删除证书 (S7-1200) 简介可通过证书管理器删除可用的证书。 要求 该设备需支持证书管理器的安全功能。该规则适用于 S7-1200 CPU 固件版本 V4.3及以上版 本。 操作步骤 若要删除证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 >证书管理器”(Protection & Security > Certificate manager)。 2.右键单击待删除证书所在的行,打开快捷菜单。 3. 单击“删除证书”(Delete certificate)。 结果已在设备中删除所选证书。借助激活的全局安全证书管理器,可为项目保留证书,但不再用 于设备。 参见 CPU 特定的局部证书管理器(页 1232)结果 已为设备创建新证书。在 S7-1200 CPU 中,将自动输入“TLS”作为用途。在 TIAPortal 根证书 颁发机构通过激活的全局安全证书管理器颁发新的自签名证书时,或颁发自己创建的证书时, 会出现这种情况。 证书 ID证书管理器中的每个证书都会接收到一个 ID。此 ID 用于在下列情况下对证书进行标识: • OPC UA 服务器证书 • 受信 OPCUA 客户端的列表 • 受信 OPC UA 用户的列表 • Web 服务器证书 • 安全 OUC 指令 • 用于 PG/HMI间安全通信的 PLC 通信证书 证书 ID 由证书管理器在创建或导入证书时进行分配。对特定系统数据类型(例如,SDTTCON_IP_v4_Sec)唯一分配证书时,需要使用证书 ID。证书 ID 在项目中唯一,不能更改。 参见 CPU特定的局部证书管理器 (页 1232) 分配证书 (S7-1200) 简介 可以在巡视窗口中为 CPU 和 CP分配可用的证书。 要求 该设备需支持证书管理器的安全功能。该规则适用于 S7-1200 CPU 固件版本 V4.3 及以上版本。操作步骤 要为设备分配可用的证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 >证书管理器”(Protection & Security > Certificate manager)。 2.单击证书表中的“添加”(Add)。将在表中插入新行。 3. 单击新行。将打开新证书选项。 4. 选择可用的证书。如果只有 CPU特定的局部证书管理器激活,则无法查看全局可用的证书。 如果激活了全局安全证书管理器,则只能查看并选择全局可用的证书。 5.单击绿色复选标记,将所选证书输入到证书表中。 结果 所选证书已分配给设备。 参见 CPU 特定的局部证书管理器(页 1232) 导出证书 (S7-1200) 简介 可通过证书管理器导出可用的证书。 要求该设备需支持证书管理器的安全功能。该规则适用于 S7-1200 CPU 固件版本 V4.3 及以上版 本。 操作步骤若要导出证书,请按照以下步骤进行操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 > 证书管理器”(Protection& Security > Certificate manager)。 2. 右键单击待导出证书所在的行,打开快捷菜单。 3.单击“导出证书”(Export certificate)。 4. 采用以下可选文件格式之一导出证书:CER、DER。私钥无法导出,因为私钥已进行非对称加密,无法恢复。
Web 服务器的证书(S7-1200) 简介 可以在巡视窗口的“Web 服务器 > 服务器安全”(Web server > Serversecurity) 下为 Web 服务 器创建或分配服务器证书。 局部 Web 服务器证书 如果在局部创建 Web服务器证书而不使用证书管理器的全局安全设置,则存在以下限制: • 该证书仅适用于组态的 CPU,而非整个项目。 •只能创建自签名证书。自签名证书未嵌入“Public Key Infrastructure”(PKI) 中,无法对其它 证书进行签名。• 证书的私钥无法导出。 • 只能在证书管理器的全局安全设置中导入和更新证书。 Web 服务器证书的默认设置 创建新证书时,会在Web 服务器的相应对话框中输入以下值作为默认值: • 证书持有者:/Web 服务器。由于字符集限制,需遵循 ASN.1 相关规范。 • 签名类型:sha256RSA 或 sha1RSA,具体取决于所使用的安全策略。 •有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 • 用途:Web 服务器。填写适合 Web 服务器的X.509 V3 标准证书的扩展项“KeyUsage”和 “ExtendedKeyUsage”。 • 证书持有者的备用名称(SAN):所用的 CPU 和 CP 接口的 IP 地址。 可使用您自己的值覆盖默认值。 注意 带预留 IP 地址的 SAN如果证书持有者的备用名称包含一个或多个预留的 IP 地址,则证书将不能满足指南“Baseline RequirementsCertificate Policy for the Issuance and Management ofPublicly-Trusted Certificates”要求。