有关避免错误和错误处理的提示(S7-1200, S7-1500, S7-1500T) 以下说明列出了一些可能导致 CPU 错误消息的用例。 诊断缓冲区提供信息用于保护机密组态数据的密码与下载的组态不匹配时,CPU 会检测到该问题。诊断缓冲区中的消息指示可能的原因和补救措施,通常可以作为问题的解决方案。恢复备份 恢复 CPU 的备份时(TIA Portal中的菜单“在线”(Online),对标记的备份执行命令“下载到 设备”(Download todevice)),只有满足以下条件,CPU 才能与 PG/PC 或 HMI 进行通信: • 恢复保护机密 PLC组态数据时使用密码保护的组态后,该 CPU 中必需包含此密码。 否则,CPU 无法访问该组态数据,无法启动。 补救措施如果发生上述错误(即保护机密 PLC 组态数据的密码与备份不匹配),则必须删除保护 CPU 中机密 PLC组态数据的密码,设置正确的密码。重新启动 CPU 后,备份功能恢复正常。典型的“陷阱” 为了避免或纠正错误,请注意以下情况: •组态已下载? 无论是否使用密码保护机密组态数据:如果没有下载的组态,CPU 便不会退出配置阶段。 • 正在尝试下载包含组态密码的CPU,而 CPU 已经收到另一个密码。 例如:CPU 已更换为库存中的另一个 CPU。更换的 CPU 件并未完全复位(通过选项“删除用于保护机密 PLC 组态数据的密码”(Delete password for protection of confidentialPLC configuration data) 复位为出厂设置)。 补救措施: – 准备更换 CPU时,始终使用适当的设置(密码已删除)。 – 对于要下载的组态,使用已下载的组态中所使用的密码。 – 也可能下载了错误的项目/CPU组态。检查正确的 CPU 组态是否可用。 – 使用在线功能“设置用于保护机密 PLC 组态数据的密码”(Set password toprotect confidential PLC configuration data) 删除密码或设置为与 CPU组态相同的密码。重启设备。 • 如果 CPU 组态不使用密码,而已下载的组态需要用户自定义密码,则仍会发生错误。 补救措施: –使用在线功能“设置用于保护机密 PLC 组态数据的密码”(Set password to protect confidentialPLC configuration data) 删除密码或设置为与 CPU 组态相同的密码。重启设备。 更换部件方案的规则(S7-1200, S7-1500, S7-1500T) 分配用于保护机密 PLC 组态数据的密码也会对更换部件方案产生影响。更换部件方案的规则 请遵守以下更换部件方案的规则: 通过 TIA Portal 组态更换的 CPU • 更换 CPU不应具有组态或用于保护机密 PLC 组态数据的密码。 优势:无论是否组态了密码,都可以将项目下载到更换 CPU中,而无需进行任何其它准 备工作。 • 如果已组态更换 CPU,则必须将 CPU 复位为出厂设置,设置以下选项: –“删除保护机密 PLC 组态数据的密码”(Delete password for protection of confidentialPLC configuration data) – “格式化存储卡”
通过存储卡向更换 CPU 提供组态数据 • 如果未向项目中的 CPU 分配用于保护机密 PLC组态数据的密码,则可以将旧 CPU 的存储 卡插入到全新未使用的 CPU 中,而无需采取任何其它操作。 如果更换 CPU组态了保护机密 PLC 组态数据的密码,则必须使用“删除保护机密 PLC 组态数据的密码”(Delete password forprotection of confidential PLC configuration data) 选项将该 CPU复位为出厂设置。 • 如果已为一组 CPU 分配了相同的密码,则还可以通过 TIA Portal 或适用的存储卡将组密 码分配给更换CPU(参见“保护机密的组态数据 (页 387)”)。 此时,可将包含有当前项目的存储卡插入 CPU中并直接进行处理,而无需任何密码相关 操作。 • 如果为项目中的每个 CPU 分配不同的密码,则在使用更换 CPU时,需要先使用在线和诊 断编辑器为各 CPU 设置有效密码(“设置保护机密 PLC 组态数据的密码”(Set password forprotection of confidential PLC configuration data) 区域,具体参见“更改密码(页 390)”)。 参见 通过 SIMATIC 存储卡分配密码 (页 394) 将 S7 CPU 复位为出厂设置(页 4335) 全局安全设置 (S7-1200, S7-1500, S7-1500T) 全局安全证书管理器(S7-1200, S7-1500, S7-1500T) 简介 在全局证书管理器中,简要概括了项目中使用的所有证书(例如,CA证书),以及与证书 持有者、签发方、有效性以及是否存在私钥及私钥使用情况相关的信息。