通过显示屏禁用对 CPU 的在线访问 (S7-1500) 可以在 S7-1500 CPU的显示屏上阻止对受密码保护的 CPU 进行访问(本地阻止)。 只有在操作模式切换被设置为 RUN 时才能阻止访问。无论密码保护如何,都能阻止访问。 这也就是说,通过连接的编程设备访问 CPU,并 且输入了正确的密码,也无法访问 CPU。可以分别为显示屏上的每个保护等级设置访问阻止,这样就可以在本地允许读取访问,不允许写入访问。 可以在 CPU的属性中为显示屏组态密码,这样本地访问保护就可由本地密码进行保 护。 步骤 按照以下操作在显示屏上设置 S7-1500 CPU的本地访问保护: 1. 选择显示屏上的“设置 > 保护”(Settings > Protection) 菜单。 2.通过“确定”(OK) 确认,并为每个保护等级设置是否允许在 RUN 模式中访问: 允许: 可以通过密码访问 CPU。 在 RUN模式中阻止: 如果操作模式切换被设置为 RUN,那么获得相关密码,也不可使 用此保护等级权限登录 CPU。 在 STOP模式中,可以使用密码输入进行访问。
证书管理器(S7-1500) 应了解的证书管理器知识 (S7-1500) 简介数字证书对于在两个设备之间进行安全的数据传输至关重要。使用数字证书时,客户端还必须检查并信任服务器的证书。根据使用的安全通信类型,服务器可能需要检查并信任客户端的证书:只有在服务器接受客户端的数字证书,将其归类为可信证书并信任该证书时,客户 端才能与服务器建立安全连接。 固件版本为 V2.0或更高版本的 S7-1500 CPU 支持使用证书。 设备特定的以及项目级证书管理器 通过 CPU特定的本地证书管理器,可为相应的设备生成和管理证书。这些证书可由 以下对象使用: • 设备的 OPC UA 服务器 •设备的 Web 服务器 • 需要使用证书并且通过证书 ID 进行引用的所有其它系统功能。在 TIA Portal V14 中,Secure OUC 和 TMAIL 也采用 PG/HMI 间安全通信(TIA Portal V17 及以上版本)。 说明证书管理器中的每个证书都会接收到一个 ID,以用于在特定 SDT 中进行唯一性引用。证 书 ID由证书管理器在创建或导入证书时进行分配。证书 ID 在项目中唯一,不能更改。 CPU特定的本地证书管理器中的证书仅适用于该设备。如果要在项目范围内使用证书,则需 要激活设备中的全局安全证书管理器。在全局安全证书管理器中,可利用其它功能来管理证书: • 导入新证书和证书颁发机构。 • 导出项目中使用的证书和证书颁发机构。 •更新过期的证书和证书颁发机构。 • 替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。 •手动删除导入的证书。只有在项目中针对至少一个设备激活激活全局安全设置后,全局安全设置才可见。为此,在 CPU特定的本地证书管理器中,提供了“使用证书管理器的全局安全设置”(Use global security settings forcertificate manager) 复选框:该复选框位于巡视窗口中带安全功能的设 备常规设置的“保护和安全 >证书管理器”(Protection & Security > Certificate manager) 下。根据该设置,可决定仅使用功能受限的 CPU 特定的本地证书管理器,或使用全局安全证书 管理器。 注意 证书和密钥丢失激活项目的全局安全证书管理器后,CPU 特定的本地证书管理器的内容会丢失: • 私钥无法恢复。 •如果要继续在全局安全证书管理器中使用证书,请导出证书。 • 更新组态或程序,因为证书的 ID 可能会发生更改。激活全局安全证书管理器后,CPU 特定的本地证书管理器将用作 CPU 特定的全局证书的临 时存储器。在 CPU特定的本地证书管理器中创建新证书时,该证书将包含在全局安全证书 管理器中。还可以在全局安全证书管理器中选择证书用作 CPU的证书。CPU 特定的局部证书管理器 (S7-1500) 简介 使用 CPU 特定的本地证书管理器时,可针对不同的服务直接使用 OPCUA 服务器和 Web 服 务器的证书,而无须访问全局安全证书管理器。 本地证书管理器的功能 与全局证书管理器相比,CPU特定的本地证书管理器的功能仍然受限。通过本地证书管理器, 只能创建、分配、导出或删除自签名证书。CPU特定的本地证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理 器”(Protection & Security> Certificate manager) 下。 • 用于激活全局证书管理器的选项 •设备证书表:显示和管理所用的证书。例如,安全 OUC(TLS 服务器/TLS 客户端)将显 示该设备的 Web 服务器和 OPC UA服务器的证书。 • 伙伴设备的证书表:显示已分配为受信用户或客户端的证书。 