这会导致与您自己的 Web 浏览器不兼容。为满足上述指南要求,应使用域名代替证书持有者备用名称中的 IP 地址。这要求网络中包 含 DNS 服务器,用于解析设备的 IP地址。OPC UA 服务器的证书 (S7-1200) 简介 可以在巡视窗口的“OPC UA > 服务器 > 安全”(OPCUA > Server > Security) 下为 OPC UA 创建 或分配服务器证书。 OPC UA的局部服务器证书 如果在局部为 OPC UA 创建服务器证书而不使用证书管理器的全局安全设置,则存在以下限 制: •该证书仅适用于组态的 CPU,而非整个项目。 • 只能创建自签名证书。自签名证书未嵌入“Public KeyInfrastructure”(PKI) 中,无法对其它 证书进行签名。 • 证书的私钥无法导出。 •只能在证书管理器的全局安全设置中导入和更新证书。 服务器证书的默认设置 创建新证书时,会在 OPC UA的相应对话框中输入以下值作为默认值: • 证书持有者:/OPCUA。字符集受限,可满足 ASN.1 的相关规范要求。 •签名类型:sha256RSA 或 sha1RSA,具体取决于所使用的安全策略。 •有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 • 用途:OPC UA。填写适合 OPC UA 的X.509 V3 标准证书的扩展项“KeyUsage”和 “ExtendedKeyUsage”。 • 证书持有者的备用名称(SAN):所用接口的 IP 地址以及 OPC UA 服务器的 URI。 可使用您自己的值覆盖默认值。 激活和取消激活SNMP (S7-1200) 多种服务和工具采用网络管理协议 SNMP (Simple Network ManagementProtocol) 对网络拓 扑进行监视和诊断。在 SNMP 中,采用传输协议 UDP。SNMP 包含两个角色:SNMP 管理器(客户端)和 SNMP 代理(服务器)。 • SNMP 管理器用于对网络节点进行监视: • SNMP代理将收集各网络节点中的各种网络特定信息,并以结构化形式存储在 MIB (Management Information Base)中。多种服务和工具(作为 SNMP 管理器)以这些数据 为基础执行详细的网络诊断。 SNMP 还适用于 PROFINET IO系统,用于管理网络基础设施以及 IO 控制器和 IO 设备。 说明 如果取消激活设备的 SNMP功能,则无法使用各种网络拓扑诊断选项(例如,使用 PRONETA 工具)。 示例:对于在线-离线拓扑比较,TIA Portal确定实际连接的端口并将 SNMP 用于此功能。 默认设置取决于固件版本 S7-1200 和 S7-1500 CPU 已集成 SNMP代理。SNMP 采用不同的默认设置(SNMP 激活或取 消激活),与具体的固件版本有关。 对于以下固件版本的 CPU,SNMP代理默认情况下已激活,并且可以通过用户程序中的数据 记录取消激活: • CPU S7-1200 V4.1 到 V4.5 • CPUS7-1500 V1.8 到 V2.9 在某些特定条件下,可能需要取消激活 SNMP。示例: • 网络中的安全规则不允许使用SNMP。 • 用户可使用自己的通信指令,定制相应的 SNMP 解决方案。当前默认设置 对于以下固件版本的 CPU,SNMP代理默认情况下已取消激活,并且可以通过用户程序中的 数据记录激活: • CPU S7-1200 V4.6 及更高版本 • CPUS7-1500 V3.0 及更高版本 如果未加载任何组态或未插入任何存储卡,将默认设置“已禁用”生效 (S7-1500)。 说明更换部件方案 出于兼容性原因,固件版本为 V3.0 及以上版本的 S7-1500 CPU,如果下载了低版本项目 (CPU 固件< V3.0),其行为与低版本项目中的 CPU 类似: SNMP 被激活并且“public”和“private”社区字符串生效。组态 SNMP (S7-1200) 自 CPU 固件版本 4.6 以及 TIA Portal V18 起,可以在 CPU属性中更改以下 SNMP 设置: • 激活 SNMP(默认设置:已取消激活) 相关设置,请参见 CPU 属性的“gaoji组态> SNMP”(Advanced configuration > SNMP) 区域。 组态 SNMP (S7-1500)自 CPU 固件版本 V3.0 以及 TIA Portal V18 起,可以在 CPU 属性中更改以下 SNMP 设置: • 激活SNMP(默认设置:已取消激活) • 只读团体字符串(默认值:“public”) • 读写团体字符串(默认值:“private”)相关设置,请参见“gaoji组态 > SNMP”(Advanced configuration > SNMP) 区域。团体字符串的含义和属性 SNMP 团体字符串(也称为团体名称)类似于用户 ID 或密码,用于访问设备(例如路由器) 的信息/统计信息。为了提高访问的安全性,请更改 CPU 属性中的默认团体字符串。SNMP 管理器在收到 SNMP代理发出的验证请求时通过传输团体字符串来验证自己的身份。