SIEMENS西门子 3VA1 IEC断路器 3VA11125ED320AA0

              下图显示了在 cpu的巡视窗中激活“使用证书管理器的全局安全设置”(use global security settings for thecertificate manager) 选项后，项目树中的“全局安全设置”(global security settings)显示。 双击项目树中全局安全设置下的“用户登录”(user login) 并进行登录时，则将显示“证书管理器”(certificate manager) 行。 双击“证书管理器”(certificate manager)行，则可访问项目中的所有证书。这些证书分别位于 选项卡“ca”（证书颁发机构）、“设备证书”(device certificates)和“可信证书与 root 证书颁发 机构”(trusted certificates and root certificateauthorities) 内。生成设备证书和服务器证书（终实体证书）时，step 7 将生成私钥。私钥的加密存储的位置，取决于证书管理器中是否使用全局安全设置： • 如果使用全局安全设置，则私钥将以加密形式存储在全局（项目级）证书存储器中。 •如果未使用全局安全设置，则私钥将以加密形式在局部（cpu 特定的）证书存储器中。解密数据时所需的私钥将显示在全局安全设置中证书管理器中“设备证书”(device certificates)选项卡的“私钥”(private key) 列中。 51 通信服务 4.6 安全通信 通信 功能手册, 11/2022,a5e03735819-ak 下载硬件配置时，同时会将设备证书、公钥和私钥下载到 cpu 中。 注意启用“使用证书管理器的全局安全设置”(use global security settings for the certificatemanager) 选项 - 后果 “使用证书管理器的全局安全设置”(use global security settings forcertificate manager) 选项 会影响之前所用的私钥：如果创建证书时未使用证书管理器中的全局安全设置，而且更改了使用该证书管理器的选项，则将导致私钥丢失且证书 id 发生变更。系统会发出警告，提示您注意这种情况。因此，在开始组态项目时，需指定证书管理器选项。 4.6.2.3 证书管理示例。如前文所述，每种类型的安全通信都需要使用证书。在以下章节中，将举例说明如何通过 step 7进行证书管理，以满足开放式用户安全通信的要求。 不同通信伙伴所用的设备往往不同。为各个通信伙伴提供所需证书的相应操作步骤也各不相同。通常需使用 s7‑1500 cpu 或 s7‑1500 软件控制器，固件版本 v2.0 及以上版本。 基本规则为：建立安全连接（“握手”）时，通信伙伴通常仅传送终实体证书（设备证书）。 因此，验证已传送设备证书所需的 ca证书必须位于相应通信伙伴的证书存储器中。在 cpu 中，需设置当前的日期/时间。 使用安全通信（如，https、安全 ouc、opcua）时，需确保相应模块为当前时间和当前日 期。否则，模块会将所用的证书评估为无效，且无法进行安全通信。 两个 s7-1500 cpu之间的开放式用户安全通信 两个 s7-1500 cpu（plc_1 和 plc_2）之间通过开放式用户安全通信进行数据交换。 使用step 7 生成所需的设备证书，然后将其分配给 cpu，如下所述。 step 7 项目证书颁发机构（项目的ca）用于对设备证书进行签名。 在用户程序中根据证书 id 对证书进行引用（tcon 通信指令组合相关的系统数据类型，例如tcon_ipv4_sec）。在生成或创建证书时，step 7 将自动分配证书 id。操作步骤 step 7 自动将所需的 ca证书与硬件配置一同加载到通信伙伴的 cpu 中，确保两个 cpu 中满 足证书验证需求。因此，用户只需生成相应 cpu的设备证书，其余操作将由 step 7 完成。 1. 在“保护和安全”(protection & security) 区域中，标记plc_1 并激活“使用证书管理器的全局 安全设置”(use global security settings forcertificate manager) 选项。 2. 在项目树的“全局安全设置”(global security settings)区域中，以 user 身份进行登录。对于 新项目，首次登录时的身份为“administrator”。 3.返回“保护与安全”(protection & security) 区域的 plc‑1中。在“设备证书”(device certificates) 表格中，单击“证书主体”(certificate subject)列的一个空行，添加新的证书。 4. 在下拉列表中，选择一个证书并单击“添加”(add) 按钮。 “创建证书”(createcertificate) 对话框随即打开。 5. 保留该对话框中的默认设置。这些设置专用于开放式用户安全通信（用途：tls）。提示：补充证书主体的默认名称（此时，为 cpu 名称。