S7-1500 CPU(作为TLS 客户端)与外部设备(作为 TLS 服务器)之间安全的开放式用户通信 例如,两个设备将通过 TLS 连接或 TLS会话交换数据,从而交换配方、生产数据或质量数据: • S7-1500 CPU (PLC_1) 作为 TLS 客户端;CPU采用安全的开放式用户通信 • 外部设备(例如,制造执行系统 (MES))作为 TLS 服务器 作为 TLS 客户端,S7-1500CPU 建立与 MES 系统的 TLS 连接/会话。4. 单击下拉列表中的“添加”(Add) 按钮,选择证书。“生成新证书”(Generate new certificate) 对话框随即打开。 5.保留该对话框中的默认设置。这些设置专用于开放式用户安全通信(用途:TLS)。 提示信息:扩展证书持有者的预设名称(在这种情况下,为CPU 名称)。为了更好地进行区 分,需要管理大量设备证书时,建议保留默认的 CPU 名称。 示例:PLC_1/TLS 变为PLC_1-SecOUC-Chassis17FactoryState。 6. 编译组态。 设备证书和 CA 证书是组态的一部分。 7.为 PLC_2 重复上述步骤。 在的步骤中,需要创建用户程序以进行数据交换,并下载组态以及相应的程序。 使用自签名证书而非 CA证书 创建设备证书时,可选择“自签名”(Self-signed) 选项。无需登录全局安全设置即可创建自签名证书。不建议执行该过程,因为通过这种方法创建的证书不会存在于全局证书存储器中, 不会直接分配给伙伴 CPU。如前文所述,应谨慎选择证书持有者的名称,这样才会毫无疑问地为设备分配合适的证书。 无法通过 STEP 7 项目的 CA证书验证自签名的证书。要确保自签名证书可通过验证,需要将 通信伙伴的自签名证书加入每个 CPU的可信伙伴设备列表中。为此,必须已激活选项“使 用证书管理器的全局安全设置”(Use global security settingsfor certificate manager),并以用 户身份登录全局安全设置。 要将通信伙伴的自签名证书添加到 CPU中,请按以下步骤操作: 1. 选择 PLC_1,并导航至“保护和安全”(Protection & Security)区域的“伙伴设备证 书”(Certificates of partner devices) 表。 2.单击“证书持有者”(Certificate holder) 列的空行,打开下拉列表,以便添加或选择证书。 3.从下拉列表中选择通信伙伴的自签名证书,并确认选择。 在的步骤中,需要创建用户程序以进行数据交换,并下载组态以及相应的程序。①TLS 客户端 ② TLS 服务器 为验证 TLS 服务器,S7-1500 CPU 需要 MES 系统的 CA证书:根证书以及中间证书(如果适 用,用于验证证书路径)。 需要将这些证书导入 S7-1500 CPU 的全局证书存储器中。要导入通信伙伴的证书,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为要导入的证书选择匹配表(根证书颁发机构的受信证书)。 3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。 通过导入过程,相关证书会收到证书ID,并会在下一步中被分配给模块。 4. 选择 PLC_1,并导航至“保护和安全”(Protection & Security)区域的“伙伴设备证 书”(Certificates of partner devices) 表。 5.单击“证书持有者”(Certificate holder) 列的空行,以添加导入的证书。 6. 从下拉列表中选择通信伙伴的所需 CA证书,并确认选择。 MES 系统还会要求提供 CPU 的设备证书来验证 CPU(即,TLS 客户端)。在这种情 况下,CPU 的CA 证书必须对 MES 系统可用。将证书导入 MES 系统的前提条件是,先从 CPU 的 STEP 7 项目中导出 CA证书。请按以下步骤操作: 1. 打开项目树中全局安全设置下的证书管理器。 2. 为要导出的证书选择匹配表(CA 证书)。 3.单击右键,打开所选证书的快捷菜单。 4. 单击“导出”(Export)。 5. 选择证书的导出格式。在的步骤中,需要创建用户程序以进行数据交换,并下载组态以及相应的程序。
S7-1500 CPU(作为TLS 服务器)和外部设备(作为 TLS 客户端)之间安全的开放式用户通信 如果 S7-1500 CPU 用作 TLS服务器,并且外部设备(例如,ERP 系统(企业资源规划系统)) 建立 TLS 连接/会话,则您需要以下证书: • 对于 S7-1500CPU,使用私钥生成设备证书(服务器证书),并将其与硬件配置一同下载。生成服务器证书时,可使用选项“由证书颁发机构签名”(Signed by certificate authority)。密钥交换需要使用私钥,如示例“基于 TLS 的 HTTP”的图所示。 • 对于 ERP 系统,需要导出 STEP 7 项目的 CA证书,并将其导入/下载至 ERP 系统。基于 CA 证书,ERP 系统将在建立 TLS 连接/会话过程中检查从 CPU 传送到 ERP系统的 S7-1500 服 务器证书。通过 S7-1543-1 CP(作为电子邮件客户端)实现的安全的开放式用户通信(基于 TLS 的SMTP) S7-1500 CPU 可使用通信指令 TMAIL-C 通过 CP 1543-1 与电子邮件服务器建立安全连接。借助系统数据类型 TMail_V4_SEC、TMail_V6_SEC 和 TMail_QDN_SEC,可以指定电子邮件服务器的伙伴端口,进而通过“基于 TLS 的 SMTP”访问电子邮件服务器。