證書管理示例

時間：2021-07-23作者：上海騰希電氣技術(shù)有限公司瀏覽：141

證書管理示例



如前文所述，每種類型的安全通信都需要使用證書。在以下章節(jié)中，舉例說明如何使用 STEP 7 進行證書管理，從而滿足開放式用戶安全通信的要求。

在下文中，就哪些設(shè)備是參與通信的伙伴進行了區(qū)分。為通信參與者提供所需證書的相應(yīng)步驟分別進行了介紹。需要固件版本為 2.0 或較高版本的 S7-1500 CPU 或者 S7-1500 軟件控制器。

通常，以下情況適用：

建立安全連接（“握手”）時，通信伙伴通常只會傳送其較終實體證書（設(shè)備證書）。

因此，驗證已傳送設(shè)備證書所需的 CA 證書必須位于相應(yīng)通信伙伴的證書存儲器中。

提示 在 CPU 中，必須設(shè)置當前的日期/時間。 使用安全通信（如，HTTPS、安全 OUC、OPC UA）時，需確保相應(yīng)模塊為當前時間和當前日期。否則，模塊將所用的證書評估為無效，同時不進行安全通信。




兩個 S7-1500 CPU 之間安全的開放式用戶通信

兩個 S7-1500 CPU PLC_1 和 PLC_2 應(yīng)通過安全的開放式用戶通信交換數(shù)據(jù)。

使用 STEP 7 生成所需的設(shè)備證書，然后將其分配給 CPU，如下所述。

STEP 7 項目證書頒發(fā)機構(gòu)（項目的 CA）用于對設(shè)備證書進行簽名。

在用戶程序中根據(jù)證書 ID 對證書進行引用（TCON 通信指令組合相關(guān)的系統(tǒng)數(shù)據(jù)類型，例如 TCON_IPV4_SEC）。STEP 7 在生成或創(chuàng)建證書時會自動分配證書 ID。

操作步驟

STEP 7 自動將所需的 CA 證書連同硬件配置下載到參與通信的 CPU 中，使兩個 CPU 均存在證書驗證要求。因此，您只需為相應(yīng)的 CPU 生成設(shè)備證書即可，其余工作由 STEP 7 完成。

選擇 PLC_1，并激活“保護和安全”(Protection & Security) 區(qū)域中的“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager) 選項。

以用戶身份登錄項目樹的“全局安全設(shè)置”(Global security settings) 區(qū)。對于新項目，**登錄時默認采用“管理員”身份。

返回到“保護與安全”(Protection & Security) 部分中的 PLC 1 中。在“設(shè)備證書”(Device certificates) 表格中，單擊“證書持有者”(Certificate holder) 列的一個空行，添加新的證書。

單擊下拉列表中的“添加”(Add) 按鈕，選擇證書。

“生成新證書”(Generate new certificate) 對話框隨即打開。

保留該對話框中的默認設(shè)置。這些設(shè)置**于開放式用戶安全通信（用途：TLS）。

提示信息：擴展證書持有者的預(yù)設(shè)名稱（在這種情況下，為 CPU 名稱）。為了較好地進行區(qū)分，需要管理大量設(shè)備證書時，建議保留默認的 CPU 名稱。

示例：PLC_1/TLS 變?yōu)?PLC_1-SecOUC-Chassis17FactoryState。

編譯組態(tài)。

設(shè)備證書和 CA 證書是組態(tài)的一部分。

為 PLC_2 重復上述步驟。

在接下來的步驟中，需要創(chuàng)建用戶程序以進行數(shù)據(jù)交換，并下載組態(tài)以及相應(yīng)的程序。

使用自簽名證書而非 CA 證書

創(chuàng)建設(shè)備證書時，可選擇“自簽名”(Self-signed) 選項。*登錄全局安全設(shè)置即可創(chuàng)建自簽名證書。不建議執(zhí)行該過程，因為通過這種方法創(chuàng)建的證書不會存在于全局證書存儲器中，因此不會直接分配給伙伴 CPU。

如前文所述，應(yīng)謹慎選擇證書持有者的名稱，這樣才會毫無疑問地為設(shè)備分配合適的證書。

無法通過 STEP 7 項目的 CA 證書驗證自簽名的證書。要確保自簽名證書可通過驗證，需要將通信伙伴的自簽名證書加入每個 CPU 的可信伙伴設(shè)備列表中。為此，必須已激活選項“使用證書管理器的全局安全設(shè)置”(Use global security settings for certificate manager)，并以用戶身份登錄全局安全設(shè)置。

要將通信伙伴的自簽名證書添加到 CPU 中，請按以下步驟操作：

選擇 PLC_1，并導航至“保護和安全”(Protection & Security) 區(qū)域的“伙伴設(shè)備證書”(Certificates of partner devices) 表。

