SIEMENS西门子 编码器电缆 6FX3802-5BL03-1DA0

             安全功能用户管理的特殊功能访问安全功能 只有在激活项目保护且用户成功登录后才能访问安全功能。已登录用户还必须拥有必要的工 程组态和运行权限。 有关 STEP 7中用户管理的基本信息，请参见信息系统的“使用用户管理”部分。 针对安全模块的工程组态权限 这些工程组态权限可对安全模块进行诊断和组态：• 查看安全设备组态：显示安全模块的全局安全功能及本地安全设置。 •编辑安全设备组态：组态安全模块的全局安全功能及本地安全设置，并对安全模块执行 诊断。 •编辑硬件配置：编辑项目中所有设备的硬件配置。有关详细信息，请参见信息系统的“用 户管理中的功能权限”部分。对安全模块具有运行权限的角色 默认为前缀为“NET”的系统定义角色分配安全模块的运行权限。运行权限提供对安全模块执行某些任务的权限，例如诊断或更新固件任务。要执行这些任务，必须为用户分配前缀为“NET”的合适的系统定义角色，或为用户分配具有相应运行权限的用户自定义角色。与工程组态权限相似，不能更改系统定义角色的运行权限。对于用户自定义角色，可根据需要更改运行权限。可针对每个安全模块指定用户自定义角色的运行权限。安全模块必须至少有一个用户分配了具有完全运行权限的角色，例如系统定义的“NET 管理 员”角色。会为前缀为“NET”的系统定义角色分配工程组态权限：在遥控连接中输入证书 ID 1. 切换回创建的遥控连接，参数组“安全通信(TLS)”(Secure Communication (TLS))。 2. 手动输入以下值以连接第三方设备： – 伙伴证书 ID(Partner certificate ID)：为第三方设备导入或手动创建的证书的 ID – 自有证书 ID (Owncertificate ID)：模块的证书 ID 可以在全局安全设置的证书管理器中找到 ID。 3. 使端口号与第三方设备参数一致。导出第三方设备的证书并将其导入 导入第三方设备的设备证书后，只需导出模块的设备证书和关联的 CA 证书即可。 如果在STEP 7 中创建了第三方设备的设备证书，则还必须将其导出。 请按下列步骤操作： 1. 在 STEP 7中创建的第三方设备的设备证书 – 在全局证书管理器中，打开“受信任的证书和根证书颁发机构”(Trusted certificatesand root certificate authorities) 选项卡。 –选择第三方设备的设备证书，单击“导出证书”(Export certificate) 快捷菜单。 –将证书保存到工程师站的文件系统中。 可以更改默认文件格式“*.der”。 可以在帮助系统的“导出证书”部分找到证书文件格式的功能说明。2. 模块的设备证书 – 在全局证书管理器中，切换到“设备证书”(Device certificates) 选项卡。 –选择模块的设备证书作为第三方设备的伙伴证书。 – 使“签发者”(Issuer) 列完全可见。 需要签发者的名称来导出颁发的 CA证书。 – 使用“导出证书”(Export certificate) 快捷菜单导出选择的模块设备证书。 3. 颁发 CA 证书 –切换到“认证机构 (CA)”(Certificate authority (CA)) 选项卡。 – 选择为模块的设备证书签名的 CA证书。 展开 CA 证书时，所有派生的设备证书都会显示在其下方，其中包括模块的证书。 – 通过“导出证书”(Exportcertificate) 快捷菜单导出选择的 CA 证书。 4. 对于运行时的通信，将所有已保存的证书导出到第三方设备或其组态工具中。继续组态其它参数。

             用户和角色对安全模块的组态限制 • 一个安全模块上的Zui大用户数： 为安全模块分配的具有运行权限的Zui大用户数为33（创建项目时为 32 个用户 + 1 个管 理员）。 • 一个安全模块上的Zui大角色数：安全模块运行系统权限可向用户分配的Zui大角色数量和已分配给用户的数量均为 37。 用户特定的 IP 规则集的参数 使用用户特定的 IP规则集时，请注意下列用户管理参数： • 验证方法“RADIUS”（仅适用于 V4 及更高版本的 SCALANCE S）：激活用户特定的 IP 规则集时，通过 RADIUS 服务器执行对用户的验证。使用此验证方法 时，用户密码不在 STEP 7中组态，必须存储在 RADIUS 服务器上。对于只需要登录 到安全模块的 Web页面的用户，只使用此验证方法。使用“RADIUS”验证方法的用户不能 登录到 STEP 7 项目。 通过 RADIUS服务器验证 模块特定的功能 该功能只适用于 SCALANCE S V4 模块或更高版本，请参见：生成 SCALANCE M模块的组态数据 含义 可以使用 STEP 7 生成对 SCALANCE M 进行参数分配的 VPN 信息。为此，模块必须位于至少 一个VPN 组中，并且该组中存在安全模块或 SOFTNET 安全客户端。文件生成后，便可通过 设备基于 Web 的管理来对SCALANCE M 进行组态。 生成的文件 将生成以下类型的文件： • 带有组态数据的导出文件 – 文件类型：ASCII 格式的*.txt 文件 – 包含有关 SCALANCE M 的导出的组态信息以及有关额外生成的证书的信息。