SIEMENS西门子 S-1FL2低惯量型电机 1FL2 104-2AG11-1HC0

                通过显示屏禁用对 CPU 的在线访问 (S7-1500) 可以在 S7-1500 CPU 的显示屏上阻止对受密码保护的 CPU 进行访问（本地阻止）。 只有在操作模式切换被设置为 RUN 时才能阻止访问。 无论密码保护如何，都能阻止访问。 这也就是说，即使通过连接的编程设备访问 CPU，并 且输入了正确的密码，也无法访问 CPU。 可以分别为显示屏上的每个保护等级设置访问阻止，这样就可以在本地允许读取访问，但是 不允许写入访问。 此外，可以在 CPU 的属性中为显示屏组态密码，这样本地访问保护就可由本地密码进行保 护。 步骤 按照以下操作在显示屏上设置 S7-1500 CPU 的本地访问保护： 1. 选择显示屏上的“设置 > 保护”(Settings > Protection) 菜单。 2. 通过“确定”(OK) 确认，并为每个保护等级设置是否允许在 RUN 模式中访问： 允许： 可以通过密码访问 CPU。 在 RUN 模式中阻止： 如果操作模式切换被设置为 RUN，那么即使获得相关密码，也不可使 用此保护等级权限登录 CPU。 在 STOP 模式中，可以使用密码输入进行访问。

               证书管理器 (S7-1500) 应了解的证书管理器知识 (S7-1500) 简介 数字证书对于在两个设备之间进行安全的数据传输至关重要。使用数字证书时，客户端还必 须检查并信任服务器的证书。根据使用的安全通信类型，服务器可能需要检查并信任客户端 的证书：只有在服务器接受客户端的数字证书，将其归类为可信证书并信任该证书时，客户 端才能与服务器建立安全连接。 固件版本为 V2.0 或更高版本的 S7-1500 CPU 支持使用证书。 设备特定的以及项目级证书管理器 通过 CPU 特定的本地证书管理器，可为相应的设备生成和管理证书。然后，这些证书可由 以下对象使用： • 设备的 OPC UA 服务器 • 设备的 Web 服务器 • 需要使用证书并且通过证书 ID 进行引用的所有其它系统功能。在 TIA Portal V14 中， Secure OUC 和 TMAIL 也采用 PG/HMI 间安全通信（TIA Portal V17 及以上版本）。 说明 证书管理器中的每个证书都会接收到一个 ID，以用于在特定 SDT 中进行唯一性引用。证 书 ID 由证书管理器在创建或导入证书时进行分配。证书 ID 在项目中唯一，不能更改。 CPU 特定的本地证书管理器中的证书仅适用于该设备。如果要在项目范围内使用证书，则需 要激活设备中的全局安全证书管理器。 在全局安全证书管理器中，可利用其它功能来管理证书： • 导入新证书和证书颁发机构。 • 导出项目中使用的证书和证书颁发机构。 • 更新过期的证书和证书颁发机构。 • 替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。 • 手动删除导入的证书。只有在项目中针对至少一个设备激活激活全局安全设置后，全局安全设置才可见。为此，在 CPU 特定的本地证书管理器中，提供了“使用证书管理器的全局安全设置”(Use global security settings for certificate manager) 复选框：该复选框位于巡视窗口中带安全功能的设 备常规设置的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下。 根据该设置，可决定仅使用功能受限的 CPU 特定的本地证书管理器，或使用全局安全证书 管理器。 注意 证书和密钥丢失 激活项目的全局安全证书管理器后，CPU 特定的本地证书管理器的内容会丢失： • 私钥无法恢复。 • 如果要继续在全局安全证书管理器中使用证书，请导出证书。 • 更新组态或程序，因为证书的 ID 可能会发生更改。 激活全局安全证书管理器后，CPU 特定的本地证书管理器将用作 CPU 特定的全局证书的临 时存储器。在 CPU 特定的本地证书管理器中创建新证书时，该证书将包含在全局安全证书 管理器中。还可以在全局安全证书管理器中选择证书用作 CPU 的证书。CPU 特定的局部证书管理器 (S7-1500) 简介 使用 CPU 特定的本地证书管理器时，可针对不同的服务直接使用 OPC UA 服务器和 Web 服 务器的证书，而无须访问全局安全证书管理器。 本地证书管理器的功能 与全局证书管理器相比，CPU 特定的本地证书管理器的功能仍然受限。通过本地证书管理器， 只能创建、分配、导出或删除自签名证书。CPU 特定的本地证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理 器”(Protection & Security > Certificate manager) 下。 • 用于激活全局证书管理器的选项 • 设备证书表：显示和管理所用的证书。