为了便于区分，需管理大量设备证 书时，建议保留系统默认的 cpu 名称。示例：plc_1/tls 变为 plc_1-secouc-chassis17factorystate。 6. 编译组态。 设备证书和ca 证书是组态的一部分。 7. 对于 plc_2，重复以上操作步骤。在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。 使用自签名证书而非 ca 证书创建设备证书时，可选择“自签名”(self-signed) 选项。即使在未登录，也可创建自签名证书进行全局安全设置。但不建议执行该操作。这是因为，采用这种方式创建的证书不会保存在全局 证书存储器中，也无法直接分配给伙伴 cpu。如上文所述，选择证书的主体名称时需小心谨慎，以确保为设备指定的证书正确无误。 对于自签名证书，无法通过 step 7 项目的 ca证书进行验证。要确保自签名证书可通过验 证，需要将通信伙伴的自签名证书加入每个 cpu 的可信伙伴设备列表中。为此，必须激活选项“使用证书管理器的全局安全设置”(use global security settings for certificatemanager)，并 以 user 身份登录全局安全设置。 要将通信伙伴的自签名证书添加到 cpu 中，请按以下步骤操作： 1. 选择plc_1，并导航到“保护与安全”(protection & security) 区域中的“伙伴设备证 书”(certificatesof partner devices) 表格处。 2. 在“设备证书”(device certificates)表格中，单击“证书主体”(certificate subject) 列的一个空 行，添加新的证书。 3.在下拉列表中选择该通信伙伴的自签名证书，并进行确认。 在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。s7-1500 cpu（作为 tls 客户端）与外部设备（作为 tls 服务器）之间的开放式用户安全通信 两个设备将通过 tls连接或 tls 会话进行数据交换（如，配方、生产数据或质量数据）： • s7‑1500‑cpu (plc_1) 作为 tls客户端；该 cpu 采用开放式用户安全通信 • 外部设备（如，制造执行系统 (mes)）作为 tls 服务器。

        ① tls 客户端 ② tls 服务器 验证 tls服务器时，s7-1500 cpu 需要具有 mes 系统的 ca 证书：用于验证证书路径的 root 证书和中间证书（如果适用）。需要将这些证书导入 s7-1500 cpu 的全局证书存储器中。 要导入通信伙伴的证书，请按照以下步骤进行操作： 1.打开项目树中全局安全设置下的证书管理器。 2. 选择待导入证书的相应表格（可信证书和 root 证书颁发机构）。 3.右键单击该表，打开快捷菜单。单击“导入”(import)，导入所需证书或所需 ca 证书。 导入证书时，系统将为该证书指定一个证书id，并在下一步操作中将其指定给一个模块。 4. 选择 plc_1，并导航到“保护与安全”(protection &security) 区域中的“伙伴设备证 书”(certificates of partner devices) 表格处。 5.单击“证书主体”(certificate subject) 列中的空行，添加所导入的证书。 6. 在下拉列表中选择该通信伙伴所需的ca 证书，并进行确认。 mes 系统还需要提供 cpu 的设备证书，用于对该 cpu 进行验证（即，tls 客户端）。此时， mes系统中应包含该 cpu 的 ca 证书。如果要将证书导入 mes 系统，则需先从 cpu 的 step 7 项目中导出该ca 证书。请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 选择待导出证书的匹配表（ca 证书）。 3.右键单击所选择的证书，打开快捷菜单。 4. 单击“导出”(export)。 5. 选择证书的导出格式。在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。 s7-1500 cpu（作为 tls 服务器）和外部设备（作为tls 客户端）之间安全的开放式用户通信 如果将 s7-1500 cpu 用作 tls 服务器，并且外部设备（如，erp系统（企业资源规划系统）） 建立了 tls 连接/会话，则需要具有以下证书： • 对于 s7-1500cpu，需使用私钥生成一个设备证书（服务器证书），并随硬件配置一同下 载到 s7-1500 cpu中。生成服务器证书时，需使用选项“由证书颁发机构签名”(signed by certificate authority)。密钥交换需要使用私钥，如示例“基于 tls 的 http”的图所示。 • 对于 erp 系统，需先导出 step 7 项目中的 ca证书，然后再将其导入/加载到 erp 系统中。 基于 ca 证书，erp 系统在建立 tls 连接/会话时将检查从 cpu 传送到erp 系统的 s7-1500 服务器证书。