S7-1500 CPU(作为 TLS服务器)和外部 PLC(作为 TLS 客户端)之间的安全 OUC (S7-1500, S7-1500T) 下文章节介绍如何通过 TCP在 S7-1500 CPU(作为 TLS 服务器)与 TLS 客户端之间建立安全 的开放式用户通信。 通过通信伙伴的域名建立安全的TCP 连接 固件版本为 V2 及更高版本的 S7-1500 CPU 支持通过域名系统 (DNS) 进行寻址的安全通信。为通过域名建立安全的 TCP 通信,需要自行创建系统数据类型为 TCON_QDN_SEC 的数据块,执行参数分配以及直接以指令进行调用。TCON 指令支持系统数据类型 TCON_QDN_SEC。 要求: • 网络中至少存在一个 DNS服务器。 • 至少已为 S7‑1500 CPU 组态了一个 DNS 服务器。 • TLS 客户端和 TLS服务器具备所需的全部证书。若要与 TLS 服务器建立安全的 TCP 连接,请按照以下步骤进行操作: 1.在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个 TCON_QDN_SEC 数据类型的变量。以下示例显示了全局数据块“Data_block_1”,其中定义了数据类型为 TCON_QDN_SEC 的变量“DNS ConnectionSEC”。 3. 在“起始值”(Start value) 列设置 TCP连接的连接参数。例如,在“RemoteQDN”中输入 TLS 服 务器的完全限定的域名 (FQDN)。 4. 在“起始值”(Startvalue) 列设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则将忽略 后面的安全参数。此时,可建立一个非安全的 TCP 或 UDP 连接。 –“ExtTLSCapabilities”:输入值 1 时,客户端会验证服务器 X.509-V3 证书中的subjectAlternateName,以检查服务器的身份。建立连接时检查证书。 –“TLSServerCertRef”:X.509-V3 证书(通常为 CA 证书)的 ID,TLS 客户端使用该 ID 验 证 TLS服务器的身份。如果该参数为 0,则 TLS 客户端将使用客户端证书中心当前加 载的所有 (CA) 证书对服务器的身份进行验证。CA证书的证书 ID 在 TLS 服务器中输入。若要与 TLS 客户端建立安全的 TCP 连接,请按照以下步骤进行操作: 1.在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个 TCON_QDN_SEC 数据类型的变量。以下示例显示了全局数据块“Data_block_1”,其中定义了数据类型为 TCON_QDN_SEC 的变量“DNS ConnectionSEC”。 3. 在“起始值”(Start value) 列设置 TCP连接的连接参数。例如,在“ID”中输入 TCP 连接的本地 ID。 4. 在“起始值”(Start value)列设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为 FALSE,则将忽略后面的安全参数。此时,可建立一个非安全的 TCP 或 UDP 连接。 – “TLSServerReqClientCert”:要求TLS 客户端提供 X.509-V3 证书 – “TLSServerCertRef”:自身 X.509-V3 证书的 ID。
–“TLSClientCertRef”:X.509-V3 证书(或 X.509-V3 证书组)的 ID,TLS 服务器使用该 ID 验证TLS 客户端的身份。如果该参数为 0,则 TLS 服务器将使用服务器证书存储区 当前加载的所有 (CA)证书对客户端的身份进行验证。5. 在程序编辑器中,创建一个 TCON 指令。 6. 将 TCON 指令的 CONNECT 参数与TCON_QDN_SEC 数据类型的变量进行互连。 在以下示例中,TCON 指令的 CONNECT 参数已与变量“DNSconnectionSEC”(数据类型为 TCON_QDN_SEC)互连。通过 CP 接口进行安全 OUC 连接 (S7-1500,S7-1500T) 在以下章节中,将介绍通过 CP 接口进行开放式用户安全通信时应注意的特殊事项。至少一 个站为 S7-1500站,并包含以下模块: • S7-1500 CPU 固件版本 V2.0 及更高版本(除 S7-1500 软件控制器以外) • CP –CP 1543-1 固件版本 V2.0 及更高版本 – CP 1545-1 ab V1.0 – CP 1543SP-1固件版本 V1.0 及更高版本 在 S7-1500 站中,CP 充当 TLS 客户端(活动连接设置)或 TLS服务器(被动连接建立)。 通过 CP 接口进行安全通信的基本操作步骤与概念,与通过 S7-1500 CPU 接口进行安全通信的类似。