实现安全的电子邮件连接的前提条件是,将根证书和中间证书从电子邮件服务器(提供方) 导入至 STEP 7项目的全局证书存储器。将这些证书分配至 CP 后,CP 会检查由电子邮件服 务器在通过该证书建立 TLS连接/会话时发送的电子邮件服务器的服务器证书。请按以下步骤操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为要导入的证书选择匹配表(根证书颁发机构的受信证书)。 3.右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。 通过导入过程,相关证书会收到证书ID,并会在下一步中被分配到 CP。 4. 选择 CP 1543-1,并导航至“安全”(Security)部分中的“伙伴设备证书”(Certificates of partner devices) 表。 5.单击“证书持有者”(Certificate holder) 列的空行,以添加导入的证书。 6. 从下拉列表中选择电子邮件服务器所需的CA 证书,并确认选择。 在的步骤中,需要创建用户程序以实现 CPU 的电子邮件客户端功能,并下载组态以 及相应的程序。 参见两个 S7-1500 CPU 之间的安全 OUC (页 406) S7-1500 CPU(作为 TLS 客户端)和外部PLC(作为 TLS 服务器)之间的安全 OUC (页 410) S7-1500 CPU(作为 TLS 服务器)和外部PLC(作为 TLS 客户端)之间的安全 OUC (页 412) 通过电子邮件实现的安全 OUC (页 419)通过 CP 接口进行安全 OUC 连接 (页 414) 证书通信原理:基于 TLS 的 HTTP (S7-1200,S7-1500, S7-1500T) 下图展示了如何使用文中介绍的安全机制在 S7-1500 CPU 的 Web 浏览器和 Web服务器之间 建立安全通信。 介绍如何更改 STEP 7 中的选项“仅允许通过 HTTPS 进行访问”(Permit accessonly through HTTPS)。自 STEP 7 V14 起,可以影响固件版本为 V2.0 及更高版本的 S7-1500CPU Web 服务器的服务器证书:此服务器证书采用该版本及更高版本的 STEP 7 生成。 还显示了使用 PC 的 Web浏览器通过加密的 HTTPS 连接调用 CPU 的 Web 服务器网站 时采用的过程。 使用固件版本为 V2.0 及更高版本S7-1500 CPU 的 Web 服务器证书 对于固件版本 V2.0 及以下版本的 S7-1500 CPU,设置 Web服务器属性时,如果无特殊要求, 需设置为“只允许通过 HTTPS 访问”(Permit access only withHTTPS)。 对于此类 CPU,无需参与证书的处理过程;CPU 将自动为 Web 服务器生成所需证书。对于固件版本 V2.0及更高版本的 S7-1500 CPU,STEP 7 会为 CPU 生成服务器证书(Zui终实 体证书)。在 CPU 的属性中为 Web服务器分配服务器证书(“Web 服务器 > 服务器安全”(Web server > Server security))。由于服务器证书名称始终预设,Web 服务器的简单组态没有任何变化:激活 Web 服务 器并激活选项“仅允许使用 HTTPS进行访问”(Permit access only with HTTPS) - STEP 7 会在 编译期间使用预设名称生成服务器证书。无论是否在全局安全设置中使用证书管理器:STEP 7 都具备生成服务器证书所需的全部信息。还可以确定服务器证书的属性,例如名称或有效期等。 说明 在 CPU 中,必须设置当前的日期/时间。使用安全通信(如,HTTPS、安全 OUC、OPC UA)时,需确保相应模块为当前时间和当前日期。否则,模块将所用的证书评估为无效,不进行安全通信。 下载 Web 服务器证书 下载硬件配置时,系统将自动下载 TIAPortal (STEP 7) 生成的服务器证书。 • 如果在全局安全设置中使用证书管理器,则项目的证书颁发机构(CA 证书)会对Web 服 务器的服务器证书进行签名。下载时,项目的 CA 证书也会自动加载。 • 如果未在全局安全设置中使用证书管理器,则 STEP7 会生成服务器证书作为自签名证书。 通过 CPU 的 IP 地址对 CPU 的 Web 服务器进行寻址时,每次 CPU中以太网接口的 IP 地址发 生更改时,都必须生成新的服务器证书并加载(Zui终实体证书)。这是由于 CPU 的身份随 IP地址一同更改。根据 PKI 规则,该身份必须进行签名。如果使用域名(如,“myconveyer-cpu.room13.myfactory.com”)而非 IP 地址对 CPU 进行寻址,则可避免这一问题。为此,需要通过 DNS 服务器对 CPU 的域名进行管理。 为 Web 浏览器提供一份 Web 服务器的 CA证书 在 Web 浏览器中,通过 HTTPS 访问 CPU 网站时,需安装该 CPU 的 CA 证书。如果未安装证书,则将显示一条警告消息,不建议访问该页面。要查看该页面,需显式“添加例外情 况”。 有效的 root 证书(证书颁发机构),可从Web 服务器“简介”(Intro) Web 页面的“下载证 书”(Download certificate) 中下载。 在 STEP7 中,可采用另一种方式:使用证书管理器,将项目的 CA 证书导出到 STEP 7 中的 全局安全设置中。之后,再将 CA证书导入浏览器中。