您好,杭州萧优自动化科技有限公司网站欢迎您!
6AV2124-0MC24-1AB0西门子 SIMATIC HMI TP1200 Comfort Pro, 支脚,中性正面, 精智面板,触摸式操作, 12" 宽屏幕 TFT 显示屏, 一千六百万色, PROFINET 接口, MPI/PROFIBUS DP 接口, 12 MB 项目组态存储器, WEC 2013, 可项目组态的最低版本 WinCC Comfort V14 SP1 带 HSP
6AV2124-0MC24-1AB0西门子
SIMATIC HMI TP1200 Comfort Pro, 支脚,中性正面, 精智面板,触摸式操作, 12" 宽屏幕 TFT 显示屏, 一千六百万色, PROFINET 接口, MPI/PROFIBUS DP 接口, 12 MB 项目组态存储器, WEC 2013, 可项目组态的最低版本 WinCC Comfort V14 SP1 带 HSP
操作步骤
STEP 7 自动将所需的 CA 证书与硬件配置一同加载到通信伙伴的 CPU 中,确保两个
CPU 中满足证书验证需求。因此,用户只需生成相应 CPU 的设备证书,其余操作将由
STEP 7 完成。
1. 在“保护和安全”(Protection & Security) 区域中,标记 PLC_1 并激活“使用证书管理器
的全局安全设置”(Use global security settings for certificate manager) 选项。
2. 在项目树的“全局安全设置”(Global security settings) 区域中,以 user 身份进行登录。
对于新项目,首次登录时的身份为返回“保护与安全”(Protection & Security) 区域的 PLC-1 中。在“设备证书”(Device
certificates) 表格中,单击“证书主体”(Certificate subject) 列的一个空行,添加新的证
书。
4. 在下拉列表中,选择一个证书并单击“添加”(Add) 按钮。
“创建证书”(Create Certificate) 对话框随即打开。
5. 保留该对话框中的默认设置。这些设置专用于开放式用户安全通信(用途:TLS)。
提示:补充证书主体的默认名称(此时,为 CPU 名称。为了便于区分,需管理大量设
备证书时,建议保留系统默认的 CPU 名称。
示例:PLC_1/TLS 变为 PLC_1-SecOUC-Chassis17FactoryState。
6. 编译组态。
设备证书和 CA 证书是组态的一部分。
7. 对于 PLC_2,重复以上操作步骤。
在下一个操作步骤中,需创建用户程序进行数据交换,并加载组态和该程序。
使用自签名证书而非 CA 证书
创建设备证书时,可选择“自签名”(Self-signed) 选项。即使在未登录,也可创建自签名证
书进行全局安全设置。但不建议执行该操作。这是因为,采用这种方式创建的证书不会保
存在全局证书存储器中,也无法直接分配给伙伴 CPU。
如上文所述,选择证书的主体名称时需小心谨慎,以确保为设备指定的证书正确无误。
对于自签名证书,无法通过 STEP 7 项目的 CA 证书进行验证。要确保自签名证书可通过
验证,需要将通信伙伴的自签名证书加入每个 CPU 的可信伙伴设备列表中。为此,必须
激活选项“使用证书管理器的全局安全设置”(Use global security settings for certificate
manager),并以 user 身份登录全局安全设置。
要将通信伙伴的自签名证书添加到 CPU 中,请按以下步骤操作:
1. 选择 PLC_1,并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证
书”(Certificates of partner devices) 表格处。
2. 在“设备证书”(Device certificates) 表格中,单击“证书主体”(Certificate subject) 列的一
个空行,添加新的证书。
3. 在下拉列表中选择该通信伙伴的自签名证书,并进行确认。
在下一个操作步骤中,需创建用户程序进行数据交换,并加载组态和该程序。
通信服务
3.6 安全通信
通信
功能手册, 11/2019, A5E03735819-AH 55
S7-1500 CPU(作为 TLS 客户端)与外部设备(作为 TLS 服务器)之间的开放式用户安全通信
两个设备将通过 TLS 连接或 TLS 会话进行数据交换(如,配方、生产数据或质量数
据):
● S7-1500 CPU (PLC_1) 作为 TLS 客户端;该 CPU 采用开放式用户安全通信
● 外部设备(如,制造执行系统 (MES))作为 TLS 服务器
S7-1500 CPU 作为 TLS 客户端,与 MES 系统建立 TLS 连接/会话。
① TLS 客户端
② TLS 服务器
验证 TLS 服务器时,S7-1500 CPU 需要具有 MES 系统的 CA 证书:用于验证证书路径
的 Root 证书和中间证书(如果适用)。
需要将这些证书导入 S7-1500 CPU 的全局证书存储器中。
要导入通信伙伴的证书,请按照以下步骤进行操作:
1. 打开项目树中全局安全设置下的证书管理器。
2. 选择待导入证书的相应表格(可信证书和 Root 证书颁发机构)。
3. 右键单击该表,打开快捷菜单。单击“导入”(Import),导入所需证书或所需 CA 证书。
导入证书时,系统将为该证书指定一个证书 ID,并在下一步操作中将其指定给一个模
块。
4. 选择 PLC_1,并导航到“保护与安全”(Protection & Security) 区域中的“伙伴设备证