更新证书(S7-1200, S7-1500, S7-1500T) 简介 例如,您可以更新证书,以通过导入的证书或新证书更新损坏的证书。操作步骤 若要更新证书,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2. 为要更新的证书选择匹配表(CA证书、设备证书)。 3. 单击右键,打开所选证书的快捷菜单。 4. 单击“更新”(Renew)。 5.可以在更新证书的对话框中编辑所选证书的数据。 6. 单击“确定”(OK) 时,会使用更改后的值更新证书。文件扩展名 CRL 含义CRL (Certificate Revocation List) 是 X.509 V3 扩展名,其中包含特定根证书的受阻或吊销证书的列表。证书颁发机构可使用该选项吊销已签发的证书授权。证书遭到损坏,或者其中的内 容被证明存在错误时,会出现这种情况。受阻证书可通过CRL 解锁,例如,在此类证书 Zui终证明未受损坏,或者其内容Zui终证明正确无误时,也可以解锁。吊销的证书将yongjiu无效,无法授权。证书颁发机构会在证书到期或内容发生更改后,立即更新其 CRL。在相应的证 书中输入了 CRL 的供应源。 用法 TIAPortal 不支持通过 CRL 吊销证书。由于某些外部客户端必须具备证书块列表来验证证书, 会支持导出CRL。但列表为空,并且仅用于由某些外部客户端验证输出证书。 文件扩展名 P12 文件类型 Personal InformationExchange File 用法 用作 PKCS12 归档编码的证书,可以选择包含私钥 MIME 类型application/keychain_access, application/x-pkcs12 含义除了服务器证书和中间证书外,P12 格式的文件类型还可包含私钥。存储时可分配密码。 用法 在 TIA Portal 中,支持以文件格式P12 导入和导出。只有在证书释放私钥时,才会存在用于以 PKCS12 归档形式导出的选项。导出时,可以为 PKCS12归档分配密码。与导出期间的密码分 配类似,导入期间访问证书时可能需要输入密码。
更新证书时,会使用带有新值的证书替换旧证书。通过更新证书,不会生成证书颁发机构的 签名查询。 更换证书(S7-1200, S7-1500, S7-1500T) 简介 可以使用其它证书更换现有证书。 操作步骤若要更换证书,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为要替换的证书选择匹配表(根证书颁发机构的 CA 证书、设备证书、受信证书)。 3. 单击右键,打开所选证书的快捷菜单。 4.单击“更换”(Replace)。 5. 在用于更改证书颁发机构的对话框中,可使用新证书更换项目的现有 CA 证书或 CA 组证书。将衍生“涉及的证书”(Certificates involved) 表列出的所有证书。 显示证书 (S7-1200,S7-1500, S7-1500T) 简介 可通过 Windows 证书对话框概览显示的所有证书数据 操作步骤若要显示证书数据,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为待显示的证书选择匹配表(根证书颁发机构的 CA 证书、设备证书、受信证书)。 3. 单击右键,打开所选证书的快捷菜单。 4.单击“显示”(Show)。结果 在窗口中显示与所选证书相关的各种信息: • 证书的常规信息 • 证书的详细信息 • 证书路径的相关信息删除证书 (S7-1200, S7-1500, S7-1500T) 简介 可以删除不再需要或者已经损坏的证书。 操作步骤若要删除证书,请按照以下步骤进行操作: 1. 打开项目树中全局安全设置下的证书管理器。 2.为要删除的证书选择匹配表(根证书颁发机构的设备证书、受信证书)。 3. 单击右键,打开所选证书的快捷菜单。 4.单击“删除”(Delete)。 说明 为项目预留的 CA 证书以及自动分配至 CP 的证书无法删除。 还可以直接在 CPU特定的局部证书管理器中删除证书。证书随后会保留在项目的全局安全 管理器中,但不再用于设备。安全的开放式用户通信 (S7-1500,S7-1500T) 两个 S7-1500 CPU 之间的安全 OUC (S7-1500, S7-1500T) 下文章节介绍如何通过TCP 在两个 S7-1500 CPU 之间建立安全的开放式用户通信。在该过 程中,一个 S7‑1500 CPU 用作 TLS客户端(建立主动连接),另一个 S7‑1500 CPU 用作 TLS 服务器(建立被动连接)。在两个 S7-1500 CPU之间建立安全 TCP 连接 为了在两个 S7‑1500 CPU 之间建立安全的 TCP 通信,需要在各个 CPU 中创建系统数据类型为TCON_IP_V4_SEC 的数据块,执行参数分配以及直接以指令进行调用。TCON 指令支持系统 数据类型 TCON_QDN_SEC和 TCON_IP_V4_SEC。