通過(guò) CP 接口進(jìn)行安全 OUC 連接

時(shí)間：2021-07-23作者：上海騰希電氣技術(shù)有限公司瀏覽：218

通過(guò) CP 接口進(jìn)行安全 OUC 連接



在以下章節(jié)中，將介紹通過(guò) CP 接口進(jìn)行開(kāi)放式用戶(hù)安全通信時(shí)應(yīng)注意的特殊事項(xiàng)。至少一個(gè)站為 S7-1500 站，并包含以下模塊：

S7-1500 CPU 固件版本 V2.0 及較高版本（除 S7-1500 軟件控制器以外）

CP

- CP 1543-1 固件版本 V2.0 及較高版本

- CP 1545-1 ab V1.0

- CP 1543SP-1 固件版本 V1.0 及較高版本

在 S7-1500 站中，CP 充當(dāng) TLS 客戶(hù)端（活動(dòng)連接設(shè)置）或 TLS 服務(wù)器（被動(dòng)連接建立）。

通過(guò) CP 接口進(jìn)行安全通信的基本操作步驟與概念，與通過(guò) S7-1500 CPU 接口進(jìn)行安全通信的類(lèi)似。在此，必須將證書(shū)分配給作為 TLS 服務(wù)器或 TLS 客戶(hù)端的 CPU，而非其它 CPU。因此，也可使用其他角色和操作步驟。在下文中，將對(duì)此進(jìn)行詳細(xì)介紹。

管理 CP 的證書(shū)

以下規(guī)則普遍適用：在入全局安全設(shè)置中，需登錄證書(shū)管理器。生成自簽名的證書(shū)時(shí)，需登錄全局安全設(shè)置。需要具有足夠的用戶(hù)權(quán)限（管理員權(quán)限，或具有“安全組態(tài)”權(quán)限的“標(biāo)準(zhǔn)”用戶(hù)）。

在 CP 中，可在“安全 > 安全屬性”(Security > Security properties) 部分生成或分配證書(shū)。在此部分中，可登錄全局安全設(shè)置。

操作步驟：

在 STEP 7 的網(wǎng)絡(luò)視圖中，選中該 CP 并在巡視窗口中選擇“安全 > 安全屬性”(Security > Security properties) 部分。

單擊“用戶(hù)登錄”(User logon) 按鈕。

使用用戶(hù)名和密碼進(jìn)行登錄。

啟用“激活安全功能”(Activate security functions) 選項(xiàng)。

系統(tǒng)將初始化相應(yīng)的安全屬性。

單擊“設(shè)備證書(shū)”(Device certificates) 表格的**行，生成一個(gè)新的證書(shū)或選擇現(xiàn)有的設(shè)備證書(shū)。

如果通信伙伴也是一個(gè) S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或?yàn)樵?S7-1500 CPU 分配一個(gè)設(shè)備證書(shū)。

示例：通過(guò) CP 接口，在兩個(gè) S7 1500 CPU 之間建立一個(gè) TCP 安全連接

要在兩個(gè) S7?1500 CP 之間實(shí)現(xiàn)安全 TCP 安全，需要在每個(gè) CPU 中創(chuàng)建一個(gè) TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的數(shù)據(jù)塊，然后對(duì)其進(jìn)行組態(tài)并在指令中直接調(diào)用該數(shù)據(jù)塊。

要求：

兩個(gè) S7 1500 CPU 均具有上述*固件版本之一。

CP 均具有上述*固件版本之一。

TLS 客戶(hù)端和 TLS 服務(wù)器具備所需的全部證書(shū)。

- 必須為該 CP 生成設(shè)備證書(shū)（較終實(shí)體證書(shū)）并存儲(chǔ)在該 CP 的證書(shū)存儲(chǔ)器中。如果通信伙伴是一個(gè)外部設(shè)備（如，MES 或 ERP 系統(tǒng)），則需確保該設(shè)備上包含有設(shè)備證書(shū)。

- 對(duì)通信伙伴設(shè)備證書(shū)進(jìn)行簽名的 root 證書(shū)（CA 證書(shū)）也必須位于該 CP 的證書(shū)存儲(chǔ)器中，或位于外部設(shè)備的證書(shū)存儲(chǔ)器中。如果使用中間證書(shū)，則必須確保所驗(yàn)證設(shè)備中的證書(shū)路徑完整。設(shè)備將通過(guò)這些證書(shū)驗(yàn)證通信伙伴的設(shè)備證書(shū)。

