3. 在“起始值”(Start value) 列中,设置TCP 连接的连接参数。例如,在“RemoteAddress”中输入 TLS 客户端的 IPv4 地址。4. 在“起始值”(Startvalue) 列中,设置安全通信的参数。– “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则忽略后面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。–“TLSServerRe”:TLS 客户端需具有 X.509-V3 证书。输入值“true”。–“TLSServerCertRef”:自身 X.509-V3 证书的 ID。–“TLSClientCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA证书),或输入值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。如果使用不同的 CA证书,则需在证书管理器的全局安全设置中输入相应的 ID。5. 在程序编辑器中,创建一个 TSEND_C、TRCV_C 或 TCON指令。6. 将 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC数据类型的变量进行互连。上传设备作为新站在将带有证书的组态进而组态的开放式用户安全通信作为新站上传到 STEP 7 项目中时,与CPU的证书不同,CP 的证书不会上传。在将设备加载为新站后,在 CP的设备证书表格中不会包含更多证书。上传后,需再次对证书进行组态。否则,重新加载组态将导致 CP之前存在的证书删除,无法进行安全通信。通过 CPU 和 CP 接口的 OUC 安全连接(操作相似)• 连接资源:OUC 和安全 OUC之间无差别。编程的 OUC 安全连接将使用诸如 OUC 连接之类的连接资源,而不考虑与该站通信的 IE/PROFINET 接口。•连接诊断:OUC 和 OUC 安全连接诊断之间无差别。• 将带有 OUC 安全连接的项目加载到 CPU 中:如果还需加载证书,则只能CPU STOP 模式下进行。建议:加载到设备 > 硬件和软件 (Load to device > Hardwareand software)。原因:需确保带有安全 OUC 的程序、硬件配置和证书一致。证书随硬件配置一同加载。因此,加载过程中需要停止CPU 的运行。仅当所需的证书位于模块中时,才能在 RUN 模式下重新加载使用其它 OUC 安全连接的块。通过 Modbus TCP进行 OUC 安全连接要进行 Modbus TCP 安全连接,需手动创建一个 TCON_IP_V4_SEC 或TCON_ 系统数据类型的数据块,分配相应参数并在 MB_Server 或 MB_CLIENT指令中直接调用该数据块。要求:• S7‑1500 CPU 固件版本 V2.5 或更高版本• Modbus 客户端(TLS客户端)可通过网络中的 IP 通信访问 Modbus 服务器(TLS 服务器)。• TLS 客户端和 TLS服务器具有所需的全部证书。与 Modbus TCP 服务器建立 Modbus TCP 安全连接的示例在下文章节中,介绍如何通过Modbus TCP 在 Modbus TCP 客户端与 Modbus TCP 服务器之间建立开放式用户安全通信。要在 ModbusTCP 客户端(TLS 客户端)与 Modbus TCP 服务器(TLS 服务器)之间建立安全连接并设置邮件服务器的 Ipv4地址,请按以下步骤操作:1. 在项目树中,创建一个全局数据块。2. 在该全局数据块中,定义一个 TCON_IP_V4 SEC数据类型的变量。3. 在“起始值”(Start value) 列中,设置 TCP连接的连接参数。例如,在“MailServerAddress”中输入邮件服务器的 IPv4 地址。4. 在“起始值”(Startvalue) 列中,设置安全通信的参数。例如,在“TLSServerCertRef”中输入通信伙伴的 CA 证书的证书 ID。–“ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则忽略后面的安全参数。此时,可设置一个Modbus TCP 非安全连接。– “TLSServerCertRef”:对 Modbus TCP 服务器中 X.509 V3(CA) 证书的引用,TLS 客户端使用该信息对 Modbus TCP 服务器进行身份验证。5. 在程序编辑器中,创建一个MB_CLIENT 指令。6. 将 MB_Client 指令的 CONNECT 参数与 TCON_IP_4_SECC数据类型的变量进行互连。通过电子邮件实现 OUC通过 CPU接口建立与邮件服务器的安全连接要建立与邮件服务器的安全通信,需手动创建一个 TMAIL_V4_SEC 或 TMAIL_系统数据类型的数据块,分配参数并在 TMAIL_C 指令中直接调用该数据块。