说明 不会向 SCALANCE M模块传送组态文件 不会向 SCALANCE M 模块传送组态文件。生成 ASCII 文件后，可用该文件组态 SCALANCE M 的VPN 相关属性。为此，SCALANCE M 必须位于至少一个 VPN 组且该组中存在另一安全模 块或 SOFTNET 安全客户端。说明 保护导出的组态文件免受未授权访问 从 STEP 7 导出的 SCALANCE M的组态文件可能包含安全相关的信息。应确保这些文 件免受未授权访问。这一点在传送文件时尤其重要。 请按以下步骤操作 1.选择“SCALANCE M”类型的模块。 2. 在本地安全设置中，选择条目“SCALANCE M 组态”(SCALANCE Mconfiguration)。 3. 选中“生成 SCALANCE M 文件”(Generate SCALANCE M files)复选框，选择组态文件的存 储位置。 4. 通过使用项目名称作为密码或分配您自己的密码来指定 VPN 组证书的加密密码。 5. 编译SCALANCE M 模块的组态。 结果：文件（.txt 文件和证书）存储在指定的文件夹中。 生成安全设备的组态数据 含义安全设备可用作其它制造商的设备的替代设备。 V1.0：设备只能作为 VPN 设备运行。 V1.1 或更高版本：可选择设备是作为 VPN设备还是作为 Internet 网关运行。作为 VPN 设备的安全设备 可以使用 STEP 7 生成对 VPN 设备进行参数分配的VPN 信息。为此，VPN 设备必须位于至少 一个存在安全模块的 VPN 组中。使用生成的文件，可对 VPN 设备进行组态。 说明保护导出的组态文件免受未经授权的访问 从 STEP 7 中导出的 VPN 设备的组态文件可能包含与安全相关的信息。应确保这些文件不会受到未经授权的访问。这一点在传送文件时尤其重要。 要将安全设备用作 VPN 设备，请执行以下操作： 1. 选择要编辑的安全设备。2. 在本地安全设置中选择“设置”(Settings) 条目。 3. V1.1：从下拉列表中选择“VPN 设备”(VPNdevice) 模式。V1.0 已预设“VPN 设备”(VPN device)。 4. 在本地安全设置中选择“VPN 设备”(VPNdevice) 条目。 5. 选中“生成 VPN 设备文件”(Generate files of the VPN device)复选框。 6. 从“VPN 模式”(VPN mode) 下拉列表中选择 VPN 设备模式。只有当 VPN 设备位于 VPN 组中时才能进行选择。 – VPN 客户端：VPN 设备可以采用以下角色： 发起端：VPN 设备主动尝试与伙伴建立 VPN 连接。 – VPN服务器：VPN 设备可以采用以下角色： 发起端/响应端：VPN 设备主动尝试与伙伴建立 VPN 连接。还可以接收建立 VPN连接的请求。在 VPN 连接属性中将该角色选为默认角色。 响应端：可以接收建立 VPN 连接的请求。 – 用于 Android（自版本2.1 起）的 NCP VPN 客户端安装有 Android 版 NCP 安全 VPN 客 户端软件的 VPN 设备主动尝试与伙伴建立VPN 连接。 – SOFNET Security Client V5：安装了 SSC 软件的 VPN 设备主动尝试与伙伴建立 VPN连 接。 – SINEMA RC 客户端：安装了 SINEMA RC 客户端软件的 VPN 设备主动尝试与伙伴建立 VPN 连接。7. 选择 VPN 组态文件的存储位置。 8. 使用项目名称作为密码或分配您自己的密码，以此指定 VPN 组证书的加密密码。如果已经将 VPN 设备组态为“VPN 客户端”(VPN client)： 1. 在“导出的证书和密钥”(Exportedcertificates and keys) 条目中指定相应的文件类型。 2. 在“可通过隧道访问的子网”(Subnetsreachable through tunnel) 条目中，输入将要启用隧道 通信的子网和/或 IP 地址。如果已经将 VPN设备组态为“VPN 服务器” (VPN server)： 1. 在“VPN 服务器地址 (WAN IP 地址)”(VPN serveraddress (WAN IP address)) 框中，输入 WAN IP 地址，VPN 连接的发起端可以通过该地址访问 VPN服务器。 2. 在“导出的证书和密钥”(Exported certificates and keys) 条目中指定相应的文件类型。3. 在“可通过隧道访问的子网”(Subnets reachable through tunnel) 条目中，输入将要启用隧道通信的子网和/或 IP 地址。 如果已经将 VPN 设备组态为“Android（自版本 V2.1 起）的 NCP VPN客户端”(CP VPN client for Android (as of version V2.1))： 1. 在“AndroidNCP VPN 客户端设置”(NCP VPN client for Android settings) 中，输入 NCP VPN 客户端上的存储路径。