S7-1500 CPU 作为 TLS 客户端,与 MES 系统建立 TLS连接/会话。① TLS 客户端② TLS 服务器验证 TLS 服务器时,S7-1500 CPU 需要具有 MES 系统的 CA证书:用于验证证书路径的 Root证书和中间证书(如果适用)。需要将这些证书导入 S7-1500 CPU的全局证书存储器中。要导入通信伙伴的证书,请按照以下步骤进行操作:1. 打开项目树中全局安全设置下的证书管理器。2.选择待导入证书的相应表格(可信证书和 Root 证书颁发机构)。3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。导入证书时,系统将为该证书指定一个证书ID,并在下一步操作中将其指定给一个模块。4. 选择 PLC_1,并导航到“保护与安全”(Protection & Security)区域中的“伙伴设备证书”(Certificates of partner devices) 表格处。5.单击“证书主体”(Certificate subject) 列中的空行,添加所导入的证书。6. 在下拉列表中选择该通信伙伴所需的 CA证书,并进行确认。MES 系统还需要提供 CPU 的设备证书,用于对该 CPU 进行验证(即,TLS 客户端)。此时,MES系统中应包含该 CPU 的 CA 证书。如果要将证书导入 MES 系统,则需先从 CPU 的 STEP 7项目中导出该 CA证书。请按以下步骤操作:1. 打开项目树中全局安全设置下的证书管理器。2. 选择待导出证书的匹配表(CA 证书)。3.右键单击所选择的证书,打开快捷菜单。4. 单击“导出”(Export)。5.选择证书的导出格式。在下一个操作步骤中,需创建用户程序进行数据交换,并加载组态和该程序。S7-1500 CPU(作为 TLS服务器)和外部设备(作为 TLS 客户端)之间安全的开放式用户通信如果将 S7-1500 CPU 用作 TLS服务器,并且外部设备(如,ERP 系统(企业资源规划系统))建立了 TLS 连接/会话,则需要具有以下证书:• 对于 S7-1500CPU,需使用私钥生成一个设备证书(服务器证书),并随硬件配置一同下载到 S7-1500 CPU中。生成服务器证书时,需使用选项“由证书颁发机构签名”(Signed bycertificateauthority)。密钥交换需要使用私钥,如示例“基于 TLS 的 HTTP”的图所示。• 对于 ERP 系统,需先导出 STEP7 项目中的 CA 证书,然后再将其导入/加载到 ERP 系统中。基于 CA 证书,ERP 系统在建立 TLS 连接/会话时将检查从CPU 传送到 ERP 系统的 S7-1500服务器证书。58通信功能手册, 11/2023,A5E03735819-AL通信服务5.6 安全通信 ① TLS 服务器② TLS 客户端图 5-12 S7‑1500CPU 与 ERP 系统间的 OUC 安全通信相关操作步骤,请参见上文介绍。与邮件服务器进行开放式用户安全通信 (SMTP overTLS)S7-1500 CPU 可使用通信指令 TMAIL-C 与邮件服务器建立安全连接。系统数据类型 TMail_V4_SEC 和TMail_ 可确定电子邮件服务器的伙伴端口,并通过“SMTP over TLS”协议访问电子邮件服务器。图5-13 S7-1500 CPU 与邮件服务器间的 OUC安全通信要建立安全的邮件连接,则需将电子邮件服务器(提供方)的根证书和中间证书导入 S7-1500CPU的全局证书存储器中。基于这些证书,CPU 在建立 TLS 连接 /会话时将检查由邮件服务器发送的服务器证书。要导入邮件服务器的证书,请按以下步骤操作:1. 打开项目树中全局安全设置下的证书管理器。2.选择待导入证书的相应表格(可信证书和 Root 证书颁发机构)。3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。