要求:• TMAIL_C 指令,版本 V5.0或更高版本• STEP 7 V15 及更高版本• S7‑1500 CPU V2.5 及更高版本• 已经为 CPU(TLS客户端)分配了邮件服务器(TLS 服务器)的所有 CA 证书,且组态已下载到 CPU 中。• 在 CPU中,设置当前的日期和时间。与邮件服务器建立安全连接的操作过程与邮件服务器建立安全连接时,可选择以下两种操作过程:•SMTPS:客户端尝试与邮件服务器立即建立 TLS 连接(“握手”过程)如果邮件服务器不支持TLS,则不建立连接。•STARTTLS:客户端与邮件服务器建立 TCP 连接。客户端将发送一个请求,“更新”当前通过TCP 连接与 TLC安全连接的连接。如果邮件服务器支持 TLS,则客户端将发生该命令建立安全连接。为此,邮件服务器将使用 SMTP命令“STARTTLS”。之后,客户端将建立与邮件服务器的安全连接。优势:如果邮件服务器不支持TLS,则客户端和邮件服务器之间可进行非安全通信。在块参数“MAIL_ADDR_PARAM”的数据类型中设置“远程端口”(RemotePort),可定义进行通信的进行。表格 5-5 SMTPS 和 STARTTLS 进程的端口号进程 端口SMTPS:4651STARTTLS: 任意端口 (≠465)21 指令 TMAIL_C 仅在 465 端口采用 SMTPS通信协议。其它所有端口将使用 STARTTLS 通信协议。2 根据 RFC,邮件服务器使用端口 25,而 STARTTLS安全连接则使用端口 587。RFC 不建议 SMTP 使用其它端口号,否则无法确保与邮件服务器的通信成功。示例:通过 IPv4与邮件服务器建立安全连接在以下章节中,将介绍如何使用 TMAIL_C 通信指令与 IPv4 邮件服务器建立安全连接。要通过邮件服务器的IP4 地址建立安全连接,请按以下步骤操作:1. 在项目树中,创建一个全局数据块。2. 在该全局数据块中,定义一个TMAIL_V4_SEC数据类型的变量。在以下示例中,显示了一个全局数据块“MailConnDB”,其中,定义了数据类型为TMAIL_V4_SEC的变量“MailConnectionSEC”。3. 在“起始值”(Start value) 列中,设置 TCP连接的连接参数。例如,在“MailServerAddress”中输入邮件服务器的 IPv4 地址。说明连接参数接口ID请注意,在数据类型 TMAIL_V4_SEC 中,如果指令 TMAIL_C 的指令版本为 V5.0 或更高版本,则需在接口 ID中输入值“0”。此时,CPU 将自行搜索适用的本地 CPU 接口。4. 在“起始值”(Start value)列中,设置安全通信的参数。例如,在“TLSServerCertRef”中输入通信伙伴的 CA 证书的证书 ID。–“ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则忽略后面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。–“TLSServerCertRef”:对电子邮件服务器中 X.509 V3 (CA) 证书的引用,供 TLS客户端用来对邮件服务器进行身份验证。5. 在程序编辑器中,创建一个 TMAIL_C 指令。6. 将 TMAIL_C 指令的MAIL_ADDR_PARAM 参数与 TMAIL_V4_SEC 数据类型的变量进行互连。在以下示例中,TMAIL_C 指令的MAIL_ADDR_PARAM 参数已与“MailConnectionSEC”变量(TMAIL_V4_SEC数据类型)进行互连。通过通信模块接口与邮件服务器建立安全连接要通过一个通信模块与邮件服务器建立安全通信,则需手动创建一个系统类型为TMAIL_V4_SEC、TMAIL_或 TMAIL_V6_SEC 的数据块,分配参数并在 TMAIL_C 指令中直接调用该数据块。要求:• TMAIL_C 指令,版本V4.0• S7-1500 CPU 固件版本 V2.0 及以上版本,通信模块 CP 1543‑1 固件版本 V2.0 及以上版本•ET 200SP CPU 固件版本 V2.0 及以上版本,通信模块 CP 1542SP‑1 (IRC) 固件版本 V1.0及以上版本• 已将邮件服务器的所有 CA 证书分配给 CP(TLS 客户端),而且已将组态下载到 CPU 中。• 在 CPU中,设置当前的日期和时间。有关如何通过通信模块的接口与邮件服务器建立安全连接的信息,请参见 STEP 7在线帮助。应用示例通过本应用示例 ,介绍了如何使用 S7-1500 或 S7-1200 站的 CP与电子邮件服务器建立安全连接,以及通过默认应用程序“TMAIL_C”从 S7 CPU 发送电子邮件。更多信息有关系统数据类型TMail_V4_SEC 和 TMAIL_ 的更多信息,请参见 STEP 7在线帮助。有关安全通信的更多信息,请参见“安全通信 (页 44)”部分。
