PG 与 CPU之间基于证书的通信的提示基于证书的 PG/PC 通信(PG/PC 间安全通信)意味着 CPU 的通信伙伴(安装了 TIA Portal的编程设备)必须信任 CPU 的设备证书,才能下载连接。简而言之,从 TIA Portal 的角度来说,可使用以下方式信任 CPU的证书:• 安装了 TIA Portal 的编程设备已具有 CPU的设备证书,例如,已在项目中创建或导入证书。此时,将系统自动运行证书检查,而无任何提示。• 安装了 TIA Portal的编程设备不具有 CPU 的设备证书,例如,CPU 通过“可访问站”(Accessible stations)确定,而在项目中不可用。此时,TIA Portal 将询问 TIA Portal用户该证书是否可信。只有通过大量的工作才能做出判断,因为 CPU 不在眼前,因此无法立即鉴定真伪。• 安装了 TIA Portal的编程设备具有 CA 证书(证书颁发机构),并且 TIA Portal 可通过网络访问的所有 CPU 都具有该 CA证书颁发的设备证书。该解决方案的优势:即使通信伙伴的设备证书在 TIA Portal 中不可用,TIA Portal仍可以自动检查设备证书。下文将详细介绍 CA 证书(证书颁发机构)解决方案。要求可以使用 TIA Portal 的证书颁发机构创建CPU 的设备证书,并使用现有 CA 证书为设备证书签名。还可以在 TIA Portal中导入并使用另一个证书颁发机构。必须启用证书管理器的全局安全策略。只有完成此设置,才能生成 CA 签名的证书。另请参见“使用 TIAPortal 进行证书管理 (页 53)”导出编程设备的 CA 证书要在创建和分配证书后导出相应的 CA证书,请按照以下步骤进行操作:1. 打开项目树中全局安全设置下的证书管理器。2. 针对要导出的证书,选择“CA 证书”(CAcertificates) 表。3. 单击右键,打开所选证书的快捷菜单。4. 单击“导出”(Export)。5.选择证书的导出格式和存储位置。 89通信服务5.6 安全通信通信功能手册, 11/2023, A5E03735819-AL在 TIAPortal 中存储 CA 证书为确保安装了 TIA Portal的编程设备能够识别导出的证书从而启用自动证书检查,请按照以下步骤进行操作:1. 将上一步骤中导出的 CA证书复制到以下目录:C:\ProgramData\Siemens\Automation\Certstore\Trusted2. 启动TIA Portal。在巡视窗口的“信息”(Info) 选项卡中,每个 CA 证书对应显示一条消息,说明该 CA证书是否可以成功传输到 TIA Portal 的 CA 存储区。如果出错,并不输出详细原因。向 TIA Portal 证书吊销列表(CRL) 添加设备证书如果出现关联的密钥不再安全等情况,可以选择将设备证书单独添加到证书吊销列表 (CRL)。当 TIAPortal 与设备证书位于证书吊销列表中的 CPU 建立连接时,TIA Portal中将出现一个对话框,询问是否仍要信任该证书。如果拒绝,将无法建立连接。要向证书吊销列表中添加设备证书,请按照以下步骤操作:1.将设备证书复制到以下目录:C:\ProgramData\Siemens\Automation\Certstore\CRL2. 启动TIA Portal。在巡视窗口的“信息”(Info) 选项卡中,每个证书对应显示一条消息,说明该证书是否可以成功传输到 TIAPortal 的 CRL 存储区。如果出错,并不输出详细原因。5.6.5.4 从下载到运行就绪的 CPU 行为为确保 CPU与编程设备或 HMI 设备之间的通信安全,必须首先具有证书。用于生产运行的证书仅在项目下载到 CPU之后发布。为了保障初始下载过程的安全,CPU 首先创建一个自签名证书。下文中介绍了建立连接的不同阶段。关于初始建立连接并进而下载到CPU 的要求• CPU 中未设置保护机密 PLC 组态数据的密码。