6AV2124-0MC24-1AB0西门子

SIMATIC HMI TP1200 Comfort Pro， 支脚，中性正面， 精智面板，触摸式操作， 12" 宽屏幕 TFT 显示屏， 一千六百万色， PROFINET 接口， MPI/PROFIBUS DP 接口， 12 MB 项目组态存储器， WEC 2013， 可项目组态的最低版本 WinCC Comfort V14 SP1 带 HSP

操作步骤 

STEP 7 自动将所需的 CA 证书与硬件配置一同加载到通信伙伴的 CPU 中，确保两个

CPU 中满足证书验证需求。因此，用户只需生成相应 CPU 的设备证书，其余操作将由

STEP 7 完成。

1. 在“保护和安全”(Protection & Security) 区域中，标记 PLC_1 并激活“使用证书管理器

的全局安全设置”(Use global security settings for certificate manager) 选项。

2. 在项目树的“全局安全设置”(Global security settings) 区域中，以 user 身份进行登录。

对于新项目，首次登录时的身份为返回“保护与安全”(Protection & Security) 区域的 PLC-1 中。在“设备证书”(Device 

certificates) 表格中，单击“证书主体”(Certificate subject) 列的一个空行，添加新的证

书。

4. 在下拉列表中，选择一个证书并单击“添加”(Add) 按钮。

“创建证书”(Create Certificate) 对话框随即打开。

5. 保留该对话框中的默认设置。这些设置专用于开放式用户安全通信（用途：TLS）。

提示：补充证书主体的默认名称（此时，为 CPU 名称。为了便于区分，需管理大量设

备证书时，建议保留系统默认的 CPU 名称。 

示例：PLC_1/TLS 变为 PLC_1-SecOUC-Chassis17FactoryState。

6. 编译组态。

设备证书和 CA 证书是组态的一部分。

7. 对于 PLC_2，重复以上操作步骤。

在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。

使用自签名证书而非 CA 证书 

创建设备证书时，可选择“自签名”(Self-signed) 选项。即使在未登录，也可创建自签名证

书进行全局安全设置。但不建议执行该操作。这是因为，采用这种方式创建的证书不会保

存在全局证书存储器中，也无法直接分配给伙伴 CPU。 

如上文所述，选择证书的主体名称时需小心谨慎，以确保为设备指定的证书正确无误。

对于自签名证书，无法通过 STEP 7 项目的 CA 证书进行验证。要确保自签名证书可通过

验证，需要将通信伙伴的自签名证书加入每个 CPU 的可信伙伴设备列表中。为此，必须

激活选项“使用证书管理器的全局安全设置”(Use global security settings for certificate 

manager)，并以 user 身份登录全局安全设置。

要将通信伙伴的自签名证书添加到 CPU 中，请按以下步骤操作：

1. 选择 PLC_1，并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证

书”(Certificates of partner devices) 表格处。

2. 在“设备证书”(Device certificates) 表格中，单击“证书主体”(Certificate subject) 列的一

个空行，添加新的证书。

3. 在下拉列表中选择该通信伙伴的自签名证书，并进行确认。

在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。

通信服务

3.6 安全通信

通信

功能手册, 11/2019, A5E03735819-AH 55

S7-1500 CPU（作为 TLS 客户端）与外部设备（作为 TLS 服务器）之间的开放式用户安全通信 

两个设备将通过 TLS 连接或 TLS 会话进行数据交换（如，配方、生产数据或质量数

据）：

● S7-1500 CPU (PLC_1) 作为 TLS 客户端；该 CPU 采用开放式用户安全通信

● 外部设备（如，制造执行系统 (MES)）作为 TLS 服务器

S7-1500 CPU 作为 TLS 客户端，与 MES 系统建立 TLS 连接/会话。

① TLS 客户端

② TLS 服务器

验证 TLS 服务器时，S7-1500 CPU 需要具有 MES 系统的 CA 证书：用于验证证书路径

的 Root 证书和中间证书（如果适用）。

需要将这些证书导入 S7-1500 CPU 的全局证书存储器中。 

要导入通信伙伴的证书，请按照以下步骤进行操作： 

1. 打开项目树中全局安全设置下的证书管理器。

2. 选择待导入证书的相应表格（可信证书和 Root 证书颁发机构）。

3. 右键单击该表，打开快捷菜单。单击“导入”(Import)，导入所需证书或所需 CA 证书。

导入证书时，系统将为该证书指定一个证书 ID，并在下一步操作中将其指定给一个模

块。

4. 选择 PLC_1，并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证