设备证书设备证书对于设备及其相关组件有效。例如,此处显示的证书还是为 Web 服务器或为 OPC UA 创建的证书。同样,可以在此处创建带有Web 服务器或 OPC UA 的设置的证书,但必须在 相应的位置使用此类证书。创建新证书时,会在设备的相应对话框中输入以下值作为默认值: • 用途和密钥用法:例如,TLS 客户端/服务器。填写适合相应服务的X.509 V3 标准证书的 扩展项“KeyUsage”和“ExtendedKeyUsage”。 • 证书颁发机构:对于本地 CPU特定的证书管理,只能使用自签名证书。 • 证书参数: – 证书持有者:例如,/TLS。字符集受限,可满足 ASN.1 的相关规范要求。 – 加密过程:例如,EC(椭圆曲线)、RSA。请注意,所选加密过程 EC 在输入时未针对 特定设备进行验证。 –加密参数:取决于加密过程。 – 哈希算法:用于对证书进行签名的算法。 –有效期:根据系统时间,在有效期的两个字段中,输入有效期的开始和结束时间。 – 证书持有者的备用名称 (SAN):所用接口的 IP地址或 DNS 名称。 可使用其它值覆盖默认值。 伙伴设备的证书对于伙伴设备的证书,可选择本地证书管理器的设备证书。无须相应的私钥即可使用设备证 书。还可以选择其它 CPU 或 CP的证书,从而在项目中实现安全通信。其它 CPU 或 CP 的证书无须使用私钥即可加载至该 CPU中。对于可通过全局证书管理器获取的证书链,属于 CPU 或 CP 的证书链仍未中断,相应的证书颁发机构和中间证书仍会分配给 CPU 或CP。 删除伙伴设备证书表中的证书时,只会删除证书与全局证书管理器的链接。该证书对设备不再可用,但仍保存在全局证书管理器中。需要时,如果从全局证书管理器中将该证书创建证书 (S7-1500) 简介可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时,相关证书仅适 用于此设备。独占式使用 CPU特定的本地证书管理器时,仅创建自签名证书。 还可以使用 Web 服务器或 OPC UA 的 CPU 设置直接创建新证书。 在CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 及以上版本 (S7-1200) 中,PLC 通信证书由系统预先选择并自动生成。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 V2.0 或更高版本的 S7-1500CPU。 在 CPU 固件版本 V2.9 及以上版本 (S7-1500) 或 V4.5 (S7-1200) 及以上版本中,保护机密组态数据的密码设置必须一致。 操作步骤 要创建新证书,请按以下步骤操作: 1. 在巡视窗口中,转至设备属性的“保护和安全 >证书管理器”(Protection & Security > Certificate manager)。 2.单击证书表中的“添加”(Add)。将在表中插入新行。3. 单击新行。将打开新证书选项。 4. 单击“添加”(Add)按钮。相应对话框窗口随即打开,在此输入新证书的数据。 5. 显示如何对新证书进行签名: – 自签名:如果证书必须是自签名证书。 –由证书颁发机构 (CA) 进行签名:从下拉列表中选择证书颁发机构。仅适用于激活了 证书管理器的全局安全设置的情况。 6.输入证书的参数。 7. 如果单击“确定”(OK),则会创建新证书并输入到表格中。 说明 自签名证书使用自签名证书时,已对传输路径进行加密,但消息的接收方尚未确认所谓的发送方是否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送方。此时,可以为设备创建自签发证书,但仍需等待证书颁发机构对证书进行签名。通过项目树中的全局安全证书管理器,您可以在接收到证书颁发机构 (CA) 的“官方”证书后通过指定证书颁发机构的方式,更换临时使用的自签名证书或更新该证书。当然,也可将自签名 证书保留在项目中,并不使用“官方的”CA 证书。结果 已为设备创建新证书。在上述过程中,自动输入“TLS”,作为用途。否则,如果在 Web 服务 器的 CPU设置中使用“安全”区域,则会输入开始创建证书时使用的服务,例如“Web 服务 器”。 证书 ID 证书管理器中的每个证书都会接收到一个ID。此 ID 用于在下列情况下对证书进行标识: • OPC UA 服务器证书 • 受信 OPC UA 客户端的列表 • 受信 OPCUA 用户的列表 • Web 服务器证书 • 安全 OUC 指令 • 用于 PG/HMI 间安全通信的 PLC 通信证书 如果在TIA Portal 中创建或导入证书,则证书 ID 由证书管理器分配。对特定系统数据类型(例 如,SDTTCON_IP_v4_Sec)唯一分配证书时,需要使用证书 ID。证书 ID 在项目中唯一,不 能更改。