SIEMENS西门子 S-1FL2低惯量型电机 1FL2 104-2AG11-1HC0

               通过显示屏禁用对 cpu 的在线访问 (s7-1500) 可以在 s7-1500 cpu的显示屏上阻止对受密码保护的 cpu 进行访问（本地阻止）。 只有在操作模式切换被设置为 run 时才能阻止访问。无论密码保护如何，都能阻止访问。 这也就是说，即使通过连接的编程设备访问 cpu，并 且输入了正确的密码，也无法访问 cpu。可以分别为显示屏上的每个保护等级设置访问阻止，这样就可以在本地允许读取访问，但是 不允许写入访问。 此外，可以在 cpu的属性中为显示屏组态密码，这样本地访问保护就可由本地密码进行保 护。 步骤 按照以下操作在显示屏上设置 s7-1500 cpu的本地访问保护： 1. 选择显示屏上的“设置 > 保护”(settings > protection) 菜单。 2.通过“确定”(ok) 确认，并为每个保护等级设置是否允许在 run 模式中访问： 允许： 可以通过密码访问 cpu。 在 run模式中阻止： 如果操作模式切换被设置为 run，那么即使获得相关密码，也不可使 用此保护等级权限登录 cpu。 在 stop模式中，可以使用密码输入进行访问。

               证书管理器(s7-1500) 应了解的证书管理器知识 (s7-1500) 简介数字证书对于在两个设备之间进行安全的数据传输至关重要。使用数字证书时，客户端还必须检查并信任服务器的证书。根据使用的安全通信类型，服务器可能需要检查并信任客户端的证书：只有在服务器接受客户端的数字证书，将其归类为可信证书并信任该证书时，客户 端才能与服务器建立安全连接。 固件版本为 v2.0或更高版本的 s7-1500 cpu 支持使用证书。 设备特定的以及项目级证书管理器 通过 cpu特定的本地证书管理器，可为相应的设备生成和管理证书。然后，这些证书可由 以下对象使用： • 设备的 opc ua 服务器 •设备的 web 服务器 • 需要使用证书并且通过证书 id 进行引用的所有其它系统功能。在 tia portal v14 中，secure ouc 和 tmail 也采用 pg/hmi 间安全通信（tia portal v17 及以上版本）。 说明证书管理器中的每个证书都会接收到一个 id，以用于在特定 sdt 中进行唯一性引用。证 书 id由证书管理器在创建或导入证书时进行分配。证书 id 在项目中唯一，不能更改。 cpu特定的本地证书管理器中的证书仅适用于该设备。如果要在项目范围内使用证书，则需 要激活设备中的全局安全证书管理器。在全局安全证书管理器中，可利用其它功能来管理证书： • 导入新证书和证书颁发机构。 • 导出项目中使用的证书和证书颁发机构。 •更新过期的证书和证书颁发机构。 • 替换现有证书颁发机构。 • 添加受信证书和证书颁发机构。 •手动删除导入的证书。只有在项目中针对至少一个设备激活激活全局安全设置后，全局安全设置才可见。为此，在 cpu特定的本地证书管理器中，提供了“使用证书管理器的全局安全设置”(use global security settings forcertificate manager) 复选框：该复选框位于巡视窗口中带安全功能的设 备常规设置的“保护和安全 >证书管理器”(protection & security > certificate manager) 下。根据该设置，可决定仅使用功能受限的 cpu 特定的本地证书管理器，或使用全局安全证书 管理器。 注意 证书和密钥丢失激活项目的全局安全证书管理器后，cpu 特定的本地证书管理器的内容会丢失： • 私钥无法恢复。 •如果要继续在全局安全证书管理器中使用证书，请导出证书。 • 更新组态或程序，因为证书的 id 可能会发生更改。激活全局安全证书管理器后，cpu 特定的本地证书管理器将用作 cpu 特定的全局证书的临 时存储器。在 cpu特定的本地证书管理器中创建新证书时，该证书将包含在全局安全证书 管理器中。还可以在全局安全证书管理器中选择证书用作 cpu的证书。cpu 特定的局部证书管理器 (s7-1500) 简介 使用 cpu 特定的本地证书管理器时，可针对不同的服务直接使用 opcua 服务器和 web 服 务器的证书，而无须访问全局安全证书管理器。 本地证书管理器的功能 与全局证书管理器相比，cpu特定的本地证书管理器的功能仍然受限。通过本地证书管理器， 只能创建、分配、导出或删除自签名证书。cpu特定的本地证书管理器的设置位于巡视窗口的设备常规设置“保护与安全 > 证书管理 器”(protection & security> certificate manager) 下。 • 用于激活全局证书管理器的选项 •设备证书表：显示和管理所用的证书。