在固件版本 V2.5 及以上版本中,TSEND_C 和 TRCV_C 指令也支持TCON_QDN_SEC 和 TCON_IP_V4_SEC 系统数据类型。 要求: • 已在 CPU 中设置当前的日期和时间。 •两个 S7-1500 CPU 的固件版本Zui低为 V2.0 • TLS 客户端和 TLS 服务器具备所需的全部证书。TLS客户端的设置 如需在 TLS 客户端建立 TCP 安全连接,请按照以下步骤操作: 1. 在项目树中,创建一个全局数据块。 2.在该全局数据块中,定义一个数据类型为 TCON_IP_4_SEC 的变量。为此,需在“数据类 型”(Data type)字段中输入字符串“TCON_IP_V4_SEC”。 以下示例中显示了全局数据块“Data_block_1”,其中,定义了数据类型为TCON_IP_V4_SEC 的 变量“SEC 连接 1 TLS 客户端”(SEC connection 1 TLS Client)。3. 在“起始值”(Start value) 列设置 TCP 连接的连接参数。例如,在“RemoteAddress”中输入 TLS服务器的 IPv4 地址。 说明 连接参数 InterfaceID 请注意,可为数据类型为 TCON_IP_V4_SEC的接口 ID 输入值“0”。此时,CPU 将自行 搜索相匹配的本地 CPU 接口。 4. 在“起始值”(Startvalue) 列设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则将忽略 后面的安全参数。此时,可建立一个非安全的 TCP 或 UDP 连接。 –“TLSServerCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA 证书),或输入值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。如果使用不同的 CA 证书,则需在证书管理器的全局安全设置中输入相应的 ID。 – “TLSClientCertRef”:自身 X.509-V3 证书的 ID。 5.在程序编辑器中,创建一个 TCON 指令。 6. 将 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC数据类型的变量进行互连。TLS 服务器的设置 如需 TLS 服务器建立 TCP 安全连接,请按照以下步骤操作: 1.在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个 TCON_IP_V4_SEC 数据类型的变量。以下示例中显示了全局数据块“Data_block_1”,其中定义了数据类型为 TCON_IP_V4_SEC 的变 量“SEC 连接 1TLS 服务器”(SEC connection 1 TLS Server)。 3. 在“起始值”(Start value) 列设置TCP 连接的连接参数。例如,在“RemoteAddress”中输入 TLS 客户端的 IPv4 地址。 4.在“起始值”(Start value) 列设置安全通信的参数。 –“ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则将忽略后面的安全参数。此时,可建立一个非安全的 TCP 或 UDP 连接。 – “TLSServerReqClientCert”:要求TLS 客户端提供 X.509-V3 证书。输入值“true”。 – “TLSServerCertRef”:自身 X.509-V3证书的 ID。 – “TLSClientCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA证书),或输 入值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。如果使用不同的 CA 证书,则需在证书管理器的全局安全设置中输入相应的 ID。 5. 在程序编辑器中,创建一个 TCON 指令。 6. 将 TCON 指令的CONNECT 参数与 TCON_IP_V4_SEC 数据类型的变量进行互连。S7-1500 CPU(作为 TLS 客户端)和外部PLC(作为 TLS 服务器)之间的安全 OUC (S7-1500, S7-1500T) 下文章节介绍如何通过 TCP 在S7-1500 CPU(作为 TLS 客户端)与 TLS 服务器之间建立安全 的开放式用户通信。 在 S7-1500 CPU(作为TLS 客户端)与 TLS 服务器之间建立安全 TCP 连接。 固件版本为 V2 及更高版本的 S7-1500 CPU支持通过域名系统 (DNS) 进行寻址的安全通信。 为通过域名建立安全的 TCP 通信,需要自行创建系统数据类型为TCON_QDN_SEC 的数据块, 执行参数分配以及直接以指令进行调用。TCON 指令支持系统数据类型 TCON_QDN_SEC。要求: • 网络中至少存在一个 DNS 服务器。 • 至少已为 S7‑1500 CPU 组态了一个 DNS 服务器。 • TLS客户端和 TLS 服务器具备所需的全部证书。