單擊“證書持有者”(Certificate holder) 列的空行，打開下拉列表，以便添加或選擇證書。

從下拉列表中選擇通信伙伴的自簽名證書，并確認選擇。

在接下來的步驟中，需要創(chuàng)建用戶程序以進行數(shù)據(jù)交換，并下載組態(tài)以及相應(yīng)的程序。

S7-1500 CPU（作為 TLS 客戶端）與外部設(shè)備（作為 TLS 服務(wù)器）之間安全的開放式用戶通信

例如，兩個設(shè)備將通過 TLS 連接或 TLS 會話交換數(shù)據(jù)，從而交換配方、生產(chǎn)數(shù)據(jù)或質(zhì)量數(shù)據(jù)：

S7-1500 CPU (PLC_1) 作為 TLS 客戶端；CPU 采用安全的開放式用戶通信

外部設(shè)備（例如，制造執(zhí)行系統(tǒng) (MES)）作為 TLS 服務(wù)器

作為 TLS 客戶端，S7-1500 CPU 建立與 MES 系統(tǒng)的 TLS 連接/會話。

①	TLS 客戶端
②	TLS 服務(wù)器




為驗證 TLS 服務(wù)器，S7-1500 CPU 需要 MES 系統(tǒng)的 CA 證書：根證書以及中間證書（如果適用，用于驗證證書路徑）。

需要將這些證書導入 S7-1500 CPU 的全局證書存儲器中。

要導入通信伙伴的證書，請按照以下步驟進行操作：

打開項目樹中全局安全設(shè)置下的證書管理器。

為要導入的證書選擇匹配表（根證書頒發(fā)機構(gòu)的受信證書）。

右鍵單擊該表，打開快捷菜單。單擊“導入”(Import)，導入所需證書或所需 CA 證書。

通過導入過程，相關(guān)證書會收到證書 ID，并會在下一步中被分配給模塊。

選擇 PLC_1，并導航至“保護和安全”(Protection & Security) 區(qū)域的“伙伴設(shè)備證書”(Certificates of partner devices) 表。

單擊“證書持有者”(Certificate holder) 列的空行，以添加導入的證書。

從下拉列表中選擇通信伙伴的所需 CA 證書，并確認選擇。

此外，MES 系統(tǒng)還會要求提供 CPU 的設(shè)備證書來驗證 CPU（即，TLS 客戶端）。在這種情況下，CPU 的 CA 證書必須對 MES 系統(tǒng)可用。將證書導入 MES 系統(tǒng)的前提條件是，先從 CPU 的 STEP 7 項目中導出 CA 證書。請按以下步驟操作：

打開項目樹中全局安全設(shè)置下的證書管理器。

為要導出的證書選擇匹配表（CA 證書）。

單擊右鍵，打開所選證書的快捷菜單。

單擊“導出”(Export)。

選擇證書的導出格式。

在接下來的步驟中，需要創(chuàng)建用戶程序以進行數(shù)據(jù)交換，并下載組態(tài)以及相應(yīng)的程序。

S7-1500 CPU（作為 TLS 服務(wù)器）和外部設(shè)備（作為 TLS 客戶端）之間安全的開放式用戶通信

如果 S7-1500 CPU 用作 TLS 服務(wù)器，并且外部設(shè)備（例如，ERP 系統(tǒng)（企業(yè)資源規(guī)劃系統(tǒng)））建立 TLS 連接/會話，則您需要以*書：

對于 S7-1500 CPU，使用私鑰生成設(shè)備證書（服務(wù)器證書），并將其與硬件配置一同下載。生成服務(wù)器證書時，可使用選項“由證書頒發(fā)機構(gòu)簽名”(Signed by certificate authority)。

密鑰交換需要使用私鑰，如示例“基于 TLS 的 HTTP”的圖所示。

對于 ERP 系統(tǒng)，需要導出 STEP 7 項目的 CA 證書，并將其導入/下載至 ERP 系統(tǒng)?；?CA 證書，ERP 系統(tǒng)將在建立 TLS 連接/會話過程中檢查從 CPU 傳送到 ERP 系統(tǒng)的 S7-1500 服務(wù)器證書。

①	TLS 服務(wù)器
②	TLS 客戶端







前文對所需操作進行了介紹。

通過 S7-1543-1 CP（作為電子郵件客戶端）實現(xiàn)的安全的開放式用戶通信（基于 TLS 的 SMTP）

S7-1500 CPU 可使用通信指令 TMAIL-C 通過 CP 1543-1 與電子郵件服務(wù)器建立安全連接。

借助系統(tǒng)數(shù)據(jù)類型 TMail_V4_SEC、TMail_V6_SEC 和 TMail_QDN_SEC，可以*電子郵件服務(wù)器的伙伴端口，進而通過“基于 TLS 的 SMTP”訪問電子郵件服務(wù)器。

