SIEMENS西门子 编码器电缆 6FX3802-5BL03-1AF0

         通过 CPU 和 CP 接口的 OUC 安全连接（操作相似）• 连接资源： OUC 和安全 OUC 之间无差别。编程的 OUC 安全连接将使用诸如 OUC 连接之类的连接资源，而不考虑与该站通信的 IE/PROFINET 接口。 • 连接诊断： OUC 和 OUC 安全连接诊断之间无差别。 • 将带有OUC 安全连接的项目下载到 CPU 中： 如果还需下载证书，则只能 CPU STOP 模式下进行。 建议：下载到设备 >硬件和软件 (Load to device > Hardware and software)。原因：需确 保带有安全 OUC的程序、硬件配置和证书一致。 证书随硬件配置一同下载。下载过程中需要停止 CPU 的运行。仅当所需的证书位 于模块中时，才能在RUN 模式下重新下载使用其它 OUC 安全连接的块。 4. 在“起始值”(Start value) 列设置安全通信的参数。 –“ActivateSecureConn”：激活该连接的安全通信。如果该参数的值为 FALSE，则将忽略后面的安全参数。此时，可建立一个非安全的 TCP 或 UDP 连接。 – “TLSServerReqClientCert”：要求TLS 客户端提供 X.509-V3 证书。输入值“true”。 – “TLSServerCertRef”：自身 X.509-V3证书的 ID。 – “TLSClientCertRef”：输入值 2（引用 TIA Portal 项目 (SHA256) 的 CA证书），或输入 值 1（引用 TIA Portal 项目 (SHA1) 的 CA 证书）。 5. 在程序编辑器中，创建一个TCON 指令。 6. 将 TCON 指令的 CONNECT 参数与 TCON_IP_V4_SEC 数据类型的变量进行互连。上传设备作为新站 在将带有证书的组态进而组态的开放式用户安全通信作为新站上传到 STEP 7 项目中时，与 CPU 的证书不同，CP的证书不会上传。在将设备下载为新站后，在 CP 的设备证书表格中不 会包含更多证书。上传后，需对证书进行组态。否则，重新下载组态将导致 CP 之前存在的证书删除，无 法进行安全通信。通过电子邮件实现的安全 OUC(S7-1500, S7-1500T) 在以下章节中，将介绍如何使用 TMAIL_C 通信指令与邮件服务器建立安全连接 (SMTPover TLS)。 与邮件服务器建立安全连接 为建立与邮件服务器的安全通信，需要自行创建系统数据类型为 TMAIL_V4_SEC、TMAIL_V6_SEC 或 TMAIL_QDN_SEC 之一的数据块，执行参数分配以及直接以 TMAIL_C 指令 进行调用。要求： • S7-1500 CPU 的固件版本为 V2.0 或更高版本，其包含的通信模块 CP 1543‑1 的固件版本 为 V2.0或更高版本 • ET 200SP CPU 的固件版本为 V2.0 或更高版本，其包含的通信模块 CP 1542SP‑1 (IRC) 的固件版本为 V1.0 或更高版本 • 已经为 CP（TLS 客户端）分配了邮件服务器（TLS 服务器）的所有 CA 证书，并已将组态加载到 CPU 中。

             若要使用邮件服务器的 IPv4地址建立安全的邮件服务器连接，请执行如下操作： 1. 在项目树中，创建一个全局数据块。 2. 在该全局数据块中，定义一个TMAIL_V4_SEC 数据类型的变量。 以下示例显示了全局数据块“MailConnDB”，其中定义了数据类型为TMAIL_V4_SEC 的变量 “MailConnectionSEC”。PG/HMI 间安全通信 (S7-1200,S7-1500, S7-1500T) 基于标准化安全机制的 PG/HMI 通信 (S7-1200, S7-1500,S7-1500T) 在 V17 及以上版本中集成有Zui新型控制器和Zui新型 HMI 设备，TIA Portal、STEP 7 和WinCC 的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信（简称为 PG/HMI 通信）。 具体涉及以下 CPU 系列：• S7-1500 控制器系列固件版本 V2.9 及以上版本 • S7-1200 控制器系列固件版本 V4.5 及以上版本 •软件控制器固件版本 V21.9 及以上版本 • SIMATIC 启动控制器固件版本 V2.9 及以上版本 • PLCSim 和PLCSim Advanced 版本 V4.0 HMI 组件经更新以支持 PG/HMI 间安全通信： • 使用 WinCC精简版、精智版和gaoji版组态的面板或 PC • 安装有 WinCC 专业版运行系统 的 PC • WinCC Unified PC和精智面板 还更新了 V6.1 及以上版本的 SINAMICS RT SW 和 V17 及以上版本的 STARTDRIVE。PG/HMI 通信的特性 PG 通信和 HMI 通信Zui显著的一个特点是简单：在安装 TIA Portal 的编程设备和 CPU 之间建立在线连接（例如，以下载程序）只需几步简单的操作。此在线连接基于公认的 SIMATIC 通 信标准，可满足机密性和完整性等方面的要求。