供應西門子IM151-3PN標準型模塊

S7-1500 CPU（固件版本 V2.0 及以上版本）中 Web 服務器證書的應用

對于固件版本 V2.0 及以下版本的 S7-1500 CPU，設置 Web 服務器屬性時，如果無特殊

要求，需設置為“只允許通過 HTTPS 訪問”(Permit access only with HTTPS)。

對于此類 CPU，無需進行證書處理；CPU 將自動為 Web 服務器生成所需證書。

對于固件版本 V2.0 及更高版本的 S7-1500 CPU，STEP 7 會為 CPU 生成服務器證書

（終實體證書）。在 CPU 的屬性中為 Web 服務器分配服務器證書（“Web 服務器 > 安供應西門子IM151-3PN標準型模塊

全”(Web server > Security)）。

由于服務器證書名稱通常為系統預設，因此無需任何更改即可輕松完成 Web 服務器的組

態：如果激活 Web 服務器，將默認啟用“僅允許 HTTPS 訪問”(Permit access only with

HTTPS) 選項，則 STEP 7 將在編譯過程中使用默認名稱生成一個服務器證書。

無論您是否在全局安全設置中使用證書管理器：STEP 7 中包含生成服務器證書所需的全

部信息。

此外，還需確定服務器證書的相關特性。如，名稱或有效期等。

加載 Web 服務器證書

加載硬件配置時，系統將自動加載 STEP 7 生成的服務器證書。

● 如果在全局安全設置中使用證書管理器，則項目的證書頒發機構（CA 證書）對 Web

服務器的服務器證書進行簽名。在加載過程中，項目的 CA 證書也將自動加載。

● 如果未在全局安全設置中使用證書管理器，則 STEP 7 會生成服務器證書作為自簽名

證書。

通過 CPU 的 IP 地址對 CPU 的 Web 服務器進行尋址時，每次 CPU 中以太網接口的 IP

地址發生更改時，都必須生成新的服務器證書并加載（終實體證書）。這是由于 CPU

的身份隨 IP 地址一同更改。根據 PKI 規則，該身份必須進行簽名。

如果使用域名而非 IP 地址對 CPU 進

行尋址，則可避免這一問題。為此，需通過 DNS 服務器對該 CPU 的域名進行管理。

為 Web 瀏覽器提供一份 Web 服務器的 CA 證書

在 Web 瀏覽器中，通過 HTTPS 訪問 CPU 網站時，需安裝該 CPU 的 CA 證書。如果未

安裝證書，則將顯示一條警告消息，不建議訪問該頁面。要查看該頁面，需顯式“添加例

外情況”。