导入证书后,系统将为该证书指定一个证书ID,并在下一步操作中将其指定给一个模块。4. 选择 PLC_1,并导航到“保护与安全”(Protection & Security)区域中的“伙伴设备证书”(Certificates of partner devices) 表格处。5.单击“证书主体”(Certificate subject) 列中的空行,添加所导入的证书。6. 在下拉列表中选择该通信伙伴所需的 CA证书,并进行确认。在下一个操作步骤中,需创建该 CPU 中电子邮件客户端功能的用户程序,并加载组态与该程序。证书通信原理:基于 TLS的 HTTP下图显示了如何使用后以下机制在 S7-1500 CPU 的 Web 浏览器和 Web 服务器之间建立安全通信。首先需要在STEP 7 中更改“仅允许 HTTPS 访问”(Permit access only through HTTPS) 选项。在STEP7 V14 及以上版本中,可能会影响 S7-1500 CPU(固件版本 V2.0 及以上版本)中 Web服务器的服务器证书:服务器证书将在 STEP 7 的以上版本及更改版本中生成。此外,在该示例中还显示了 PC 的 Web浏览器端如何基于加密的 HTTPS 连接所调用 CPU 的Web 服务器网站。S7‑1500 CPU(固件版本 V2.0及以上版本)中 Web 服务器证书的应用对于固件版本 V2.0 及以下版本的 S7-1500 CPU,设置 Web服务器属性时,如果无特殊要求,需设置为“只允许通过 HTTPS 访问”(Permit access only withHTTPS)。对于此类 CPU,无需进行证书处理;CPU 将自动为 Web 服务器生成所需证书。对于固件版本 V2.0 及更高版本的S7-1500 CPU,STEP 7 会为 CPU 生成服务器证书(Zui终实体证书)。在 CPU 的属性中为 Web服务器分配服务器证书(“Web 服务器 > 安全”(Web server>Security))。由于服务器证书名称通常为系统预设,因此无需任何更改即可轻松完成 Web 服务器的组态:激活 Web服务器。默认启用“仅允许 HTTPS 访问”(Permit access only with HTTPS) 选项,STEP 7将在编译过程中使用默认名称生成服务器证书。无论您是否在全局安全设置中使用证书管理器:STEP 7中包含生成服务器证书所需的全部信息。此外,还需确定服务器证书的相关特性。如,名称或有效期等。说明在 CPU中,需设置当前的日期/时间。使用安全通信(如,HTTPS、安全 OUC、OPCUA)时,需确保相应模块为当前时间和当前日期。否则,模块会将所用的证书评估为无效,且无法进行安全通信。加载 Web服务器证书加载硬件配置时,系统将自动加载 STEP 7 生成的服务器证书。•如果在全局安全设置中使用证书管理器,则项目的证书颁发机构(CA 证书)对 Web 服务器的服务器证书进行签名。在加载过程中,项目的CA 证书也将自动加载。• 如果未在全局安全设置中使用证书管理器,则 STEP 7 会生成服务器证书作为自签名证书。通过 CPU 的IP 地址对 CPU 的 Web 服务器进行寻址时,每次 CPU 中以太网接口的 IP地址发生更改时,都必须生成新的服务器证书并加载(Zui终实体证书)。这是由于 CPU 的身份随 IP 地址一同更改。根据 PKI规则,该身份必须进行签名。如果使用域名(如,“myconveyer-cpu.room13.myfactory.com”)而非 IP地址对 CPU 进行寻址,则可避免这一问题。为此,需通过 DNS 服务器对该 CPU 的域名进行管理。为 Web 浏览器提供一份Web 服务器的 CA 证书在 Web 浏览器中,通过 HTTPS 访问 CPU 网站时,需安装该 CPU 的 CA证书。如果未安装证书,则将显示一条警告消息,不建议访问该页面。要查看该页面,需显式“添加例外情况”。