在此,必须将证书分配给作为 TLS 服务器或 TLS 客户端的 CPU,而非其它 CPU。也可使用其他角色和操作步骤。在下文中,将对此进行详细介绍。管理 CP 的证书以下规则普遍适用:在入全局安全设置中,需登录证书管理器。生成自签名的证书时,需登录全局安全设置。需要具有足够的用户权限(管理员权限,或具有“安全组态”权限的“标 准”用户)。 在 CP 中,可在“安全 >安全属性”(Security > Security properties) 部分生成或分配证书。在此部分中,可登录全局安全设置。 操作步骤: 1. 在 STEP 7 的网络视图中,选中该 CP 并在巡视窗口中选择“安全 >安全属性”(Security > Security properties) 部分。 2. 单击“用户登录”(Userlogon) 按钮。 3. 使用用户名和密码进行登录。 4. 启用“激活安全功能”(Activate securityfunctions) 选项。 系统将初始化相应的安全属性。 5. 单击“设备证书”(Device certificates)表格的第一行,生成一个新的证书或选择现有的设备证 书。 6. 如果通信伙伴也是一个 S7-1500 站,则需按照上述操作,使用STEP 7 为通信伙伴或为该 S7-1500 CPU 分配一个设备证书。 示例:通过 CP 接口,在两个 S7 1500CPU 之间建立一个 TCP 安全连接 要在两个 S7‑1500 CP 之间实现安全 TCP 安全,需要在每个 CPU 中创建一个TCON_IP_V4_SEC 系统数据类型的数据块,对其进行组态并在指令中直接调用该数据块。 要求: • 两个 S7 1500CPU 均具有上述指定固件版本之一。 • CP 均具有上述指定固件版本之一。 • TLS 客户端和 TLS 服务器具备所需的全部证书。– 必须为该 CP 生成设备证书(Zui终实体证书)并存储在该 CP 的证书存储器中。如果通 信伙伴是一个外部设备(如,MES 或 ERP系统),则需确保该设备上包含有设备证书。 – 对通信伙伴设备证书进行签名的 root 证书(CA 证书)也必须位于该 CP的证书存储器 中,或位于外部设备的证书存储器中。如果使用中间证书,则必须确保所验证设备中的证书路径完整。设备将通过这些证书验证通信伙伴的设备证书。 • 这些通信伙伴需通过 IPv4 地址进行寻址,而不能通过域名进行寻址。下图显示了在两个通信伙伴通过一个 CP 进行通信的方案中,设备中的不同证书。在该图中还显示了建立连接时设备证书的传输(“Hello”)。TLS 客户端的设置 如需在 TLS 客户端建立 TCP安全连接,请按照以下步骤操作: 1. 在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个 TCON_IP_V4_SEC数据类型的变量。为此,需在“数据类 型”(Data type) 字段中输入字符串“TCON_IP_V4_SEC”。以下示例中显示了全局数据块“Data_block_1”,其中,定义了数据类型为 TCON_IP_V4_SEC 的 变量“SEC 连接1 TLS 客户端”(SEC connection 1 TLS Client)。 该接口 ID 的值为本地 CP(TLS 客户端)中IE 接口的硬件标识符。 3. 在“起始值”(Start value) 列设置 TCP连接的连接参数。例如,在“RemoteAddress”中输入 TLS 服务器的 IPv4 地址。4. 在“起始值”(Startvalue) 列设置安全通信的参数。 – “ActivateSecureConn”:激活该连接的安全通信。如果该参数的值为FALSE,则将忽略 后面的安全参数。此时,可建立一个非安全的 TCP 或 UDP 连接。 –“TLSServerCertRef”:输入值“2”(引用 TIA Portal 项目 (SHA256) 的 CA 证书),或输入值“1”(引用 TIA Portal 项目 (SHA1) 的 CA 证书)。 –“TLSClientCertRef”:自身 X.509-V3 证书的 ID。 5. 在程序编辑器中,创建一个 TCON 指令。 6.将 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC 数据类型的变量进行互连。 TLS 服务器上的设置 要在TLS 服务器中设置 TCP 安全连接,请执行如下操作: 1. 在项目树中,创建一个全局数据块。 2. 在该全局数据块中,定义一个TCON_IP_V4_SEC 数据类型的变量。 以下示例中显示了全局数据块“Data_block_1”,其中定义了数据类型为TCON_IP_V4_SEC 的变 量“SEC 连接 1 TLS 服务器”(SEC connection 1 TLS Server)。该接口 ID 的值为本地 CP(TLS 服务器)中 IE 接口的硬件标识符。