Web诊断选项(可用性取决于 CP 类型) • “显示拓扑”(Display topology) 选项 该选项允许显示 Web 服务器中CP 的已联网 PROFINET IO 接口的拓扑信息。 采集和存储拓扑信息将占用 CP上额外的存储空间。由于复杂项目组态对存储资源的要求 较高,因此建议仅在执行维护时临时激活该选项。 • “通过 Web下载固件”(Download firmware via Web) 选项 通过启用此选项,可在 Web 服务器上启用从下载中心下载 CP固件的功能。 若禁用安全功能,则此选项不受用户管理限制。因此建议仅在需要时启用此选项。 • “通过 Web重新加载诊断显示的语言文件”(Reload of language files for the diagnosticsdisplays via Web) 选项 CP 的诊断显示会以明文显示在 Web 诊断缓冲区中。这些是语言特定的显示。如果启用此选项,则会在 Web 服务器中启用从下载中心重新加载缺少的语言文件的功能。 自动更新/“更新间隔”如果选择“启用”(Enable) 选项,则 CP 会在选定的时间间隔更新所显示的 Web 页面。 更新间隔的值范围为 1 到 999s 模块上的 Web 诊断 要求: 在编程设备与 SIMATIC S7 站之间建立物理连接,并设置 PG/PC接口,从而可访问模块。“设 置 PG/PC 接口”(Set PG/PC Interface) 对话框中包含更多帮助信息。 “启动Web 诊断” 单击“Web 诊断”(Web diagnostics) 按钮可在 Web 浏览器中显示模块诊断的结果。显示内容由模块的集成 HTTP 服务器提供。 诊断在 Web 浏览器中的“属性 > 常规 > Web 诊断”(Properties> General > Web diagnostics) 参数组中启动。 • “访问方式”(Access via) 选项从“访问方式”(Access via) 列表中选择通过其寻址 CP 的接口。 – 可以从下拉列表中选择可用接口。 – 还可输入 IP地址。
已启用安全功能(若可用)若启用“仅允许通过 HTTPS 访问”(Allow access only using HTTPS) 选项,请注意以下说明: •数据以加密形式传送。 • 必须为用户激活“访问 Web 诊断”权限。 • 若已激活防火墙,则必须允许使用 HTTP/HTTPS 协议。SNMP “激活 SNMP”选项 如果选择了“激活 SNMP”选项,那么会启用 SNMP 通信,允许读写模块。 只能根据 SNMPv1或 SNMPv3 规范选择与支持 Security 功能的模块进行通信: • SNMPv1 在模块上启用 SNMPv1 代理。对于支持 Security 功能的模块,可以修改用于 SNMPv1 读 写访问的社区字符串。 • SNMPv3 在模块上启用SNMPv3 代理。 对 STEP 7 用户,还可使用其它加密、身份验证和权限分配 等组态选项。OPC UA 安全 (CP)安全配置文件和证书验证 OPC UA 应用程序的安全配置文件 根据 CP 类型,CP 的 OPC UA 应用程序支持 OPC UA规范的以下安全配置文件: • SecurityPolicy – SecurityPolicy ‑ None –SecurityPolicy ‑ Basic128Rsa15 签名和 128 位加密 – SecurityPolicy ‑Basic256 签名和 256 位加密 – SecurityPolicy [A] ‑ Aes128-Sha256-RsaOaep签名和基于 RSA-OAEP 的 256 位加密 – SecurityPolicy [B] ‑ Basic256Sha256 签名和256 位加密 (SHA‑256) – SecurityPolicy ‑ Aes256-Sha256-RsaPss PSS 签名和基于RSA-OAEP 的 256 位加密 补充 Conformance Units (Signing / Encryption) 表示:– 签名 CP 仅允许与带符号帧进行通信。 – 签名和加密 CP 仅允许与带符号加密的帧进行通信。证书验证在该参数组中,您可以为服务器或客户端应用程序设置检查通信伙伴证书的选项。 • 检查证书 CP通常会检查通信伙伴的证书,但选择“SecurityPolicy ‑ None”的情况除外。伙伴证书无效或不可信时,通信将终止。 如果启用该选项,则还会激活如下两个用于限制和检查历程的选项。 • 无严格证书验证如果启用该选项,则 CP 在以下情况也允许通信: – 通信伙伴的 IP 地址与其证书中的 IP 地址不同。 – 证书(OPC UA客户端/服务器)中存储的用途与通信伙伴的功能(OPC UA 服务器/客 户端)不同。 – CP 上的当前时间超出了伙伴证书的有效期。无论这些例外情况如何,建立连接时至少必须满足以下要求: – 请求客户端发送的应用程序 URI 必须与 CP 的服务器应用程序 URI相匹配。 – 如果伙伴证书不可信,CP 必须至少存储一个伙伴的自签署证书。 – 如果伙伴证书由多个 CA 颁发,则所有 CA都必须保存到 CP 的证书存储库中。 • 不检查有效期 如果启用该选项,CP 会检查通信伙伴的证书。CP 在以下情况也允许通信: –CP 上的当前时间超出了伙伴证书的有效期。 如果以上选项都未启用,则不检查证书。特别是在与第三方应用程序建立通信时,需要注意导入证书时证书管理中的信息。 CP 443-1 OPC UA客户端应用程序的特性 如果使用 CP 的客户端功能,请注意以下几点: 您在连接信息 (UASessionConnectInfo)中为客户端程序块“UA_Connect”的参数“CheckServerCertificate”编程的值将被“证书验证”(Certificate validation)参数组中组态的设 置覆盖。如果客户端要检查通信伙伴(服务器)证书,可以忽略 UDT 中的参数“UASessionConnectInfo”。对于证书检查,仅“证书验证”(Certificate validation) 参数组中组态的值相关。CP 1545-1 CloudConnect CP 组态 云通信 云连接的协议 CP 支持以下与云 broker或云服务器通信的协议: • MQTT 根据 OASIS 标准版 3.1.1 支持的云系统 CP 可连接到支持具有 broker 功能与MQTT 协议的云系统。 云访问的组态(“云提供商”)适用于与以下云系统和服务的通信: • Siemens MindSphere ‑MindConnect IoT Extension CP 为发布方。 • 其它云 其它云系统的配置文件,例如: – AWS(Amazon) ‑ IoT Core – Azure (Microsoft) ‑ IoT Hub – IBM Cloud (IBM)‑ Watson IoT Platform CP 可以为发布者和订阅者。通信伙伴 • Publisher 发布方将数据发布给云代理。以下设备可与作为订阅者的 CP 一起(仅当通过“其他云”进行通信时)充当发布方: – CP 1545‑1 – 第三方设备第三方设备,其消息的组态和有效载荷格式与 CP 兼容。 • Subscriber 订阅者登录云代理并订阅发布方的数据。以下设备可与作为发布方的 CP 一起充当订阅者: – CP 1545‑1 (仅用于通过“其它云”进行的通信) – 第三方设备第三方设备,其消息的组态和有效载荷格式与 CP 兼容。 有关 CP 与第三方设备的兼容性,请参见: • 组态:概述和规则(页 4071) • 发布者和订阅者 (页 4086) • 有效载荷组态 (页 4095) 安全通信证书‑ 如果要使用安全的云通信,请在“安全性 > CloudConnect > 代理组态”(Security >CloudConnect > Broker configuration) 下选择“基于 TLS 的 MQTT”(MQTTover TLS) 选项。 在此参数组中,可以指定要使用的代理证书(之前已在全局安全设置中导入并分配给 CP 的 证书)。如果通过云与 CP 通信的伙伴 (Publisher / Subscriber) 需要使用证书进行安全通信,则在 CP上使用“客户端证书”(Client certificate) 下拉列表中的伙伴证书。有关组态的信息,请参见““CloudConnect”参数组 (页 4073)”。组态:概述和规则 云访问的组态 1.要允许云应用程序访问过程映像,请在本地 CPU 中创建所需的数据块和 DB 变量。 主题/组的组态数据点可访问 CPU 的 DB变量,请参见“操作数区域和变量 (页 4077)”部分。 2. 首先,在巡视窗口的“安全 >云访问”(Security > Cloud access) 下组态 CP 的参数组。为此,请在全局安全设置中创建至少一个角色为“NET Administrator”的用户。 3. 展开项目树: 站 >本地模块 > 云连接 >“发布的主题”/“订阅的主题”或“发布的组” (Station > Localmodules > CP 1545-1 > Cloud connection > "Published topics" / "Subscribedtopics" or "Published groups") –单击“添加主题”(Add Topic) 或“添加组”(Add Group)。 “主题编辑器”(Topic editor)随即打开,并会创建一个新的主题或组。 – 将数据点插入主题或组并进行组态。有关主题名称、数据点名称和数据类型的说明,请参见下文“组态规则和建议”一节。 – 打开“有效载荷编辑器”(Payloadeditor),然后定义要发布的有效载荷的格式。 有关组态的信息,请参见“组态主题或组 (页 4078)”。 4.选择主题/组,然后通过“属性”(Properties) 快捷菜单命令或在打开的主题编辑器中通过“属 性”(Properties)按钮打开属性对话框。 – 组态名称、“作者”和“注释”(后两项为可选项)。 有关主题名称的信息,请参见以下部分。 –如果需要,为组或主题组态时间触发器。 – 组态“Quality of Service (QoS)”。 –有关组态的信息,请参见“Quality of Service (QoS) (页 4105)”。