导出，因为私钥已进行非对称加密，无法恢复。 结果 所选证书已导出，现可进行备份或用于其它项目。 参见 CPU 特定的局部证书管理器 (页 1380) 删除证书 (S7-1500) 简介 可通过证书管理器删除可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。操作步骤 若要删除证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 右键单击待删除证书所在的行，打开快捷菜单。 3. 单击“删除证书”(Delete certificate)。 结果 已在设备中删除所选证书。借助激活的全局安全证书管理器，可为项目保留证书，但不再用 于设备。 参见 CPU 特定的局部证书管理器 (页 1380) Web 服务器的证书 (S7-1500) 简介 可以在巡视窗口的“Web 服务器 > 安全”(Web server > Security) 下为 Web 服务器创建或分配 服务器证书。 局部 Web 服务器证书 如果在局部创建 Web 服务器证书而不使用证书管理器的全局安全设置，则存在以下限制： • 该证书仅适用于组态的 CPU，而非整个项目。 • 只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中，无法对其它 证书进行签名。 • 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。Web 服务器证书的默认设置 创建新证书时，会在 Web 服务器的相应对话框中输入以下值作为默认值： • 用途：Web 服务器。填写适用于 Web 服务器的“密钥用法”(Key usage) 下的条目（X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”）。 • 证书持有者：/Web 服务器。字符集受限，以满足 ASN.1 的相关规范要求。 • 加密过程：EC。 • 加密参数：prime256v1。 • 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN)：所用的 CPU 和 CP 接口的 IP 地址。 可使用其它值覆盖默认值。 注意 带预留 IP 地址的 SAN 如果证书持有者的备用名称包含一个或多个预留的 IP 地址，则证书将不能满足指南“Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates”要求。这会导致与您自己的 Web 浏览器不兼容。 为满足上述指南要求，应使用域名代替证书持有者备用名称中的 IP 地址。这要求网络中包 含 DNS 服务器，用于解析设备的 IP 地址。 参见 应了解的证书管理器知识 (页 1379) 证书通信原理：基于 TLS 的 HTTP (页 384) OPC UA 服务器的证书 (S7-1500) 简介 可以在巡视窗口的“OPC UA > 服务器 > 安全”(OPC UA > Server > Security) 下为 OPC UA 创建 或分配服务器证书。 OPC UA 的局部服务器证书 如果在局部为 OPC UA 创建服务器证书而不使用证书管理器的全局安全设置，则存在以下限 制： • 该证书仅适用于组态的 CPU，而非整个项目。 • 只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中，无法对其它 证书进行签名。 • 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。 服务器证书的默认设置 创建新证书时，会在 OPC UA 的相应对话框中输入以下值作为默认值： • 用途：OPC UA 服务器。填写适用于 OPC UA 服务器的“密钥用法”(Key usage) 下的条目 （X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”）。 • 证书持有者：/OPCUA。字符集受限，因而可满足 ASN.1 的相关规范要求。 • 加密过程：RSA。 • 加密参数：2048。 • 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN)：所用接口的 IP 地址以及 OPC UA 服务器的 URI。 可使用其它值覆盖默认值。Syslog (S7-1500) 简介 (S7-1500) 使用 Syslog 消息 举例来说，有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。 Syslog（系统日志记录）是用于传送已记录事件的 IETF 标准协议 (RFC 5424)，并满足这一 要求。CPU 可以记录以下事件，例如： • 安全事件 • 固件更新 • 对用户程序的更改 • 对组态的更改 • 对运行状态的更改 每个固件版本为 V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该 缓冲，可查看 syslog 消息并识别潜在的安全风险。如果要使用 syslog 消息访问本地缓存，请 使用 Web 服务器的 Web API（API 方法 Syslog.Browse）。有关操作步骤的信息，请参见 《Web 服务器 》功能手册。 不能禁止记录安全相关事件。可选择将 CPU 记录的事件传送到网络中的 syslog 服务器。 转发给 syslog 服务器 自 STEP 7 V19 起，对于固件版本为 V3.1 及更高版本的 CPU，可以将 syslog 消息传送到服 务器，例如 SINEC INS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会 保存所连接设备发出的所有 syslog 消息。系统和网络事件的消息集中存储在 syslog 服务器 的存储位置中。在 syslog 服务器界面，可查看收集的 syslog 消息，从而确定潜在安全风险 或问题的来源。 在安全信息和事件管理系统（SIEM 系统）中进行处理 为了能够接受传入的 syslog 消息，SIEM‑系统必须根据 RFC 5424 理解 syslog 协议。否则， SIEM 系统无法接受或处理传入的消息。 SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的 事件。在该事件中，会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检 测可能的攻击模型，并在必要时通知用户，比如系统中多个点遭受多次攻击的情况。