如果该 CPU 已设置并因此设置有一个保护机密 PLC组态数据的密码,则该密码必需与待加载项目的密码相匹配。• 具有 CPU 组态(包括机密 PLC组态数据的密码)和用户程序的项目可供使用。• CPU 处于 STOP 模式。• 编程设备和 CPU直接互连并且位于受保护的环境中;即,可以识别要下载的 CPU,并控制CPU 与编程设备之间的连接。首次与 CPU 建立连接 -配置阶段用于下载 CPU 而建立的第一个连接采用 PG/HMI 间安全通信并由 TLS 程序提供安全保障。但 CPU可使用制造商的设备证书(如果有),或使用自签名的证书建立连接。在该阶段中,此 CPU 仅能有限范围内使用。在此阶段中,CPU将等待基于密码的密钥信息。即,保护机密PLC 组态数据的密码。此阶段下称配置阶段。诊断缓冲区中的消息指示 CPU处于配置阶段。90通信功能手册, 11/2023, A5E03735819-AL通信服务5.6 安全通信项目下载到 CPU中后,CPU 会接收项目数据:• 硬件配置,包括用于安全通信(OPC UA、HTTPS、安全 OUC、PG/HMI间安全通信)的已组态证书• 用户程序 连接建立、配置阶段91通信服务5.6 安全通信通信功能手册, 11/2023,A5E03735819-AL警告调试期间可能存在的安全风险在调试过程中,CPU提供制造商的设备证书(如果有)或自签名证书,必须信任该证书才能建立连接。仅当编程设备与 CPU处于受保护网络、并彼此直接相连时,才会信任此证书。在不受保护的环境中,这些证书可能被操纵,允许攻击者访问编程设备/HMI 与 CPU之间的通信(例如通过中间人攻击)。配置阶段结束TIA Portal 不会在项目中存储机密 PLC组态数据的密码本身或通过密码生成的密钥信息。因此,首次下载项目或下载新项目时,会在对话框中请求输入密码,并将该密码作为密钥信息传送到CPU。只有在执行此步骤之后,CPU 才能使用受保护的 PLC 组态数据 - 这样便可完成配置阶段,CPU才能开始运行。如果未使用密码保护机密 PLC 组态数据,则首次下载 CPU 时无需输入密码。此时,对PG/HMI数据通信无影响;但需注意,机密的 PLC 组态数据(如,私钥)几乎无任何保护,无法防止未经授权的访问。PG/HMI通信启动当 CPU 已下载并收到用于 PG/HMI 间安全通信的 CPU 证书后,编程设备将再次连接 - 此时基于下载的 CA证书。1PSUBM图 5-35 PG/HMI 通信启动92通信功能手册, 11/2023,A5E03735819-AL通信服务5.6 安全通信5.6.5.5 使用 HMI 安全通信在 TIA Portal V17及以上版本中,如果 CPU 和 HMI 设备均满足 HMI 安全通信要求,则可使用这种通信方式。要使用 HMI 安全通信,HMI设备可在建立通信连接时通过 CPU 发送的 PLC 通信证书对该 CPU进行身份验证,确定该CPU“可信”。仅当满足以上条件时,才能进行 HMI 安全通信。在本章节中,将介绍各 HMI 设备将 PLC通信证书手动标记为“可信”的具体措施。要求• CPU 和 HMI 设备支持 HMI 安全通信。• 当前项目位于 CPU 中(TIAPortal V17 及更高版本)。组态 HMI 安全通信1. 组态 HMI设备的报警视图。说明如果报警视图缺失,则无法设备连接错误。2. 组态 CPU 中所需的安全设置。选择 PLC 通信证书,保护 HMI连接安全;或通过 TIA Portal生成一个 PLC 通信证书。3. 组态 CPU 与 HMI 设备间的 HMI 连接。4.将项目下载到 CPU 和 HMI 设备中。在项目传送过程中,系统将 PLC 通信证书传送到 CPU和 HMI 设备中。必要时,还将传输CA(证书颁发机构)证书。将 PLC 通信证书设置为可信连接建立时,CPU 将该 PLC 通信证书传送到 HMI 设备中。