例如，安全 ouc（tls 服务器/tls 客户端）将显 示该设备的 web 服务器和 opc ua服务器的证书。 • 伙伴设备的证书表：显示已分配为受信用户或客户端的证书。 设备证书设备证书对于设备及其相关组件有效。例如，此处显示的证书还是为 web 服务器或为 opc ua 创建的证书。同样，可以在此处创建带有web 服务器或 opc ua 的设置的证书，但必须在 相应的位置使用此类证书。创建新证书时，会在设备的相应对话框中输入以下值作为默认值： • 用途和密钥用法：例如，tls 客户端/服务器。填写适合相应服务的x.509 v3 标准证书的 扩展项“keyusage”和“extendedkeyusage”。 • 证书颁发机构：对于本地 cpu特定的证书管理，只能使用自签名证书。 • 证书参数： – 证书持有者：例如，/tls。字符集受限，因而可满足 asn.1 的相关规范要求。 – 加密过程：例如，ec（椭圆曲线）、rsa。请注意，所选加密过程 ec 在输入时未针对 特定设备进行验证。 –加密参数：取决于加密过程。 – 哈希算法：用于对证书进行签名的算法。 –有效期：根据系统时间，在有效期的两个字段中，输入有效期的开始和结束时间。 – 证书持有者的备用名称 (san)：所用接口的 ip地址或 dns 名称。 可使用其它值覆盖默认值。 伙伴设备的证书对于伙伴设备的证书，可选择本地证书管理器的设备证书。无须相应的私钥即可使用设备证 书。此外，还可以选择其它 cpu 或 cp的证书，从而在项目中实现安全通信。其它 cpu 或 cp 的证书无须使用私钥即可加载至该 cpu中。对于可通过全局证书管理器获取的证书链，属于 cpu 或 cp 的证书链仍未中断，相应的证书颁发机构和中间证书仍会分配给 cpu 或cp。 删除伙伴设备证书表中的证书时，只会删除证书与全局证书管理器的链接。因此，该证书对设备不再可用，但仍保存在全局证书管理器中。需要时，如果从全局证书管理器中将该证书创建证书 (s7-1500) 简介可以为设备创建新证书。使用取消激活的全局安全证书管理器创建新证书时，相关证书仅适 用于此设备。独占式使用 cpu特定的本地证书管理器时，仅创建自签名证书。 此外，还可以使用 web 服务器或 opc ua 的 cpu 设置直接创建新证书。 在cpu 固件版本 v2.9 及以上版本 (s7-1500) 或 v4.5 及以上版本 (s7-1200) 中，plc 通信证书由系统预先选择并自动生成。 要求 设备必须通过证书管理器实现安全功能。这适用于固件版本为 v2.0 或更高版本的 s7-1500cpu。 在 cpu 固件版本 v2.9 及以上版本 (s7-1500) 或 v4.5 (s7-1200) 及以上版本中，保护机密组态数据的密码设置必须一致。 操作步骤 要创建新证书，请按以下步骤操作： 1. 在巡视窗口中，转至设备属性的“保护和安全 >证书管理器”(protection & security > certificate manager)。 2.单击证书表中的“添加”(add)。将在表中插入新行。3. 单击新行。将打开新证书选项。 4. 单击“添加”(add)按钮。相应对话框窗口随即打开，在此输入新证书的数据。 5. 显示如何对新证书进行签名： – 自签名：如果证书必须是自签名证书。 –由证书颁发机构 (ca) 进行签名：从下拉列表中选择证书颁发机构。仅适用于激活了 证书管理器的全局安全设置的情况。 6.输入证书的参数。 7. 如果单击“确定”(ok)，则会创建新证书并输入到表格中。 说明 自签名证书使用自签名证书时，虽然已对传输路径进行加密，但消息的接收方尚未确认所谓的发送方是否是真正的发送方。由证书颁发机构签名的消息会对接收方将发送方标识为“真正的”发送方。此时，可以为设备创建自签发证书，但仍需等待证书颁发机构对证书进行签名。通过项目树中的全局安全证书管理器，您可以在接收到证书颁发机构 (ca) 的“官方”证书后通过指定证书颁发机构的方式，更换临时使用的自签名证书或更新该证书。当然，也可将自签名 证书保留在项目中，并不使用“官方的”ca 证书。结果 已为设备创建新证书。在上述过程中，自动输入“tls”，作为用途。否则，如果在 web 服务 器的 cpu设置中使用“安全”区域，则会输入开始创建证书时使用的服务，例如“web 服务 器”。 证书 id 证书管理器中的每个证书都会接收到一个id。此 id 用于在下列情况下对证书进行标识： • opc ua 服务器证书 • 受信 opc ua 客户端的列表 • 受信 opcua 用户的列表 • web 服务器证书 • 安全 ouc 指令 • 用于 pg/hmi 间安全通信的 plc 通信证书 如果在tia portal 中创建或导入证书，则证书 id 由证书管理器分配。对特定系统数据类型（例 如，sdttcon_ip_v4_sec）唯一分配证书时，需要使用证书 id。证书 id 在项目中唯一，不 能更改。