SIEMENS西门子 3VA1 IEC断路器 3VA11165ED320AA0

         s7-1500 cpu 需要具有 mes 系统的 ca证书：用于验证证书路径的 root 证书和中间证书（如果适用）。 需要将这些证书导入 s7-1500 cpu 的全局证书存储器中。要导入通信伙伴的证书，请按照以下步骤进行操作： 1. 打开项目树中全局安全设置下的证书管理器。 2.选择待导入证书的相应表格（可信证书和 root 证书颁发机构）。 3.右键单击该表，打开快捷菜单。单击“导入”(import)，导入所需证书或所需 ca 证书。 导入证书时，系统将为该证书指定一个证书id，并在下一步操作中将其指定给一个模块。 4. 选择 plc_1，并导航到“保护与安全”(protection &security) 区域中的“伙伴设备证 书”(certificates of partner devices) 表格处。 5.单击“证书主体”(certificate subject) 列中的空行，添加所导入的证书。 6. 在下拉列表中选择该通信伙伴所需的ca 证书，并进行确认。 mes 系统还需要提供 cpu 的设备证书，用于对该 cpu 进行验证（即，tls 客户端）。此时， mes系统中应包含该 cpu 的 ca 证书。如果要将证书导入 mes 系统，则需先从 cpu 的 step 7 项目中导出该ca 证书。请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 选择待导出证书的匹配表（ca 证书）。 3.右键单击所选择的证书，打开快捷菜单。 4. 单击“导出”(export)。 5. 选择证书的导出格式。在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。 s7-1500 cpu（作为 tls 服务器）和外部设备（作为tls 客户端）之间安全的开放式用户通信 如果将 s7-1500 cpu 用作 tls 服务器，并且外部设备（如，erp系统（企业资源规划系统）） 建立了 tls 连接/会话，则需要具有以下证书： • 对于 s7-1500cpu，需使用私钥生成一个设备证书（服务器证书），并随硬件配置一同下 载到 s7-1500 cpu中。生成服务器证书时，需使用选项“由证书颁发机构签名”(signed by certificate authority)。密钥交换需要使用私钥，如示例“基于 tls 的 http”的图所示。 • 对于 erp 系统，需先导出 step 7 项目中的 ca证书，然后再将其导入/加载到 erp 系统中。 基于 ca 证书，erp 系统在建立 tls 连接/会话时将检查从 cpu 传送到erp 系统的 s7-1500 服务器证书。与邮件服务器进行开放式用户安全通信 (smtp over tls) s7-1500 cpu可使用通信指令 tmail-c 与邮件服务器建立安全连接。 系统数据类型 tmail_v4_sec 和 tmail_可确定电子邮件服务器的伙伴端口，并通 过“smtp over tls”协议访问电子邮件服务器。s7-1500 cpu 与邮件服务器间的ouc 安全通信 要建立安全的邮件连接，则需将电子邮件服务器（提供方）的根证书和中间证书导入 s7-1500 cpu的全局证书存储器中。基于这些证书，cpu 在建立 tls 连接 / 会话时将检查由邮件服务器 发送的服务器证书。要导入邮件服务器的证书，请按以下步骤操作： 1. 打开项目树中全局安全设置下的证书管理器。 2. 选择待导入证书的相应表格（可信证书和root 证书颁发机构）。 3. 右键单击该表，打开快捷菜单。单击“导入”(import)，导入所需证书或所需 ca 证书。导入证书后，系统将为该证书指定一个证书 id，并在下一步操作中将其指定给一个模块。 4. 选择plc_1，并导航到“保护与安全”(protection & security) 区域中的“伙伴设备证 书”(certificatesof partner devices) 表格处。 5. 单击“证书主体”(certificate subject)列中的空行，添加所导入的证书。 6. 在下拉列表中选择该通信伙伴所需的 ca 证书，并进行确认。 在下一个操作步骤中，需创建该 cpu中电子邮件客户端功能的用户程序，并加载组态与该程 序。

