SIEMENS西门子 软起动器 3RW44466BC44

          pg 与 cpu之间基于证书的通信的提示基于证书的 pg/pc 通信（pg/pc 间安全通信）意味着 cpu 的通信伙伴（安装了 tia portal的编程设备）必须信任 cpu 的设备证书，才能下载连接。简而言之，从 tia portal 的角度来说，可使用以下方式信任 cpu的证书：• 安装了 tia portal 的编程设备已具有 cpu的设备证书，例如，已在项目中创建或导入证书。此时，将系统自动运行证书检查，而无任何提示。• 安装了 tia portal的编程设备不具有 cpu 的设备证书，例如，cpu 通过“可访问站”(accessible stations)确定，而在项目中不可用。此时，tia portal 将询问 tia portal用户该证书是否可信。只有通过大量的工作才能做出判断，因为 cpu 不在眼前，因此无法立即鉴定真伪。• 安装了 tia portal的编程设备具有 ca 证书（证书颁发机构），并且 tia portal 可通过网络访问的所有 cpu 都具有该 ca证书颁发的设备证书。该解决方案的优势：即使通信伙伴的设备证书在 tia portal 中不可用，tia portal仍可以自动检查设备证书。下文将详细介绍 ca 证书（证书颁发机构）解决方案。要求可以使用 tia portal 的证书颁发机构创建cpu 的设备证书，并使用现有 ca 证书为设备证书签名。还可以在 tia portal中导入并使用另一个证书颁发机构。必须启用证书管理器的全局安全策略。只有完成此设置，才能生成 ca 签名的证书。另请参见“使用 tiaportal 进行证书管理 (页 53)”导出编程设备的 ca 证书要在创建和分配证书后导出相应的 ca证书，请按照以下步骤进行操作：1. 打开项目树中全局安全设置下的证书管理器。2. 针对要导出的证书，选择“ca 证书”(cacertificates) 表。3. 单击右键，打开所选证书的快捷菜单。4. 单击“导出”(export)。5.选择证书的导出格式和存储位置。 89通信服务5.6 安全通信通信功能手册, 11/2023, a5e03735819-al在 tiaportal 中存储 ca 证书为确保安装了 tia portal的编程设备能够识别导出的证书从而启用自动证书检查，请按照以下步骤进行操作：1. 将上一步骤中导出的 ca证书复制到以下目录：c:\programdata\siemens\automation\certstore\trusted2. 启动tia portal。在巡视窗口的“信息”(info) 选项卡中，每个 ca 证书对应显示一条消息，说明该 ca证书是否可以成功传输到 tia portal 的 ca 存储区。如果出错，并不输出详细原因。向 tia portal 证书吊销列表(crl) 添加设备证书如果出现关联的密钥不再安全等情况，可以选择将设备证书单独添加到证书吊销列表 (crl)。当 tiaportal 与设备证书位于证书吊销列表中的 cpu 建立连接时，tia portal中将出现一个对话框，询问是否仍要信任该证书。如果拒绝，将无法建立连接。要向证书吊销列表中添加设备证书，请按照以下步骤操作：1.将设备证书复制到以下目录：c:\programdata\siemens\automation\certstore\crl2. 启动tia portal。在巡视窗口的“信息”(info) 选项卡中，每个证书对应显示一条消息，说明该证书是否可以成功传输到 tiaportal 的 crl 存储区。如果出错，并不输出详细原因。5.6.5.4 从下载到运行就绪的 cpu 行为为确保 cpu与编程设备或 hmi 设备之间的通信安全，必须首先具有证书。用于生产运行的证书仅在项目下载到 cpu之后发布。为了保障初始下载过程的安全，cpu 首先创建一个自签名证书。下文中介绍了建立连接的不同阶段。关于初始建立连接并进而下载到cpu 的要求• cpu 中未设置保护机密 plc 组态数据的密码。如果该 cpu 已设置并因此设置有一个保护机密 plc组态数据的密码，则该密码必需与待加载项目的密码相匹配。• 具有 cpu 组态（包括机密 plc组态数据的密码）和用户程序的项目可供使用。• cpu 处于 stop 模式。• 编程设备和 cpu直接互连并且位于受保护的环境中；即，可以识别要下载的 cpu，并控制cpu 与编程设备之间的连接。首次与 cpu 建立连接 -配置阶段用于下载 cpu 而建立的第一个连接采用 pg/hmi 间安全通信并由 tls 程序提供安全保障。但 cpu可使用制造商的设备证书（如果有），或使用自签名的证书建立连接。在该阶段中，此 cpu 仅能有限范围内使用。在此阶段中，cpu将等待基于密码的密钥信息。即，保护机密plc 组态数据的密码。此阶段下称配置阶段。诊断缓冲区中的消息指示 cpu处于配置阶段。90通信功能手册, 11/2023, a5e03735819-al通信服务5.6 安全通信项目下载到 cpu中后，cpu 会接收项目数据：• 硬件配置，包括用于安全通信（opc ua、https、安全 ouc、pg/hmi间安全通信）的已组态证书• 用户程序  连接建立、配置阶段91通信服务5.6 安全通信通信功能手册, 11/2023,a5e03735819-al警告调试期间可能存在的安全风险在调试过程中，cpu提供制造商的设备证书（如果有）或自签名证书，必须信任该证书才能建立连接。仅当编程设备与 cpu处于受保护网络、并彼此直接相连时，才会信任此证书。在不受保护的环境中，这些证书可能被操纵，允许攻击者访问编程设备/hmi 与 cpu之间的通信（例如通过中间人攻击）。配置阶段结束tia portal 不会在项目中存储机密 plc组态数据的密码本身或通过密码生成的密钥信息。因此，首次下载项目或下载新项目时，会在对话框中请求输入密码，并将该密码作为密钥信息传送到cpu。