在将机器和系统集成到开放 IT 环境过程中，必须确保编程设备/HMI 设备与 CPU 之间的通信不仅要有效保护敏感数据的完整性和机密性，还要确保其符合公认的安全标准，从而能 够应对未来的挑战。 在 TIA Portal 版本V14 中，基于用户程序的“开放式用户通信”过程已扩展为“安全的开放式用户通信”机制。还建立了其它基于证书的通信机制（HTTPS、Secure SMTP over TLS 或 OPC UA）。在TIA Portal 版本 V17 即以上版本中，还对 PG/HMI 通信进行了升级：在此，TLS（传输层安全）协议用于采用标准化安全机制的 PG/HMI 间安全通信。更改的内容 用于提高安全性的附加可选密码上述设备的组态形式中Zui显著的变化是能够分配密码以保护相应 CPU 的敏感组态数据。敏感组态数据包括诸如私钥等数据，基于证书的协议正常运行（安全通信）需要私钥，对于 TIA Portal V17 及以上版本，PG/HMI通信也需要私钥。在 TIA Portal 中输入密码时，可以使 用策略设置来检查已分配的密码。这样，可确保企业遵循既定的密码策略。如果计算机或系统已采用其它类似保护，而无需实施基于西门子工业深度防御机制的保护措 施，则无需进行密码分配。如果已采取相应措施保护TIA Portal 项目和 CPU 组态防止未经授 权的访问，则可以不使用密码。 警告 如果不使用密码，则私钥仅获得弱保护请注意，如果未使用密码来保护受信任的组态数据，则安全通信所需证书的私钥仅获得弱 保护。 PG/HMI 与 CPU 之间基于证书的通信由于 PG/HMI 通信基于证书，调试过程中要求接受服务器证书。 通过其它参数分配选项，可以确定 CPU运行期间的行为：例如，可以指定 CPU 允许连接到 不支持 PG/HMI 间安全通信的设备。 维护/更换部件方案为了在更换部件方案中更换 CPU 时不发生故障，必须遵守特定的规则（参见“更换部件方 案的规则(页 397)”）。PG/PC 和 HMI 通信模式 可以设置 CPU 与编程设备和 HMI 设备的通信方式： • 仅通过PG/HMI 间安全通信 • 通过 PG/HMI 间安全通信和先前使用的 PG/HMI 通信（简称为“传统的 PG/HMI 通信”）。 操作步骤 1. 在 CPU 属性中，导航至区域“保护与安全 > 连接机制”(Protection & Security> Connection mechanisms)。 2. 选择要使用的选项。 选择证书或生成新证书 如果选择用于 PG/HMI通信的连接机制，则可以选择符合条件的 PLC 通信证书来保护连接， 或者由 TIA Portal生成证书。如果已分配密码或已取消激活保护机密 PLC 组态数据的选项（即 未设置密码），则“保护与安全 >连接机制”(Protection & Security > Connection mechanisms)中已预先设置了具有适当设置和有效默认名称的证书。 操作步骤 如果要通过 TIA Portal 生成新证书，或者要选择其它现有证书：1. 在“PLC 通信证书”(PLC communication certificate) 字段中，单击三个点以展开该字段。 2.选择所需证书，或单击“添加”(Add) 按钮。 3. 添加证书时，将显示一个包含证书设置选项的对话框。 用于设置“TLS服务器”，可以更改其它参数（例如名称、哈希算法）。 应用证书管理的通用规则。例如，如果要生成 CA证书，则必须选择“证书管理器的全局设 置”(Global settings for the certificate manager)选项。也可选择生成自签名 PLC 证 书。PG 与 CPU 之间基于证书的通信的提示 (S7-1200, S7-1500,S7-1500T) 基于证书的 PG/PC 通信（PG/PC 间安全通信）意味着 CPU 的通信伙伴（安装了 TIA Portal 的编程设备）必须信任 CPU 的设备证书，才能下载连接。从 TIA Portal 的角度来说，可使用以下方式信任 CPU的证书： • 安装了 TIA Portal 的编程设备已具有 CPU 的设备证书，例如，已在项目中创建或导入证书。此时，将系统自动运行证书检查，而无任何提示。 • 安装了 TIA Portal 的编程设备不具有 CPU 的设备证书，例如，CPU通过“可访问 站”(Accessible stations) 确定，而在项目中不可用。此时，TIA Portal 将询问 TIAPortal 用 户该证书是否可信。只有通过大量的工作才能做出判断，因为 CPU 不在眼前，无法 立即鉴定真伪。 • 安装了TIA Portal 的编程设备具有 CA 证书（证书颁发机构），并且 TIA Portal 可通过网 络访问的所有 CPU 都具有该CA 证书颁发的设备证书。 该解决方案的优势：通信伙伴的设备证书在 TIA Portal 中不可用，TIA Portal 仍可以自动检查设备证书。 下文将详细介绍 CA 证书（证书颁发机构）解决方案。 要求 可以使用 TIA Portal 的证书颁发机构创建CPU 的设备证书，并使用现有 CA 证书为设备证书 签名。还可以在 TIA Portal 中导入并使用另一个证书颁发机构。必须启用证书管理器的全局安全策略。只有完成此设置，才能生成 CA 签名的证书。 另请参见“使用 TIA Portal 进行证书管理。