S7-1500 CPU(作为 TLS服务器)与外部 PLC(TLS 客户端)之间的安全 OUC 在以下章节中,将介绍如何通过 TCP 建立 S7-1500 CPU(作为TLS 服务器)与 TLS 客户端之间 的开放式用户通信。 通过通信伙伴的域名建立 TCP 安全连接。 S7‑1500 CPU固件版本 V2.0 及以上版本支持通过域名系统 (DNS) 进行寻址的安全通信。 要通过域名进行 TCP 安全通信,则需手动创建一个TCON_QDN_SEC 系统数据类型的数据块, 并分配参数,之后在 TSEND_C、TRCV_C 或 TCON指令中直接调用该数据块。 要求: • 在 CPU 中,设置当前的日期和时间。 • 网络中包含至少一台 DNS 服务器。 • 已为S7-1500 CPU 组态至少一台 DNS 服务器。 • TLS 客户端和 TLS 服务器具有所需的全部证书。 要建立与 TLS客户端的安全 TCP 连接,请按以下步骤操作: 1. 在项目树中,创建一个全局数据块。2. 在该全局数据块中,定义一个TCON_QDN_SEC 数据类型的变量。 在以下示例中,显示了一个全局数据块“Data_block_1”,其中,定义了数据类型TCON_QDN_SEC 的变量“DNS ConnectionSEC”。3. 在“起始值”(Start value)列中,设置 TCP 连接的连接参数。例如,在“ID”中输入 TCP 连接的 本地 ID。 4. 在“起始值”(Start value)列中,设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则忽略后面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。 – “TLSServerReqClientCert”:TLS客户端需具有 X.509-V3 证书。 – “TLSServerCertRef”:自身 X.509-V3 证书的ID。“TLSClientCertRef”:X.509-V3 证书(或 X.509-V3 证书组)的 ID,TLS 服务器使用该 ID验证 TLS 客户端的身份。如果该参数为 0,则 TLS 服务器将使用服务器证书中心当前加 载的所有 (CA)证书对客户端的身份进行验证。 5. 在程序编辑器中,创建一个 TSEND_C、TRCV_C 或 TCON 指令。有关TCON_QDN_SEC 系统数据类型的更多信息,请参见 STEP 7 在线帮助。 有关安全通信的更多信息,请参见“安全通信 (页40)”部分。 两个 S7-1500 CPU 之间的安全 OUC 在以下章节中,介绍如何通过 TCP 在两个 S7-1500 CPU之间建立开放式用户安全通信。在此 过程中,一个 S7‑1500 CPU 用作 TLS 客户端(主动建立连接)而另一个S7‑1500 CPU 则用作 TLS 服务器(被动建立连接)。 建立两个 S7-1500 CPU 之间的安全 TCP 连接要在两个 S7‑1500 CPU 之间建立 TCP 安全通信,则需为每个 CPU 手动创建 TCON_IP_V4_SEC系统数据类型的数据块,并分配相应参数,之后在 TSEND_C、TRCV_C 或 TCON 指令中直接调 用该数据块。 要求: • 在CPU 中,设置当前的日期和时间。 • 两个 S7‑1500 CPU 的固件版本为 V2.0 及以上版本TLS 客户端的设置要在 TLS 客户端中建立安全的 TCP 连接,请按以下步骤操作: 1. 在项目树中,创建一个全局数据块。 2.在该全局数据块中,定义一个数据类型为 TCON_IP_V4_SEC 的变量。以下示例中显示了全局数据块“Data_block_1”,其中,定义了数据类型为 TCON_IP_V4_SEC 的变量“SEC 连接 1TLS 客户端”(SEC connection 1 TLS-Client)。
3. 在“起始值”(Start value)列中,设置 TCP 连接的连接参数。例如,在“RemoteAddress”中输 入 TLS 服务器的 IPv4 地址。 说明连接参数接口 ID 请注意,可为数据类型为 TCON_IP_V4_SEC 的接口 ID 输入值“0”。在这种情况下,CPU会 自行搜索合适的本地 CPU 接口。 4. 在“起始值”(Start value) 列中,设置安全通信的参数。 –“ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则忽略后面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。 – “TLSServerCertRef”:输入值“2”(引用TIA Portal 项目 (SHA256) 的 CA 证书),或输入 值“1”(引用 TIA Portal 项目(SHA1) 的 CA 证书)。如果使用不同的 CA 证书,则需在证 书管理器的全局安全设置中输入相应的 ID。 –“TLSClientCertRef”:自身 X.509-V3 证书的 ID。 5. 在程序编辑器中,创建一个TSEND_C、TRCV_C 或 TCON 指令。 6. 将 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT参数与 TCON_IP_V4_SEC 数据类型的变 量进行互连。 