6AV2124-0MC24-0BX0西门子

SIMATIC HMI TP1200 Comfort Pro， 扩展单元支撑臂， 精智面板，触摸式操作， 12" 宽屏幕 TFT 显示屏， 一千六百万色， PROFINET 接口， MPI/PROFIBUS DP 接口， 12 MB 项目组态存储器， WEC 2013， 可项目组态的最低版本 WinCC Comfort V14 SP1 带 HSP

Root 证书的证书链 

PKI 证书通常按层级进行组织：层级顶部由根证书构成。Root 证书并非由上一级证书颁

发机构签名。Root 证书的证书主体与证书的签发者相同。根证书享受绝对信任。它们构

成了信任“点”，因此可作为接收方的可信证书。此类证书存储在专门存储受信证书的区

域。

基于该 PKI，Root 证书可用于对下级证书颁发机构颁发的证书（即，所谓的中间证书）

进行签名。从而实现从 Root 根证书到中间证书信任关系的传递。由于中间证书可对诸如

Root 证书之类的证书进行签名，因此这两种证书均称为“CA 证书” 

这种证书签名层级可通过多个中间证书进行延伸，直至最底层的实体证书。最终实体证书

即为待识别用户的证书。 

验证过程则反向贯穿整个层级结构：综上所述，先通过签发者的公钥确定证书签发者并对

其签名进行检查，之后再沿着整条信任链确定上一级证书签发者的证书，直至到达根证

书。 

结论：无论组态何种安全通信类型，每台设备中都必需包含一条到 Root 证书的中间证书

链（即证书路径），对通信伙伴的最低层实体证书进行验证。 

3.6.4 使用 STEP 7 管理证书 

STEP 7 V14 及更高版本与 S7-1500-CPU 固件版本 V2.0 及更高版本一同使用时，持

Internet PKI (RFC 5280)。因此 S7-1500 CPU 可与同样支持 Internet PKI 的设备进行数

据通信。

如，可使用 X.509 证书验证上文中所介绍的证书。

STEP 7 V14 及以上版本使用的 PKI 与 Internet PKI 相似。例如，证书吊销列表 (CRL) 不

受支持。

通信服务

3.6 安全通信

通信

50 功能手册, 11/2019, A5E03735819-AH 

创建或分配证书 

对于具有安全特性的设备（如，S7-1500 CPU 固件版本 V2.0 及以上版本），可在 STEP 

7 中根据不同应用创建特定的证书。

在 CPU 巡视窗口的以下区域内，可创建新的证书或选择现有的证书：

● “保护和安全 > 证书管理器”(Protection & Security > Certificate manager)- 用于生成和

分配所有类型的证书。生成证书时，将预设开放式用户安全通信的 TLS 证书。

● “Web 服务器 > 安全”(Web server > Security) - 用于生成和分配 Web 服务器证书。

● “OPC UA > 服务器 > 安全”(OPC UA > Server > Security)- 用于生成和分配 OPC UA生成设备证书和服务器证书（最终实体证书）时，STEP 7 将生成私钥。私钥的加密存储

的位置，取决于证书管理器中是否使用全局安全设置：

● 如果使用全局安全设置，则私钥将以加密形式存储在全局（项目级）证书存储器中。

● 如果未使用全局安全设置，则私钥将以加密形式在局部（CPU 特定的）证书存储器

中。

解密数据时所需的私钥将显示在全局安全设置中证书管理器中“设备证书”(Device两个 S7-1500 CPU 之间安全的开放式用户通信 

两个 S7-1500 CPU（PLC_1 和 PLC_2）之间通过开放式用户安全通信进行数据交换。 

使用 STEP 7 生成所需的设备证书，然后将其分配给 CPU，如下所述。

STEP 7 项目证书颁发机构（项目的 CA）用于对设备证书进行签名。 

在用户程序中根据证书 ID 对证书进行引用（TCON 通信指令组合相关的系统数据类型，

例如 TCON_IPV4_SEC）。在生成或创建证书时，STEP 7 将自动分配证书 ID。