這些通信伙伴需通過(guò) IPv4 地址進(jìn)行尋址，而不能通過(guò)域名進(jìn)行尋址。

下圖顯示了在兩個(gè)通信伙伴通過(guò)一個(gè) CP 進(jìn)行通信的方案中，設(shè)備中的不同證書(shū)。此外，在該圖中還顯示了建立連接時(shí)設(shè)備證書(shū)的傳輸（“Hello”）。

TLS 客戶(hù)端的設(shè)置

如需在 TLS 客戶(hù)端建立 TCP 安全連接，請(qǐng)按照以下步驟操作：

在項(xiàng)目樹(shù)中，創(chuàng)建一個(gè)全局?jǐn)?shù)據(jù)塊。

在該全局?jǐn)?shù)據(jù)塊中，定義一個(gè) TCON_IP_V4_SEC 數(shù)據(jù)類(lèi)型的變量。為此，需在“數(shù)據(jù)類(lèi)型”(Data type) 字段中輸入字符串“TCON_IP_V4_SEC”。

以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1”，其中，定義了數(shù)據(jù)類(lèi)型為 TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 客戶(hù)端”(SEC connection 1 TLS Client)。

該接口 ID 的值為本地 CP（TLS 客戶(hù)端）中 IE 接口的硬件標(biāo)識(shí)符。




在“起始值”(Start value) 列設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress”中輸入 TLS 服務(wù)器的 IPv4 地址。

在“起始值”(Start value) 列設(shè)置安全通信的參數(shù)。

- “ActivateSecureConn”：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則將忽略后面的安全參數(shù)。此時(shí)，可建立一個(gè)非安全的 TCP 或 UDP 連接。

- “TLSServerCertRef”：輸入值“2”（引用 TIA Portal 項(xiàng)目 (SHA256) 的 CA 證書(shū)），或輸入值“1”（引用 TIA Portal 項(xiàng)目 (SHA1) 的 CA 證書(shū)）。

- “TLSClientCertRef”：自身 X.509-V3 證書(shū)的 ID。

在程序編輯器中，創(chuàng)建一個(gè) TCON 指令。

將 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)據(jù)類(lèi)型的變量進(jìn)行互連。

TLS 服務(wù)器上的設(shè)置

要在 TLS 服務(wù)器中設(shè)置 TCP 安全連接，請(qǐng)執(zhí)行如下操作：

在項(xiàng)目樹(shù)中，創(chuàng)建一個(gè)全局?jǐn)?shù)據(jù)塊。

在該全局?jǐn)?shù)據(jù)塊中，定義一個(gè) TCON_IP_V4_SEC 數(shù)據(jù)類(lèi)型的變量。

以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1”，其中定義了數(shù)據(jù)類(lèi)型為 TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 服務(wù)器”(SEC connection 1 TLS Server)。

該接口 ID 的值為本地 CP（TLS 服務(wù)器）中 IE 接口的硬件標(biāo)識(shí)符。







在“起始值”(Start value) 列設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress”中輸入 TLS 客戶(hù)端的 IPv4 地址。

在“起始值”(Start value) 列設(shè)置安全通信的參數(shù)。

- “ActivateSecureConn”：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則將忽略后面的安全參數(shù)。此時(shí)，可建立一個(gè)非安全的 TCP 或 UDP 連接。

- “TLSServerReqClientCert”：要求 TLS 客戶(hù)端提供 X.509-V3 證書(shū)。輸入值“true”。

- “TLSServerCertRef”：自身 X.509-V3 證書(shū)的 ID。

- “TLSClientCertRef”：輸入值 2（引用 TIA Portal 項(xiàng)目 (SHA256) 的 CA 證書(shū)），或輸入值 1（引用 TIA Portal 項(xiàng)目 (SHA1) 的 CA 證書(shū)）。

在程序編輯器中，創(chuàng)建一個(gè) TCON 指令。

將 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)據(jù)類(lèi)型的變量進(jìn)行互連。

上傳設(shè)備作為新站

在將帶有證書(shū)的組態(tài)進(jìn)而組態(tài)的開(kāi)放式用戶(hù)安全通信作為新站上傳到 STEP 7 項(xiàng)目中時(shí)，與 CPU 的證書(shū)不同，CP 的證書(shū)不會(huì)上傳。在將設(shè)備下載為新站后，在 CP 的設(shè)備證書(shū)表格中不會(huì)包含更多證書(shū)。