有效的 Root 证书,可从CPU Web 服务器“简介”(Intro) Web 页面的“下载证书”(Downloadcertificate) 中下载。在STEP 7 中,可采用另一种方式:使用证书管理器,将项目的 CA 证书导出到 STEP 7 中的全局安全设置中。之后,再将 CA证书导入浏览器中。60通信功能手册, 11/2023, A5E03735819-AL通信服务5.6安全通信安全通信的过程下图简要说明了通信的建立方式(“握手”),并着重介绍了通过 HTTP over TLS进行数据交换时所用的密钥协商过程。该过程可适用于基于 TLS的所有通信方式。即,也可适用于开放式用户安全通信(请参见“安全通信的基本知识”)。基于 HTTPS 的通信握手在本示例图中并不涉及Alice 端(浏览器端)对 Web 服务器所发送证书的验证措施。Alice 是否信任收到的 Web 服务器证书、信任该 Web服务器的身份并接受数据交换,具体取决于验证结果。验证 Web 服务器可靠性的操作步骤如下所示:1. Alice必须获得所有相关颁发机构的公钥。即,必须拥有整个证书链,才能对该 Web 服务器证书(即,Web服务器的Zui终实体证书)进行验证。Alice 的证书存储器中通常包含所需的根证书。安装 Web 浏览器时,将自动安装所有可信的 Root证书。如果 Alice 没有 Root 证书,则必须从证书颁发机构下载并安装到浏览器的证书颁发机构中。证书颁发机构还可以是该 Web服务器所处的设备。可通过以下几种方式获得中间证书:– 服务器以消息签名方式将所需的中间证书连同Zui低层实体证书一并发送给Alice。这样,Alice 即可对证书链的完整性进行验证。– 在这些证书中,通常包含证书签发者的 URL。Alice 可通过这些URL 加载所需的中间证书。在 STEP 7 中进行证书处理时,通常假设已将所需的中间证书和 Root证书导入项目中,并已分配给模块。2. Alice 使用这些证书的公钥,对证书链中的签名进行验证。3. 对称密钥需已经生成并传送到Web 服务器中。4. 如果采用域名寻址 Web 服务器,则 Alice 还必须根据 RFC 2818 中定义的 InternetPKI 规范验证该 Web 服务器的身份。由于该 Web 服务器的 URL(此时,为“Fully me”(FQDN))将保存到 Web 服务器的Zui终实体证书中,因此 Alice 可对该 Web服务器的身份进行验证。如果字段“Subject AlternativeName”中的证书项与浏览器地址栏中的一致,则通过验证。之后,即可通过对称密钥进行数据交换,如上图所示。保护机密的组态数据基于证书的协议需要私钥才能正常发挥作用,并且私钥必须获得妥善保护,如有关安全通信的基本信息中所述。在STEP 7 V17 及以上版本中,可通过密码保护这些密钥和其它需保护的数据:保护机密 PLC组态数据的密码。如果已采取相应措施保护TIA Portal 项目和 CPU 组态防止未经授权的访问,则可以不使用密码。无论是否分配密码:TIA Portal都会生成用于保护机密 PLC 组态数据的密钥信息。此密码对安全通信过程没有影响。但是,用于保护机密 PLC组态数据的密码的复杂度决定了私钥受到保护的程度。提供密钥信息是进行安全通信(例如,基于 TLS 的 PG/HMI间安全通信)的先决条件:只有此密钥信息可用时,CPU 才能处理安全通信所需的证书。安全设置向导将硬件目录中的 CPU 添加到 TIAPortal 中支持 PG/HMI 安全通信的项目时,该 CPU 的安全设置向导随即启动。该向导将引导您逐步完成以下 CPU 设置:•保护机密 PLC 组态数据的密码• PG/PC 和 HMI 通信模式•访问等级在向导中,将这些设置逐一进行详细说明。Zui后,在总览中再次统一显示所有设置。在 TIA Portal的网络视图中更换模块,该向导也将启动。与替换下来的 CPU 不同,新 CPU 支持 PG/HMI安全通信。向导中的所有设置都将应用到巡视窗口(CPU 属性)中。