PG/HMI 间安全通信基于标准化安全机制的 PG/HMI通信在 V17 及以上版本中集成有Zui新型控制器和Zui新型 HMI 设备,TIA Portal、STEP 7 和WinCC的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信(简称为 PG/HMI 通信)。具体涉及以下 CPU 系列:•S7-1500 控制器系列固件版本 V2.9 及以上版本• S7-1200 控制器系列固件版本 V4.5 及以上版本•软件控制器固件版本 V21.9 及以上版本• SIMATIC 启动控制器固件版本 V2.9 及以上版本• PLCSim 和PLCSim Advanced 版本 V4.0HMI 组件经更新以支持 PG/HMI 间安全通信:• 使用 WinCC精简版、精智版和gaoji版组态的面板或 PC• 安装有 WinCC 专业版运行系统 的 PC• WinCC Unified PC和精智面板还更新了 V6.1 及以上版本的 SINAMICS RT SW 和 V17 及以上版本的 STARTDRIVE。PG/HMI通信的特性PG 通信和 HMI 通信Zui显著的一个特点是简单:在安装 TIA Portal 的编程设备和 CPU之间建立在线连接(例如,以下载程序)只需几步简单的操作。此在线连接基于公认的 SIMATIC通信标准,可满足机密性和完整性等方面的要求。在将机器和系统集成到开放 IT 环境过程中,必须确保编程设备/HMI 设备与 CPU之间的通信不仅要有效保护敏感数据的完整性和机密性,同时还要确保其符合公认的安全标准,从而能够应对未来的挑战。在 TIA Portal版本 V14中,基于用户程序的“开放式用户通信”过程已扩展为“安全的开放式用户通信”机制。同时还建立了其它基于证书的通信机制(HTTPS、SecureSMTP over TLS 或 OPCUA)。在 TIA Portal 版本 V17 即以上版本中,还对 PG/HMI通信进行了升级:在此,TLS(传输层安全)协议用于采用标准化安全机制的 PG/HMI间安全通信。更改的内容用于提高安全性的附加可选密码上述设备的组态形式中Zui显著的变化是能够分配密码以保护相应 CPU的敏感组态数据。敏感组态数据包括诸如私钥等数据,基于证书的协议正常运行(安全通信)需要私钥,对于 TIAPortal V17及以上版本,PG/HMI 通信也需要私钥。在 TIA Portal中输入密码时,可以使用策略设置来检查已分配的密码。这样,可确保企业遵循既定的密码策略。如果计算机或系统已采用其它类似保护,而无需实施基于西门子工业深度防御机制的保护措施,则无需进行密码分配。如果已采取相应措施保护TIA Portal 项目和 CPU组态防止未经授权的访问,则可以不使用密码。警告如果不使用密码,则私钥仅获得弱保护请注意,如果未使用密码来保护受信任的组态数据,则安全通信所需证书的私钥仅获得弱保护。87通信服务5.6安全通信通信功能手册, 11/2023, A5E03735819-ALPG/HMI 与 CPU 之间基于证书的通信由于 PG/HMI通信基于证书,因此调试过程中要求接受服务器证书。通过其它参数分配选项,可以确定 CPU 运行期间的行为:例如,可以指定 CPU允许连接到不支持 PG/HMI 间安全通信的设备。维护/更换部件方案为了在更换部件方案中更换 CPU时不发生故障,必须遵守特定的规则(参见“更换部件方案的规则 (页70)”)。更多信息有关如何保护机密组态数据的概览,请参见“保护机密的组态数据 (页 62)”部分。 间的行为。PG/PC和 HMI 通信模式可以设置 CPU 与编程设备和 HMI 设备的通信方式:• 仅通过 PG/HMI 间安全通信• 通过 PG/HMI间安全通信和先前使用的 PG/HMI 通信(简称为“传统的 PG/HMI 通信”)。操作步骤1. 在 CPU属性中,导航至区域“保护与安全 > 连接机制”(Protection & Security >Connectionmechanisms)。2. 选择要使用的选项。选择证书或生成新证书如果选择用于 PG/HMI通信的连接机制,则可以选择符合条件的 PLC 通信证书来保护连接,或者由 TIA Portal生成证书。如果已分配密码或已取消激活保护机密 PLC 组态数据的选项(即未设置密码),则“保护与安全 >连接机制”(Protection & Security > Connection mechanisms)中已预先设置了具有适当设置和有效默认名称的证书。操作步骤如果要通过 TIA Portal 生成新证书,或者要选择其它现有证书:1.在“PLC 通信证书”(PLC communication certificate) 字段中,单击三个点以展开该字段。2.选择所需证书,或单击“添加”(Add) 按钮。3. 添加证书时,将显示一个包含证书设置选项的对话框。用于设置“TLS服务器”,可以更改其它参数(例如名称、哈希算法)。应用证书管理的通用规则。例如,如果要生成 CA证书,则必须选择“证书管理器的全局设置”(Global settings for the certificate manager)选项。此外,也可选择生成自签名 PLC 证书。