TLS 服务器的设置 要在 TLS 服务器中建立安全的 TCP连接,请按以下步骤操作: 1. 在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个数据类型为TCON_IP_4_SEC 的变量。 以下示例中显示了全局数据块“Data_block_1”,其中,定义了数据类型为TCON_IP_V4_SEC 的变量“SEC 连接 1 TLS 服务器”(SEC connection 1TLS-Server)。3. 在“起始值”(Start value) 列中,设置 TCP连接的连接参数。例如,在“RemoteAddress”中输 入 TLS 客户端的 IPv4 地址。 4. 在“起始值”(Startvalue) 列中,设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则忽略后 面的安全参数。此时,可建立非安全的 TCP 或 UDP 连接。 –“TLSServerReqClientCert”:TLS 客户端需具有 X.509-V3 证书。输入值“true”。 –“TLSServerCertRef”:自身 X.509-V3 证书的 ID。 –“TLSClientCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA证书),或输入 值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。如果使用不同的 CA证书,则需在证 书管理器的全局安全设置中输入相应的 ID。 5. 在程序编辑器中,创建一个 TSEND_C、TRCV_C 或 TCON指令。 6. 将 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC数据类型的变 量进行互连。 在以下示例中,TSEND_C 指令的 CONNECT 参数将与变量“SEC connection 1TLS client”(数据类型 TCON_IP_4_SEC)进行互连。通过 CP 接口进行安全 OUC 连接在以下章节中,将介绍通过 CP 接口进行开放式用户安全通信时应注意的特殊事项。至少一个 站为 S7-1500 站,并包含以下模块: •S7-1500 CPU 固件版本 V2.0 及以上版本(S7-1500 软件控制器除外) • CP 1543-1 固件版本 V2.0及以上版本,或 CP 1543SP-1 V1.0 及以上版本 该 CP 在 S7-1500 站中将作为 TLS客户端(主动建立连接)或 TLS 服务器(被动建立连接)。 通过 CP 接口进行安全通信的基本操作步骤与概念,与通过 S7-1500CPU 接口进行安全通信的 类似。在此,必须将证书分配给作为 TLS 服务器或 TLS 客户端的 CPU,而非其它 CPU。因此,也可使用其他角色和操作步骤。在下文中,将对此进行详细介绍。管理 CP 的证书以下规则普遍适用:在入全局安全设置中,需登录证书管理器。生成自签名的证书时,需登录全局安全设置。需要具有足够的用户权限(管理员权限,或具有“安全组态”权限的“标准”用 户)。 在 CP 中,可在“安全 >安全属性”(Security > Security properties) 部分生成或分配证书。在此部分中,可登录全局安全设置。 操作步骤: 1. 在 STEP 7 的网络视图中,选中该 CP 并在巡视窗口中选择“安全 >安全属性”(Security > Security properties) 部分。 2. 单击“用户登录”(Userlogon) 按钮。 3. 使用用户名和密码进行登录。 4. 启用“激活安全功能”(Activate securityfunctions) 选项。 系统将初始化相应的安全属性。 5. 单击“设备证书”(Device certificates)表格的第一行,生成一个新的证书或选择现有的设备证 书。 6. 如果通信伙伴也是一个 S7-1500 站,则需按照上述操作,使用STEP 7 为通信伙伴或该 S7-1500 CPU 指定一个设备证书。 示例:通过 CP 接口,在两个 S7-1500 CPU之间建立 TCP 安全连接 要在两个 S7‑1500 CP 之间建立 TCP 安全通信,需为每个 CPU 手动创建TCON_IP_V4_SEC 系统 数据类型的数据块,并分配相应参数,之后在 TSEND_C、TRCV_C 或 TCON指令中直接调用该 数据块。 要求: • 这两个 S7 1500 CPU 的固件版本为 V2.0 及以上版本如果使用 CP1543SP-1:固件 V1.0 及 以上版本。 • 这两个 CP(如 CP 1543-1)的固件版本必须 V2.0 及以上版本 •TLS 客户端和 TLS 服务器具有所需的全部证书。 – 必须为该 CP 生成设备证书(Zui终实体证书)并存储在该 CP的证书存储器中。如果通信 伙伴是一个外部设备(如,MES 或 ERP 系统),则需确保该设备上包含有设备证书。 –对通信伙伴设备证书进行签名的 root 证书(CA 证书)也必须位于该 CP 的证书存储器中,或位于外部设备的证书存储器中。如果使用中间证书,则必须确保所验证设备中的 证书路径完整。设备将通过这些证书验证通信伙伴的设备证书。• 这些通信伙伴需通过 IPv4 地址进行寻址,而不能通过域名进行寻址。