通過 CP 接口進行安全 OUC 連接

時間：2021-07-23作者：上海騰希電氣技術(shù)有限公司瀏覽：215

通過 CP 接口進行安全 OUC 連接



在以下章節(jié)中，將介紹通過 CP 接口進行開放式用戶安全通信時應(yīng)注意的特殊事項。至少一個站為 S7-1500 站，并包含以下模塊：

S7-1500 CPU 固件版本 V2.0 及較高版本（除 S7-1500 軟件控制器以外）

CP

- CP 1543-1 固件版本 V2.0 及較高版本

- CP 1545-1 ab V1.0

- CP 1543SP-1 固件版本 V1.0 及較高版本

在 S7-1500 站中，CP 充當 TLS 客戶端（活動連接設(shè)置）或 TLS 服務(wù)器（被動連接建立）。

通過 CP 接口進行安全通信的基本操作步驟與概念，與通過 S7-1500 CPU 接口進行安全通信的類似。在此，必須將證書分配給作為 TLS 服務(wù)器或 TLS 客戶端的 CPU，而非其它 CPU。因此，也可使用其他角色和操作步驟。在下文中，將對此進行詳細介紹。

管理 CP 的證書

以下規(guī)則普遍適用：在入全局安全設(shè)置中，需登錄證書管理器。生成自簽名的證書時，需登錄全局安全設(shè)置。需要具有足夠的用戶權(quán)限（管理員權(quán)限，或具有“安全組態(tài)”權(quán)限的“標準”用戶）。

在 CP 中，可在“安全 > 安全屬性”(Security > Security properties) 部分生成或分配證書。在此部分中，可登錄全局安全設(shè)置。

操作步驟：

在 STEP 7 的網(wǎng)絡(luò)視圖中，選中該 CP 并在巡視窗口中選擇“安全 > 安全屬性”(Security > Security properties) 部分。

單擊“用戶登錄”(User logon) 按鈕。

使用用戶名和密碼進行登錄。

啟用“激活安全功能”(Activate security functions) 選項。

系統(tǒng)將初始化相應(yīng)的安全屬性。

單擊“設(shè)備證書”(Device certificates) 表格的**行，生成一個新的證書或選擇現(xiàn)有的設(shè)備證書。

如果通信伙伴也是一個 S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或為該 S7-1500 CPU 分配一個設(shè)備證書。

示例：通過 CP 接口，在兩個 S7 1500 CPU 之間建立一個 TCP 安全連接

要在兩個 S7?1500 CP 之間實現(xiàn)安全 TCP 安全，需要在每個 CPU 中創(chuàng)建一個 TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，然后對其進行組態(tài)并在指令中直接調(diào)用該數(shù)據(jù)塊。

要求：

兩個 S7 1500 CPU 均具有上述*固件版本之一。

CP 均具有上述*固件版本之一。

TLS 客戶端和 TLS 服務(wù)器具備所需的全部證書。

- 必須為該 CP 生成設(shè)備證書（較終實體證書）并存儲在該 CP 的證書存儲器中。如果通信伙伴是一個外部設(shè)備（如，MES 或 ERP 系統(tǒng)），則需確保該設(shè)備上包含有設(shè)備證書。

- 對通信伙伴設(shè)備證書進行簽名的 root 證書（CA 證書）也必須位于該 CP 的證書存儲器中，或位于外部設(shè)備的證書存儲器中。如果使用中間證書，則必須確保所驗證設(shè)備中的證書路徑完整。設(shè)備將通過這些證書驗證通信伙伴的設(shè)備證書。

這些通信伙伴需通過 IPv4 地址進行尋址，而不能通過域名進行尋址。

下圖顯示了在兩個通信伙伴通過一個 CP 進行通信的方案中，設(shè)備中的不同證書。此外，在該圖中還顯示了建立連接時設(shè)備證書的傳輸（“Hello”）。

TLS 客戶端的設(shè)置

如需在 TLS 客戶端建立 TCP 安全連接，請按照以下步驟操作：

在項目樹中，創(chuàng)建一個全局數(shù)據(jù)塊。

在該全局數(shù)據(jù)塊中，定義一個 TCON_IP_V4_SEC 數(shù)據(jù)類型的變量。為此，需在“數(shù)據(jù)類型”(Data type) 字段中輸入字符串“TCON_IP_V4_SEC”。

以下示例中顯示了全局數(shù)據(jù)塊“Data_block_1”，其中，定義了數(shù)據(jù)類型為 TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 客戶端”(SEC connection 1 TLS Client)。

該接口 ID 的值為本地 CP（TLS 客戶端）中 IE 接口的硬件標識符。




在“起始值”(Start value) 列設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress”中輸入 TLS 服務(wù)器的 IPv4 地址。

在“起始值”(Start value) 列設(shè)置安全通信的參數(shù)。

- “ActivateSecureConn”：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則將忽略后面的安全參數(shù)。此時，可建立一個非安全的 TCP 或 UDP 連接。

- “TLSServerCertRef”：輸入值“2”（引用 TIA Portal 項目 (SHA256) 的 CA 證書），或輸入值“1”（引用 TIA Portal 項目 (SHA1) 的 CA 證書）。

