在全局安全设置中分配证书通过以下方式导入伙伴证书:全局安全设置 > 证书管理器 > 受信任证书(Global > securitysettings > Certificate manager > Trusted certificates) >单击鼠标右键。将证书分配给 CP (选择证书 > 单击鼠标右键)。 1. 打开“受信证书和根认证机构”(Trustedcertificates and root certification authorities) 选项卡。 2. 选择所需证书。 3.在快捷菜单(点击鼠标右键)中选择“分配”(Assign)。 4. 在之后显示的对话框中,选择所需的模块。分配后,证书显示在模块的本地证书管理器中的“伙伴设备的证书”(Certificates of the partner devices)表中。 本地分配证书 要为 CP 使用导入的证书,需要在 CP 的“安全”(Security) 参数组中显示相应证书。该表还包括已在同一 STEP 7 项目中生成其证书的通信伙伴的证书。 请按以下步骤导入: 1. 在 STEP 7 项目中选择CP。 2. 导航到参数组“安全 > 证书管理器”(Certificate manager)。 3.在表中,双击具有条目“<新增>”的单元格。 将显示“全局安全设置”(Global security settings)的“证书管理器”(Certificate manager) 表。 4.在表中,选择所需的第三方证书并单击表下方的绿色复选标记采用该证书。 所选证书显示在 CP 的本地表中。为第三方供应商应用程序(如记录服务器)导出证书 为与第三方供应商的应用程序通信,第三方应用程序通常也需要 CP 的证书。采用与导入类似的方式,为来自第三方供应商的通信伙伴导出 CP 证书(见上文)。请按照 下面列出的步骤进行操作: 1. 在 STEP 7项目中打开全局证书管理器: 全局安全设置 > 证书管理器 2. 打开“设备证书”(Device certificates)选项卡。 3. 在表中选择具有所需证书的行,选择快捷菜单“导出”(Export)。 4. 将证书保存到所连工程师站 PC的文件系统中。 现在可以将导出的 CP 证书传送到第三方供应商的系统中。 记录服务器的证书如果在您的系统中使用了记录服务器,则导出服务器上用于 CP 验证的 SSL 证书。
各个 EAP 方法的设置。 根据选择的 EAP方法额外进行以下设置: EAP 方 法 身份 内部 EAP 方法 身份验证设置 验证设置 服务器列表 MD5 用户名 (1 到 256个 字符) - 密码(1 到 256 个字符) - - TLS 1 到 256 个 字符 也可留空, 取决于 RADIUS 服务器的组态。 - - CA 证书,必须分配 给 CP 使用私钥的客户端 证书,必须分配给 CP 一个或多个服务器的可 选输入,使用通配符*。服务器证书的标识 名称或 SAN 必须匹配才 能建立连接。 如果未输入任何内容, 则允许由证书颁发机构 签名的任何证书。PEAPv0 用户名 (1 到 256 个 字符) MD5 MSCHAPv2 PWD 密码(1 到 256 个字符) CA证书必须分配给 CP 客户端证书(可 选,取决于 RADIUS 服务器的组态); 如果这样,则使用 私钥。 一个或多个服务器的可选输入,使用通配符 *。服务器证书的标识 名称或 SAN 必须匹配才 能建立连接。 如果未输入任何内容, 则允许由证书颁发机构签名的任何证书。 TTLS 用户名 (1 到 256 个 字符) MD5 MSCHAPv2 PWD 密码(1 到 256 个字符) 或哈希值(密码的 MD4 哈 希;1 到 32 个字符)。 CA 证书必须分配给 CP 客户端证书(可 选,取决于 RADIUS服务器的组态); 如果这样,则使用 私钥。 一个或多个服务器的可 选输入,使用通配符 *。服务器证书的标识 名称或 SAN 必须匹配才能建立连接。 如果未输入任何内容, 则允许由证书颁发机构 签名的任何证书。CP 1545-1 证书 第三方证书 云提供商证书 要在S7 站与代理之间进行加密通信(通过 TLS 实现的 MQTT),需要云提供商的 CA 根证书, 还可能需要设备证书或私钥。对不同云提供商的要求不同。 请从云提供商处获取所需文件,或访问其 Internet 页面下载。 证书管理器 证书分配 如果使用需要CP 身份验证的通信,则需要将通信伙伴的证书导入 STEP 7 项目,并将其与组 态数据一起下载到 CP 中。 1.使用全局安全设置中的证书管理器导入所有通信伙伴的第三方证书。 2. 将其所有通信伙伴的证书分配给 CP,或: –使用全局安全设置中的“受信证书和根认证机构”(Trusted certificates and root certificationauthorities) 表 – 使用模块(安全性)的本地证书管理器中的“伙伴设备的证书”(Certificates of thepartner devices) 表 该表还包括已在同一 STEP 7 项目中生成其证书的通信伙伴的证书。有关操作步骤说明,请参见“处理证书 (页 679)”部分。