          证书通信原理：基于 tls 的 http下图显示了如何使用后以下机制在 s7-1500 cpu 的 web 浏览器和 web 服务器之间建立安全 通信。 首先需要在 step7 中更改“仅允许 https 访问”(permit access only through https) 选项。在 step 7v14 及以上版本中，可能会影响 s7-1500 cpu（固件版本 v2.0 及以上版本）中 web 服务器的服务器证书：服务器证书将在 step 7 的以上版本及更改版本中生成。 此外，在该示例中还显示了 pc 的 web浏览器端如何基于加密的 https 连接所调用 cpu 的 web 服务器网站。 s7‑1500 cpu（固件版本 v2.0及以上版本）中 web 服务器证书的应用 对于固件版本 v2.0 及以下版本的 s7-1500 cpu，设置 web服务器属性时，如果无特殊要求， 需设置为“只允许通过 https 访问”(permit access only withhttps)。 对于此类 cpu，无需进行证书处理；cpu 将自动为 web 服务器生成所需证书。 对于固件版本 v2.0及更高版本的 s7-1500 cpu，step 7 会为 cpu 生成服务器证书（zui终实体 证书）。在 cpu 的属性中为 web服务器分配服务器证书（“web 服务器 > 安全”(web server > security)）。由于服务器证书名称通常为系统预设，因此无需任何更改即可轻松完成 web 服务器的组 态：激活 web 服务器。默认启用“仅允许https 访问”(permit access only with https) 选项， step 7将在编译过程中使用默认名称生成服务器证书。 无论您是否在全局安全设置中使用证书管理器：step 7 中包含生成服务器证书所需的全部信息。 此外，还需确定服务器证书的相关特性。如，名称或有效期等。 说明 在 cpu 中，需设置当前的日期/时间。使用安全通信（如，https、安全 ouc、opc ua）时，需确保相应模块为当前时间和当前日期。否则，模块会将所用的证书评估为无效，且无法进行安全通信。加载 web 服务器证书 加载硬件配置时，系统将自动加载 step 7生成的服务器证书。 • 如果在全局安全设置中使用证书管理器，则项目的证书颁发机构（ca 证书）对 web 服务器的服务器证书进行签名。在加载过程中，项目的 ca 证书也将自动加载。 • 如果未在全局安全设置中使用证书管理器，则 step 7会生成服务器证书作为自签名证书。 通过 cpu 的 ip 地址对 cpu 的 web 服务器进行寻址时，每次 cpu 中以太网接口的ip 地址发生 更改时，都必须生成新的服务器证书并加载（zui终实体证书）。这是由于 cpu 的身份随 ip 地 址一同更改。根据 pki规则，该身份必须进行签名。 如果使用域名（如，“myconveyer-cpu.room13.myfactory.com”）而非 ip地址对 cpu 进行寻 址，则可避免这一问题。为此，需通过 dns 服务器对该 cpu 的域名进行管理。 为 web 浏览器提供一份web 服务器的 ca 证书 在 web 浏览器中，通过 https 访问 cpu 网站时，需安装该 cpu 的 ca证书。如果未安装证 书，则将显示一条警告消息，不建议访问该页面。要查看该页面，需显式“添加例外情况”。 有效的 root 证书，可从cpu web 服务器“简介”(intro) web 页面的“下载证书”(download certificate) 中下载。 56通信 功能手册, 11/2022, a5e03735819-ak 通信服务 4.6 安全通信 在 step 7中，可采用另一种方式：使用证书管理器，将项目的 ca 证书导出到 step 7 中的全 局安全设置中。之后，再将 ca证书导入浏览器中。 安全通信的过程 下图简要说明了通信的建立方式（“握手”），并着重介绍了通过 http over tls进行数据交换 时所用的密钥协商过程。 该过程可适用于基于 tls 的所有通信方式。即，也可适用于开放式用户安全通信（请参见“安全通信的基本知识”）。在本示例图中并不涉及 alice 端（浏览器端）对 web 服务器所发送证书的验证措施。alice 是否信任收到的 web 服务器证书、信任该 web 服务器的身份并接受数据交换，具体取决于验证 结果。 验证 web服务器可靠性的操作步骤如下所示： 1. alice 必须获得所有相关颁发机构的公钥。即，必须拥有整个证书链，才能对该 web 服务器证书（即，web 服务器的zui终实体证书）进行验证。 alice 的证书存储器中通常包含所需的根证书。安装 web浏览器时，将自动安装所有可信 的 root 证书。如果 alice 没有 root 证书，则必须从证书颁发机构下载并安装到浏览器的证书颁发机构中。证书颁发机构还可以是该 web 服务器所处的设备。 可通过以下几种方式获得中间证书： –服务器以消息签名方式将所需的中间证书连同zui低层实体证书一并发送给 alice。这 样，alice 即可对证书链的完整性进行验证。 –在这些证书中，通常包含证书签发者的 url。alice 可通过这些 url 加载所需的中间证 书。 在 step 7中进行证书处理时，通常假设已将所需的中间证书和 root 证书导入项目中，并 已分配给模块。