- “TLSClientCertRef”：自身 X.509-V3 證書的 ID。

在程序編輯器中，創(chuàng)建一個 TCON 指令。

將 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)據(jù)類型的變量進行互連。

TLS 服務(wù)器上的設(shè)置

要在 TLS 服務(wù)器中設(shè)置 TCP 安全連接，請執(zhí)行如下操作：

在項目樹中，創(chuàng)建一個全局數(shù)據(jù)塊。

在該全局數(shù)據(jù)塊中，定義一個 TCON_IP_V4_SEC 數(shù)據(jù)類型的變量。

以下示例中顯示了全局數(shù)據(jù)塊“Data_block_1”，其中定義了數(shù)據(jù)類型為 TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 服務(wù)器”(SEC connection 1 TLS Server)。

該接口 ID 的值為本地 CP（TLS 服務(wù)器）中 IE 接口的硬件標識符。







在“起始值”(Start value) 列設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress”中輸入 TLS 客戶端的 IPv4 地址。

在“起始值”(Start value) 列設(shè)置安全通信的參數(shù)。

- “ActivateSecureConn”：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則將忽略后面的安全參數(shù)。此時，可建立一個非安全的 TCP 或 UDP 連接。

- “TLSServerReqClientCert”：要求 TLS 客戶端提供 X.509-V3 證書。輸入值“true”。

- “TLSServerCertRef”：自身 X.509-V3 證書的 ID。

- “TLSClientCertRef”：輸入值 2（引用 TIA Portal 項目 (SHA256) 的 CA 證書），或輸入值 1（引用 TIA Portal 項目 (SHA1) 的 CA 證書）。

在程序編輯器中，創(chuàng)建一個 TCON 指令。

將 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)據(jù)類型的變量進行互連。

上傳設(shè)備作為新站

在將帶有證書的組態(tài)進而組態(tài)的開放式用戶安全通信作為新站上傳到 STEP 7 項目中時，與 CPU 的證書不同，CP 的證書不會上傳。在將設(shè)備下載為新站后，在 CP 的設(shè)備證書表格中不會包含更多證書。

上傳后，需再次對證書進行組態(tài)。否則，重新下載組態(tài)將導(dǎo)致 CP 之前存在的證書刪除，無法進行安全通信。

通過 CPU 和 CP 接口的 OUC 安全連接（操作相似）

連接資源：
OUC 和安全 OUC 之間無差別。編程的 OUC 安全連接將使用諸如 OUC 連接之類的連接資源，而不考慮與該站通信的 IE/PROFINET 接口。

連接診斷：
OUC 和 OUC 安全連接診斷之間無差別。

將帶有 OUC 安全連接的項目下載到 CPU 中：
如果還需下載證書，則只能 CPU STOP 模式下進行。
建議：下載到設(shè)備 > 硬件和軟件 (Load to device > Hardware and software)。原因：需確保帶有安全 OUC 的程序、硬件配置和證書一致。
證書隨硬件配置一同下載。因此，下載過程中需要停止 CPU 的運行。僅當所需的證書位于模塊中時，才能在 RUN 模式下重新下載使用其它 OUC 安全連接的塊。


上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說明

• 數(shù)據(jù)區(qū) 訪問 I/O 地址

  訪問 I/O 地址I/O 地址如果將模塊插入設(shè)備視圖中，其用戶數(shù)據(jù)將位于 S7-1500-CPU 的過程映像中（默認設(shè)置）。 在過程映像較新期間，CPU 會自動處理模塊和過程映像區(qū)之間的數(shù)據(jù)交換。如果希望程序直接訪問模塊（而不是使用過程映像），則為 I/O 地址附加后綴“:P”。然而，直接 I/O 訪問并不會提高 S7-1500 CPU 的性能。 必要時，可使用過程映像或過程映像分區(qū)尋址 I/O。

• Configuration procedure

  Configuration procedureProceed as follows to create a new project in the TIA Portal and add a SIMATIC Drive Controller:Creating a projectStart TIA Portal.Select the action "Start" > "Create new pro

• 1200 Web用戶頁面須知

  用戶頁面須知原理通過用戶頁面或用戶自定義 Web 頁面這一理念，可以使用 Web 瀏覽器訪問自由設(shè)計的 CPU Web 頁面。CPU 的 Web 服務(wù)器可提供該功能。*任何特殊工具即可實現(xiàn)用戶自定義 Web 頁面的設(shè)計并實現(xiàn)其功能。可以在布局中使用 CSS 來調(diào)整頁面，使用 JavaScript 提供動態(tài)內(nèi)容或使用任何框架制作 Web 頁面。Web 服務(wù)器處理的所有文件也被稱為“Web 應(yīng)用程序

• FB58**功能

  FB58 “TCONT_CP“與FB41“CONT_C”相比增加了如表1.所示的功能，本文將以表1.為引導(dǎo)，逐一描述表1. FB58 “TCONT_CP“與FB41“CONT_C”功能對比?FB41FB58過程I/O處理√增加PER_MODE設(shè)定值弱化-√積分保持√增加正/反向保持控制帶-√自整定-√參數(shù)裝載/保存/重載-√PWM-√無擾切換手動→自動√注：過程I/O已經(jīng)在**的文檔里描