处理证书 验证证书 如果已为 CP组态了需要身份验证的安全通信,则需要自己与通信伙伴双方的证书才能进行 通信。 已启用安全功能的 STEP 7项目的所有节点均由证书提供。STEP 7 项目是认证机构。 说明 安全功能被禁用时无证书。 如果在 STEP 7项目中禁用了 CP 的安全功能,则不会为 CP 生成证书。 为请求证书的 CP 的每个应用程序创建证书。证书显示在 STEP 7的“全局安全设置 > 证书管 理器 > 设备证书”(Global security settings >Certificate manager > Device certificates) 中。除附加信息外,此处还提供相应证书的使用方法(服务/应用程序)。 可以通过在表中选择证书以及选择快捷菜单“显示”(Show)来调用有关证书的更多信息。 启用安全功能后,CP 就可以与非 Siemens 伙伴进行通信,通信过程中必须交换伙伴的相关 证书。要向CP 提供第三方证书,请按以下步骤操作: 1. 从通信伙伴导入第三方证书 ⇒ 项目的全局安全设置(证书管理器) 2. 分配证书,或:– 全局安全设置 > 证书管理器 > “受信证书和根认证机构”(Global security settings >Certificate manager > Trusted certificates and rootcertification authorities) – CP 的本地安全设置 > 证书管理器 >“伙伴设备的证书”(Local security settings of the CP > Certificatemanager > Certificates of the partner devices) 以下部分介绍了这些步骤。从通信伙伴导入第三方证书 使用 STEP 7 项目全局安全设置中的证书管理器导入第三方供应商的通信伙伴证书。请按照下面列出的步骤进行操作: 1. 将第三方证书保存到所连工程师站 PC 的文件系统中。 2. 在 STEP 7项目中打开全局证书管理器: 全局安全设置 > 证书管理器 3. 打开“受信证书和根认证机构”(Trustedcertificates and root certification authorities) 选项卡。 4.单击表中的行可选择快捷菜单“导入”(Import)。 5. 在打开的对话框中,将证书从工程师站的文件系统导入到 STEP 7项目中。法律声明 合格人员 本文档介绍的产品/系统只允许合格人员按产品/系统的预期用途来使用,并需考虑有关预期用途的文档说明,特别是相关文档包含的安全和警告事项说明。 合格人员由于受过培训和具备相关使用经验,能识别使用这些产品/系统时的潜在风险并规避可能的危险。ICMP 数据包类型 5 - Redirect 主机 A要向主机 C 发送 IP 帧。而主机 C 与主机 A 不在同一个子网内,主机 A 会将 IP 帧 发送至其默认网关。主机 A的默认网关是路由器 A 的接口 1。路由器 A 无法转发 IP 帧,因 为其不清楚目标网络。通过其路由表,路由器 A了解到可通过路由器 B 访问子网 C。 路由器 B 连接子网 A 和子网 C。路由器 A 将向主机 A 发送重定向消息。这样,路由器A 之 后便可指示主机 A 通过路由器 B(其 IP 地址包含在重定向消息中)将 IP 帧发送至主机 C。初 始 IP 帧由路由器 A直接发送到路由器 B,路由器 B 会将其转发至主机 C。重定向消息的发送条件 • IP 帧通过路由器 A 的同一接口接收和发送。 •源 IP 地址(主机 A)与路由表中下一跃点地址(路由器 B)的子网相同。 • IP 帧不受源 NAT 规则(地址伪装、源 NAT 或NETMAP)的影响。 • 路由器 A 将初始 IP 帧转发到路由器 B,需要防火墙规则 vlanX → vlanX。 VLAN与节点的空间位置无关的网络定义 VLAN (Virtuelles Local Area Network)将物理网络划分成若干个相互屏蔽的逻辑网络。此时, 设备组合在一起形成逻辑组。只有相同 VLAN 上的节点才能彼此寻址。因为仅在特定的VLAN 中转发组播和广播帧,它们也称为广播域。VLAN 的独特优势是可减少其它 VLAN 的节点和网段的网络负载。要确定哪个数据包属于哪个 VLAN,请将帧扩展 4 个字节,请参见 VLAN 标记(页689)。除了 VLANID,此扩展还包括优先级信息。