例如，安全 OUC（TLS 服务器/TLS 客户端）将显 示该设备的 Web 服务器和 OPC UA 服务器的证书。 • 伙伴设备的证书表：显示已分配为受信用户或客户端的证书。 设备证书 设备证书对于设备及其相关组件有效。例如，此处显示的证书还是为 Web 服务器或为 OPC UA 创建的证书。同样，可以在此处创建带有 Web 服务器或 OPC UA 的设置的证书，但必须在 相应的位置使用此类证书。 创建新证书时，会在设备的相应对话框中输入以下值作为默认值： • 用途和密钥用法：例如，TLS 客户端/服务器。填写适合相应服务的 X.509 V3 标准证书的 扩展项“KeyUsage”和“ExtendedKeyUsage”。 • 证书颁发机构：对于本地 CPU 特定的证书管理，只能使用自签名证书。 • 证书参数： – 证书持有者：例如，/TLS。字符集受限，因而可满足 ASN.1 的相关规范要 求。 – 加密过程：例如，EC（椭圆曲线）、RSA。请注意，所选加密过程 EC 在输入时未针对 特定设备进行验证。 – 加密参数：取决于加密过程。 – 哈希算法：用于对证书进行签名的算法。 – 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 – 证书持有者的备用名称 (SAN)：所用接口的 IP 地址或 DNS 名称。 可使用其它值覆盖默认值。 伙伴设备的证书 对于伙伴设备的证书，可选择本地证书管理器的设备证书。无须相应的私钥即可使用设备证 书。此外，还可以选择其它 CPU 或 CP 的证书，从而在项目中实现安全通信。其它 CPU 或 CP 的证书无须使用私钥即可加载至该 CPU 中。对于可通过全局证书管理器获取的证书链，属于 CPU 或 CP 的证书链仍未中断，相应的证书颁发机构和中间证书仍会分配给 CPU 或 CP。 删除伙伴设备证书表中的证书时，只会删除证书与全局证书管理器的链接。因此，该证书对 设备不再可用，但仍保存在全局证书管理器中。需要时，如果从全局证书管理器中将该证书创建证书 (S7-1500) 简介 可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时，相关证书仅适 用于此设备。独占式使用 CPU 特定的本地证书管理器时，仅创建自签名证书。 此外，还可以使用 Web 服务器或 OPC UA 的 CPU 设置直接创建新证书。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 及以上版本 (S7-1200) 中，PLC 通信证 书由系统预先选择并自动生成。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 (S7-1200) 及以上版本中，保护机密组 态数据的密码设置必须一致。 操作步骤 要创建新证书，请按以下步骤操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。3. 单击新行。将打开新证书选项。 4. 单击“添加”(Add) 按钮。相应对话框窗口随即打开，在此输入新证书的数据。 5. 显示如何对新证书进行签名： – 自签名：如果证书必须是自签名证书。 – 由证书颁发机构 (CA) 进行签名：从下拉列表中选择证书颁发机构。仅适用于激活了 证书管理器的全局安全设置的情况。 6. 输入证书的参数。 7. 如果单击“确定”(OK)，则会创建新证书并输入到表格中。 说明 自签名证书 使用自签名证书时，虽然已对传输路径进行加密，但消息的接收方尚未确认所谓的发送方是 否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送 方。此时，可以为设备创建自签发证书，但仍需等待证书颁发机构对证书进行签名。通过项 目树中的全局安全证书管理器，您可以在接收到证书颁发机构 (CA) 的“官方”证书后通过 指定证书颁发机构的方式，更换临时使用的自签名证书或更新该证书。当然，也可将自签名 证书保留在项目中，并不使用“官方的”CA 证书。 结果 已为设备创建新证书。在上述过程中，自动输入“TLS”，作为用途。否则，如果在 Web 服务 器的 CPU 设置中使用“安全”区域，则会输入开始创建证书时使用的服务，例如“Web 服务 器”。 证书 ID 证书管理器中的每个证书都会接收到一个 ID。此 ID 用于在下列情况下对证书进行标识： • OPC UA 服务器证书 • 受信 OPC UA 客户端的列表 • 受信 OPC UA 用户的列表 • Web 服务器证书 • 安全 OUC 指令 • 用于 PG/HMI 间安全通信的 PLC 通信证书 如果在 TIA Portal 中创建或导入证书，则证书 ID 由证书管理器分配。对特定系统数据类型（例 如，SDT TCON_IP_v4_Sec）唯一分配证书时，需要使用证书 ID。证书 ID 在项目中唯一，不 能更改。