SIEMENS西门子 S-1FL2低惯量型电机 1FL21042AG111HC0

                  分配证书 (S7-1500) 简介 可以在巡视窗口中为 CPU 和 CP 分配可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 操作步骤 要为设备分配可用的证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 单击证书表中的“添加”(Add)。将在表中插入新行。 3. 单击新行。将打开新证书选项。 4. 选择可用的证书。如果只有 CPU 特定的局部证书管理器激活，则无法查看全局可用的证书。 如果激活了全局安全证书管理器，则只能查看并选择全局可用的证书。 5. 单击绿色复选标记，将所选证书输入到证书表中。 结果 所选证书已分配给设备。 参见 CPU 特定的局部证书管理器导出证书 (S7-1500) 简介 可通过证书管理器导出可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。 操作步骤 若要导出证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 右键单击待导出证书所在的行，打开快捷菜单。 3. 单击“导出证书”(Export certificate)。 4. 采用以下可选文件格式之一导出证书：CER、DER。 私钥无法导出，因为私钥已进行非对称加密，无法恢复。 结果 所选证书已导出，现可进行备份或用于其它项目。 参见 CPU 特定的局部证书管理器 (页 1380) 删除证书 (S7-1500) 简介 可通过证书管理器删除可用的证书。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500 CPU。操作步骤 若要删除证书，请按照以下步骤进行操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager)。 2. 右键单击待删除证书所在的行，打开快捷菜单。 3. 单击“删除证书”(Delete certificate)。 结果 已在设备中删除所选证书。借助激活的全局安全证书管理器，可为项目保留证书，但不再用 于设备。 参见 CPU 特定的局部证书管理器 (页 1380) Web 服务器的证书 (S7-1500) 简介 可以在巡视窗口的“Web 服务器 > 安全”(Web server > Security) 下为 Web 服务器创建或分配 服务器证书。 局部 Web 服务器证书 如果在局部创建 Web 服务器证书而不使用证书管理器的全局安全设置，则存在以下限制： • 该证书仅适用于组态的 CPU，而非整个项目。 • 只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中，无法对其它 证书进行签名。 • 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。

             Web 服务器证书的默认设置 创建新证书时，会在 Web 服务器的相应对话框中输入以下值作为默认值： • 用途：Web 服务器。填写适用于 Web 服务器的“密钥用法”(Key usage) 下的条目（X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”）。 • 证书持有者：/Web 服务器。字符集受限，以满足 ASN.1 的相关规范要求。 • 加密过程：EC。 • 加密参数：prime256v1。 • 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN)：所用的 CPU 和 CP 接口的 IP 地址。 可使用其它值覆盖默认值。 注意 带预留 IP 地址的 SAN 如果证书持有者的备用名称包含一个或多个预留的 IP 地址，则证书将不能满足指南“Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates”要求。这会导致与您自己的 Web 浏览器不兼容。 为满足上述指南要求，应使用域名代替证书持有者备用名称中的 IP 地址。这要求网络中包 含 DNS 服务器，用于解析设备的 IP 地址。 参见 应了解的证书管理器知识 (页 1379) 证书通信原理：基于 TLS 的 HTTP (页 384) OPC UA 的局部服务器证书 如果在局部为 OPC UA 创建服务器证书而不使用证书管理器的全局安全设置，则存在以下限 制： • 该证书仅适用于组态的 CPU，而非整个项目。 • 只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中，无法对其它 证书进行签名。 • 证书的私钥无法导出。 只能在证书管理器的全局安全设置中导入和更新证书。 服务器证书的默认设置 创建新证书时，会在 OPC UA 的相应对话框中输入以下值作为默认值： • 用途：OPC UA 服务器。填写适用于 OPC UA 服务器的“密钥用法”(Key usage) 下的条目 （X.509 V3 证书的扩展项“KeyUsage”和“ExtendedKeyUsage”）。 • 证书持有者：/OPCUA。字符集受限，因而可满足 ASN.1 的相关规范要求。 • 加密过程：RSA。 • 加密参数：2048。 • 有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 • 证书持有者的备用名称 (SAN)：所用接口的 IP 地址以及 OPC UA 服务器的 URI。 可使用其它值覆盖默认值。OPC UA 服务器的证书 (S7-1500) 简介 可以在巡视窗口的“OPC UA > 服务器 > 安全”(OPC UA > Server > Security) 下为 OPC UA 创建 或分配服务器证书。 