只有在执行此步骤之后，cpu 才能使用受保护的 plc 组态数据 - 这样便可完成配置阶段，cpu才能开始运行。如果未使用密码保护机密 plc 组态数据，则首次下载 cpu 时无需输入密码。此时，对pg/hmi数据通信无影响；但需注意，机密的 plc 组态数据（如，私钥）几乎无任何保护，无法防止未经授权的访问。pg/hmi通信启动当 cpu 已下载并收到用于 pg/hmi 间安全通信的 cpu 证书后，编程设备将再次连接 - 此时基于下载的 ca证书。1psubm图 5-35  pg/hmi 通信启动92通信功能手册, 11/2023,a5e03735819-al通信服务5.6 安全通信5.6.5.5 使用 hmi 安全通信在 tia portal v17及以上版本中，如果 cpu 和 hmi 设备均满足 hmi 安全通信要求，则可使用这种通信方式。要使用 hmi 安全通信，hmi设备可在建立通信连接时通过 cpu 发送的 plc 通信证书对该 cpu进行身份验证，确定该cpu“可信”。仅当满足以上条件时，才能进行 hmi 安全通信。在本章节中，将介绍各 hmi 设备将 plc通信证书手动标记为“可信”的具体措施。要求• cpu 和 hmi 设备支持 hmi 安全通信。• 当前项目位于 cpu 中（tiaportal v17 及更高版本）。组态 hmi 安全通信1. 组态 hmi设备的报警视图。说明如果报警视图缺失，则无法设备连接错误。2. 组态 cpu 中所需的安全设置。选择 plc 通信证书，保护 hmi连接安全；或通过 tia portal生成一个 plc 通信证书。3. 组态 cpu 与 hmi 设备间的 hmi 连接。4.将项目下载到 cpu 和 hmi 设备中。在项目传送过程中，系统将 plc 通信证书传送到 cpu和 hmi 设备中。必要时，还将传输ca（证书颁发机构）证书。将 plc 通信证书设置为可信连接建立时，cpu 将该 plc 通信证书传送到 hmi 设备中。• 如果该plc 通信证书在 hmi 设备中的状态已标记为“可信”，则 cpu 与 hmi 设备间将自动建立一条 hmi 安全通信。• 如果该plc 通信证书在 hmi 设备中的未标记为“可信”，则在 hmi 设备的报警视图中将显示一条消息指示该 cpu不可信，并提供一个错误代码。此时，需在 hmi 设备上将该 plc 通信证书标记为“可信”。根据 hmi设备类型，执行以下操作步骤。第二代精简面板1. 在 start center 中，选择“settings > internetsettings > certificate store”。2. 在“available certificates indevice”列表中，选择该 cpu 的 plc 通信证书。3. 按下“trust”。4. 重新启动 hmi运行系统软件。unified 系列精智面板1. 打开“控制面板”(control panel)。2. 选择“security >certificates”。3. 在“certificate store”选择列表中，选择条目“othercertificates”。4. 在“other certificates”列表中，选择该 cpu 的 plc 通信证书。5.按下“trust”。6. 重新启动 hmi 运行系统软件。精智面板，第二代移动面板1. 通过 windows ce 桌面图标“mydevice”，打开文件管理器。2. 浏览到目录“\flash\simatic\systemroot\oms\untrusted”。该cpu 的 plc 通信证书位于该目录中。3. 将该 cpu 的 plc通信证书复制到目录“\flash\simatic\systemroot\oms\trusted”中。4. 重新启动 hmi运行系统软件。如果该 plc 通信证书在 hmi 设备中的状态已标记为“可信”，则可建立 hmi 安全通信。更多信息，请参见 hmi设备的操作说明。5.6.5.6 在 tia portal 中使用传统的 pg/pc 通信在 tia portal v17及以上版本中，tia portal 支持与 s7‑1200/s7‑1500 cpu 固件版本v4.5/v2.9及以上版本自动进行“安全”通信。即，连接伙伴自动将各自的连接机制设置为所支持的高安全连接方式。仅在特定条件下（参见“兼容性相关信息(页 95)”），才会回退为原 pg/pc 通信方式，即“传统的 pg/pc 通信”。如果 cpu 的通信性能较差，而高安全性会影响该cpu 传输速率。此时可能无需采用较高安全性。要求• cpu 间未建立在线连接。• 如果对 cpu 进行在线访问，则需禁用“仅支持pg/pc 和 hmi 安全通信”(only permit securepg/pc and hmi communication)选项（“连接机制”(connection mechanisms) 区域中的 cpu参数）。•通信伙伴位于受保护环境中，如调试阶段。设置传统的 pg/pc 通信1. 在“在线”(online) 菜单中，选择命令“仅使用传统的pg/pc 通信”(use only legacy pg/pccommunication)。2.选择该菜单命令前的复选框。结果：tia portal v17以下版本均建立在线连接。在会话期间，该设置始终有效。项目打开时，“仅使用传统的 pg/pc 通信”(useonly·legacypg/pc communication) 选项未设置。启用“仅使用传统的 pg/pc 通信”(useonly·legacy pg/pc communication) 选项时的特性• cpu 中保护机密 plc组态数据的密码无法在线指定、修改或删除。需要禁用“仅使用传统的pg/pc 通信”(use only·legacy pg/pccommunication) 选项才能使用上述功能。• 设置为仅支持 pg/pc 和 hmi 安全通信的 cpu无法在线访问。