若拥有相应的授权,您还可以管理项目证书。激活全局安全设置 只有在项目中针对至少一个设备激活激活全局安全设置后,全局安全设置才可见。为此,在 CPU特定的局部证书管理器中,提供了“使用证书管理器的全局安全设置”(Use global security settings forcertificate manager) 复选框:该复选框位于巡视窗口中带安全功能的设备常规设置的“保护和安全 > 证书管理器”(Protection & Security > Certificate manager) 下。 原理 CA证书由证书颁发机构签发,设备证书通常由此证书而来。 证书颁发机构可以是: • STEP7:如果“证书持有者”和“签发方”相同,则为自签发证书;即,由 STEP 7 签发 的证书。 •较gaoji别的证书颁发机构:这些外部证书属于项目外证书,可导入和存储到 STEP 7 的证 书存储器中。由这两个证书颁发机构之一创建的证书始终有一个私钥,以便从它们可获得设备证书。 全局安全证书管理器的功能全局安全证书管理器中提供以下功能供用户选择: • 导入新证书和证书颁发机构。 • 例如,导入 SSL 证书(jinxian CPx43-1 gaoji版)以进行 FTP 通信。 • 导出项目中使用的证书和证书颁发机构。 • 更新过期的证书和证书颁发机构。 •替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。手动删除导入的证书。 说明 下载组态替换或更新证书后,必须将组态下载到相应的设备。替换或更新 CA 证书后,必须将组态下 载至相应的设备。 说明安全模块上的当前日期和时间 使用安全通信(例如 HTTPS)时,要确保相应设备具有当前时间和当前日期。否则,使用的证书将无法评估为有效,且安全通信不会工作。 参见 CPU 特定的局部证书管理器 (页 1380) 管理用户和角色(S7-1200, S7-1500, S7-1500T) 简介激活证书管理器的全局安全设置后,必须登录全局安全设置,或者您需具备管理员权限。否则,您没有足够的用户权限来编辑全局证书。如果您不登录或者您没有足够的权限,则您无 法访问全局证书管理器。 角色和权限如果为您分配了预定义的角色“管理员”(Administrator) 或“标准”(Standard),或者为您分配了具有相关授权的其它已定义角色,则您可以组态安全设置。您可以在项目树的“全局安 全设置 > 用户管理 >角色”(Global security settings > User administration > Roles)下查看角 色,或者如果您具备相应的权限,则可对其进行编辑。要求 您必须以管理员身份通过用户登录的方式登录到全局安全设置。 操作步骤若要编辑用户和角色,请按照以下步骤进行操作: 1. 在项目浏览器中,转至全局安全设置的用户管理。 2.选择要更改的角色或创建一个新角色。 3. 在权限列表中编辑所选角色的权限。 导入和导出证书 (S7-1200, S7-1500,S7-1500T) 简介 可导入和导出证书以及相关的私钥。证书只能通过全局证书管理器进行导入。证书还可通过 CPU特定的局部证书管理器进行导出。 可采用以下文件类型导入或导出证书: • 对于不含私钥的证书,采用的文件类型为 CER、DER、CRT或 PEM • 对于包含私钥的证书,采用的文件类型为 P12 (PKCS12)。 要求 导入包含私钥的证书时,您可能需要访问密码。导入证书 若要导入证书,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为要导入的证书选择匹配表(根证书颁发机构的 CA 证书、设备证书、受信证书)。 3. 右键单击该表,打开快捷菜单。 4.单击“导入”(Import)。 5. 选择证书的导入格式: – 对于不含私钥的证书,格式为 CER、DER、CRT 或 PEM。 –对于包含私钥的证书,格式为 P12(PKCS12 归档)。 6. 单击“打开”(Open),导入证书。必须以手动方式将导入的证书分配给所需设备或模块。导出证书 若要导出证书,请按照以下步骤进行操作: 1.打开项目树中全局安全设置下的证书管理器。 2. 为要导出的证书选择匹配表(根证书颁发机构的 CA 证书、设备证书、受信证书)。 3.单击右键,打开所选证书的快捷菜单。 4. 单击“导出”(Export)。 5. 选择证书的导出格式: – 对于不含私钥的证书,格式为CER、DER、CRT 或 PEM。 – 对于采用 DER 编码的证书块列表,格式为 CRL – 对于包含私钥的证书,格式为P12(PKCS12 归档)。 6. 单击“保存”(Save),导出证书。 还可以直接从 CPU特定的局部证书管理器中导出证书。