             Syslog (S7-1500) 简介 (S7-1500) 使用 Syslog 消息 举例来说，有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。 Syslog（系统日志记录）是用于传送已记录事件的 IETF 标准协议 (RFC 5424)，并满足这一 要求。CPU 可以记录以下事件，例如： • 安全事件 • 固件更新 • 对用户程序的更改 • 对组态的更改 • 对运行状态的更改 每个固件版本为 V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该 缓冲，可查看 syslog 消息并识别潜在的安全风险。如果要使用 syslog 消息访问本地缓存，请 使用 Web 服务器的 Web API（API 方法 Syslog.Browse）。有关操作步骤的信息，请参见 《Web 服务器 》功能手册。 不能禁止记录安全相关事件。可选择将 CPU 记录的事件传送到网络中的 syslog 服务器。 转发给 syslog 服务器 自 STEP 7 V19 起，对于固件版本为 V3.1 及更高版本的 CPU，可以将 syslog 消息传送到服 务器，例如 SINEC INS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会 保存所连接设备发出的所有 syslog 消息。系统和网络事件的消息集中存储在 syslog 服务器 的存储位置中。在 syslog 服务器界面，可查看收集的 syslog 消息，从而确定潜在安全风险 或问题的来源。 在安全信息和事件管理系统（SIEM 系统）中进行处理 为了能够接受传入的 syslog 消息，SIEM‑系统必须根据 RFC 5424 理解 syslog 协议。否则， SIEM 系统无法接受或处理传入的消息。 SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的 事件。在该事件中，会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检 测可能的攻击模型，并在必要时通知用户，比如系统中多个点遭受多次攻击的情况。操作步骤 要将 CPU 组态为向 syslog 服务器传送 syslog 消息，请执行以下步骤： 1. 在 STEP 7 的设备或网络视图中选择所需 CPU。 2. 在巡视窗口中，浏览到“属性 > 防护与安全 > 系统日志记录”。 3. 在“连接 syslog 服务器”区域中，激活“启用将 syslog 消息传送到 syslog 服务器中”选项。 以下选项变为可编辑状态。 4. 从“传输协议”下拉列表中选择以下选项中的一项： – “传输层安全性（TLS - 服务器和客户端身份验证）”：加密数据传输、syslog 服务器 和客户端 (CPU) 必须验证自身身份。 – “传输层安全性（TLS - 仅服务器身份验证）”：加密数据传输，只有 syslog 服务器需 要验证自身身份。 – “UDP”：未加密的数据传输，syslog 服务器和客户端（CPU）都不需要验证自身身份。 接下来的几部分将介绍如何根据指定的设置选择身份验证证书（登录）。 5. 在“syslog 服务器的地址”列，输入有效的服务器地址。 6. 在“端口”列，根据使用的传输协议输入以下端口号之一： – TLS 的标准 TCP 端口：6514 – 标准 UDP 端口：514 结果：已组态将 syslog 消息传送到 syslog 服务器。 选择客户端证书 STEP 7 为 TLS 传输协议提供 CPU 所需的客户端证书。如果证书是在 CPU 内管理的，则可选 择已有证书或创建新证书。为此，请按以下步骤操作： 1. 在 STEP 7 的设备或网络视图中选择所需 CPU。 2. 在巡视窗口中，浏览到“属性 > 保护和安全 > 系统日志记录”。 “客户端证书”旁边会显示 STEP 7 生成的证书。