實現(xiàn)安全的電子郵件連接的前提條件是，將根證書和中間證書從電子郵件服務(wù)器（提供方）導入至 STEP 7 項目的全局證書存儲器。將這些證書分配至 CP 后，CP 會檢查由電子郵件服務(wù)器在通過該證書建立 TLS 連接/會話時發(fā)送的電子郵件服務(wù)器的服務(wù)器證書。

請按以下步驟操作：

打開項目樹中全局安全設(shè)置下的證書管理器。

為要導入的證書選擇匹配表（根證書頒發(fā)機構(gòu)的受信證書）。

右鍵單擊該表，打開快捷菜單。單擊“導入”(Import)，導入所需證書或所需 CA 證書。

通過導入過程，相關(guān)證書會收到證書 ID，并會在下一步中被分配到 CP。

選擇 CP 1543-1，并導航至“安全”(Security) 部分中的“伙伴設(shè)備證書”(Certificates of partner devices) 表。

單擊“證書持有者”(Certificate holder) 列的空行，以添加導入的證書。

從下拉列表中選擇電子郵件服務(wù)器所需的 CA 證書，并確認選擇。

在接下來的步驟中，需要創(chuàng)建用戶程序以實現(xiàn) CPU 的電子郵件客戶端功能，并下載組態(tài)以及相應(yīng)的程序。

同樣請參見

 兩個 S7-1500 CPU 之間的安全 OUC

 S7-1500 CPU（作為 TLS 客戶端）和外部 PLC（作為 TLS 服務(wù)器）之間的安全 OUC

 S7-1500 CPU（作為 TLS 服務(wù)器）和外部 PLC（作為 TLS 客戶端）之間的安全 OUC

 通過電子郵件實現(xiàn)的安全 OUC

 通過 CP 接口進行安全 OUC 連接


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 點對點RS232 模式

  RS232 模式以下通信模塊支持 RS232 模式：CM PtP RS232 BACM PtP RS232 HFCM PtP (ET 200SP)在 RS232 模式中，可通過兩條線路發(fā)送數(shù)據(jù)。單獨的線路可用于發(fā)送方向和接收方向。發(fā)送和接收可同時進行 (full duplex)。RS232 信號除了 TXD、RXD 和 GND 信號外，通信模塊還在使用 RS232 硬件時提供了附加 RS232 信

• 配置SIMATIC NET的OPC 服務(wù)器的符號訪問

  場景1：OPC客戶端利用SIAMTIC NET作為OPC 服務(wù)器訪問S7-200 SMART時，通常需要在客戶端或者OPC SCOUT V10建立大量變量，地址的大部分都是諸如"S7:[S7_Connection_1]"重復字段。場景2：不同項目使用相同或接近的變量表時，需要重新錄入大量變量。以上場景均可以利用SIAMTIC NET的符號表功能簡化操作，并使用EXCEL來完成重復性的工作，使得配置

• 包含多個 DP 主站系統(tǒng)的組態(tài)

  包含多個 DP 主站系統(tǒng)的組態(tài)包含兩個或更多 DP 主站系統(tǒng)的組態(tài)方法若有一個以上的 DP 主站系統(tǒng)連接到同一個物理 PROFIBUS DP 子網(wǎng)，有時將其稱為多主站系統(tǒng)?？梢允褂枚喾N方法通過 PROFIBUS DP 連接這些 DP 主站系統(tǒng)：DP 主站系統(tǒng)之間無邏輯連接DP 從站到 DP 主站的直接數(shù)據(jù)交換DP 從站到智能從站的直接數(shù)據(jù)交換DP 從站到 DP 主站的直接數(shù)據(jù)交換對于多主站系統(tǒng)的組

• “STARTUP”操作模式的基本知識

  “STARTUP”操作模式的基本知識功能接通 CPU 后，它在開始執(zhí)行循環(huán)用戶程序之前首先執(zhí)行啟動程序。通過適當編寫啟動 OB，可以在啟動程序中為循環(huán)程序*一些初始化變量。 對啟動 OB 的數(shù)量沒有要求。 即，可以在用戶程序中創(chuàng)建一個或多個啟動 OB，或者一個也不創(chuàng)建。啟動特性的參數(shù)設(shè)置可以* CPU 是否保持在“STOP”模式或者是否執(zhí)行暖啟動。 此外，還可以在 CPU 屬性的“啟動”(St