上傳后，需再次對(duì)證書(shū)進(jìn)行組態(tài)。否則，重新下載組態(tài)將導(dǎo)致 CP 之前存在的證書(shū)刪除，無(wú)法進(jìn)行安全通信。

通過(guò) CPU 和 CP 接口的 OUC 安全連接（操作相似）

連接資源：
OUC 和安全 OUC 之間無(wú)差別。編程的 OUC 安全連接將使用諸如 OUC 連接之類(lèi)的連接資源，而不考慮與該站通信的 IE/PROFINET 接口。

連接診斷：
OUC 和 OUC 安全連接診斷之間無(wú)差別。

將帶有 OUC 安全連接的項(xiàng)目下載到 CPU 中：
如果還需下載證書(shū)，則只能 CPU STOP 模式下進(jìn)行。
建議：下載到設(shè)備 > 硬件和軟件 (Load to device > Hardware and software)。原因：需確保帶有安全 OUC 的程序、硬件配置和證書(shū)一致。
證書(shū)隨硬件配置一同下載。因此，下載過(guò)程中需要停止 CPU 的運(yùn)行。僅當(dāng)所需的證書(shū)位于模塊中時(shí)，才能在 RUN 模式下重新下載使用其它 OUC 安全連接的塊。


上海騰希電氣技術(shù)有限公司專(zhuān)注于西門(mén)子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• SMART通過(guò)軟件固件較新

  CPU 通過(guò) RS485 接口從軟件操作進(jìn)行固件較新S7-200 SMART 編程軟件，從 V2.3 開(kāi)始具有固件較新的功能。S7-200 SMART V2.3 CPU 系列包含十二種 CPU 型號(hào)，分為兩條產(chǎn)品線：緊湊型產(chǎn)品線和標(biāo)準(zhǔn)型產(chǎn)品線。緊湊型 CPU 四種: CPU CR20s、CPU CR30s、CPU CR40s 和 CPU CR60s ,V2.3 版本不適用于 CR40 和 CR 6

• DDNS 客戶(hù)端

  DDNS 客戶(hù)端DDNS（Dynamic Domain Name System，動(dòng)態(tài)域名系統(tǒng)）是一個(gè) Internet 服務(wù)，該服務(wù)允許將一個(gè)固定主機(jī)名設(shè)置為一個(gè)代表動(dòng)態(tài)變化 IP 地址的假名。DDNS 客戶(hù)端會(huì)同步分配的 IP 地址與在 DDNS 提供商方面注冊(cè)的主機(jī)名。這意味著始終可通過(guò)相同的主機(jī)名對(duì)設(shè)備進(jìn)行訪問(wèn)。要求：授權(quán)使用 DDNS 服務(wù)的用戶(hù)名和密碼。已注冊(cè)主機(jī)名，例如 example

• 為什么采用4—20mA的電流來(lái)傳輸模擬量？

  大家可能會(huì)非常熟悉RS232，RS485，CAN等工業(yè)上常用的總線，他們都是傳輸數(shù)字信號(hào)的方式。那么，我們用什么方式來(lái)傳輸模擬信號(hào)呢？工業(yè)上普遍需要測(cè)量各類(lèi)非電物理量，例如溫度、壓力、速度、角度等，這些都需要轉(zhuǎn)換成模擬量電信號(hào)才能傳輸?shù)綆装倜淄獾目刂剖一蝻@示設(shè)備上。工業(yè)上較廣泛采用的是用4~20mA電流來(lái)傳輸模擬量。采用電流信號(hào)的原因是不容易受干擾，因?yàn)楣I(yè)現(xiàn)場(chǎng)的噪聲電壓的幅度可能達(dá)到數(shù)V，但是噪

• 精簡(jiǎn)面板KTP1200

  技術(shù)數(shù)據(jù)SIMATIC HMI，KTP1200 Basic DP， 精簡(jiǎn)面板， 按鍵式/觸摸式操作， 12" TFT 顯示屏，65536 顏色， PROFIBUS 接口， 可項(xiàng)目組態(tài)的較低版本 WinCC Basic V13/ STEP 7 Basic V13， 包含開(kāi)源軟件，加熱 免費(fèi)提供 參見(jiàn)隨附 CD一般信息產(chǎn)品類(lèi)型標(biāo)志KTP1200 Basic color DP顯示顯示屏規(guī)格TFT 寬屏顯