• 如果该PLC 通信证书在 HMI 设备中的状态已标记为“可信”,则 CPU 与 HMI 设备间将自动建立一条 HMI 安全通信。• 如果该PLC 通信证书在 HMI 设备中的未标记为“可信”,则在 HMI 设备的报警视图中将显示一条消息指示该 CPU不可信,并提供一个错误代码。此时,需在 HMI 设备上将该 PLC 通信证书标记为“可信”。根据 HMI设备类型,执行以下操作步骤。第二代精简面板1. 在 Start Center 中,选择“Settings > InternetSettings > Certificate store”。2. 在“Available certificates inDevice”列表中,选择该 CPU 的 PLC 通信证书。3. 按下“Trust”。4. 重新启动 HMI运行系统软件。Unified 系列精智面板1. 打开“控制面板”(Control Panel)。2. 选择“Security >Certificates”。3. 在“Certificate store”选择列表中,选择条目“OtherCertificates”。4. 在“Other certificates”列表中,选择该 CPU 的 PLC 通信证书。5.按下“Trust”。6. 重新启动 HMI 运行系统软件。精智面板,第二代移动面板1. 通过 Windows CE 桌面图标“MyDevice”,打开文件管理器。2. 浏览到目录“\flash\simatic\SystemRoot\OMS\Untrusted”。该CPU 的 PLC 通信证书位于该目录中。3. 将该 CPU 的 PLC通信证书复制到目录“\flash\simatic\SystemRoot\OMS\Trusted”中。4. 重新启动 HMI运行系统软件。如果该 PLC 通信证书在 HMI 设备中的状态已标记为“可信”,则可建立 HMI 安全通信。更多信息,请参见 HMI设备的操作说明。5.6.5.6 在 TIA Portal 中使用传统的 PG/PC 通信在 TIA Portal V17及以上版本中,TIA Portal 支持与 S7‑1200/S7‑1500 CPU 固件版本V4.5/V2.9及以上版本自动进行“安全”通信。即,连接伙伴自动将各自的连接机制设置为所支持的Zui高安全连接方式。仅在特定条件下(参见“兼容性相关信息(页 95)”),才会回退为原 PG/PC 通信方式,即“传统的 PG/PC 通信”。如果 CPU 的通信性能较差,而高安全性会影响该CPU 传输速率。此时可能无需采用较高安全性。要求• CPU 间未建立在线连接。• 如果对 CPU 进行在线访问,则需禁用“仅支持PG/PC 和 HMI 安全通信”(Only permit securePG/PC and HMI communication)选项(“连接机制”(Connection mechanisms) 区域中的 CPU参数)。•通信伙伴位于受保护环境中,如调试阶段。设置传统的 PG/PC 通信1. 在“在线”(Online) 菜单中,选择命令“仅使用传统的PG/PC 通信”(Use only Legacy PG/PCcommunication)。2.选择该菜单命令前的复选框。结果:TIA Portal V17以下版本均建立在线连接。在会话期间,该设置始终有效。项目打开时,“仅使用传统的 PG/PC 通信”(Useonly·legacyPG/PC communication) 选项未设置。启用“仅使用传统的 PG/PC 通信”(Useonly·Legacy PG/PC communication) 选项时的特性• CPU 中保护机密 PLC组态数据的密码无法在线指定、修改或删除。需要禁用“仅使用传统的PG/PC 通信”(Use only·Legacy PG/PCcommunication) 选项才能使用上述功能。• 设置为仅支持 PG/PC 和 HMI 安全通信的 CPU无法在线访问。