西門(mén)子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

管理 CP 的證書(shū)

以下規(guī)則普遍適用：在入全局安全設(shè)置中，需登錄證書(shū)管理器。生成自簽名的證書(shū)時(shí)，需

登錄全局安全設(shè)置。需要具有足夠的用戶權(quán)限（管理員權(quán)限，或具有“安全組態(tài)”權(quán)限的“標(biāo)

準(zhǔn)”用戶）。

在 CP 中，可在“安全 > 安全屬性”(Security > Security properties) 部分生成或分配證書(shū)。西門(mén)子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

在此部分中，可登錄全局安全設(shè)置。

操作步驟：

1. 在 STEP 7 的網(wǎng)絡(luò)視圖中，選中該 CP 并在窗口中選擇“安全 > 安全屬

性”(Security > Security properties) 部分。

2. 單擊“用戶登錄”(User logon) 按鈕。

3. 使用用戶名和密碼進(jìn)行登錄。

4. 啟用“激活安全功能”(Activate security functions) 選項(xiàng)。

系統(tǒng)將初始化相應(yīng)的安全屬性。

5. 單擊“設(shè)備證書(shū)”(Device certificates) 表格的行，生成一個(gè)新的證書(shū)或選擇現(xiàn)有的設(shè)

備證書(shū)。

6. 如果通信伙伴也是一個(gè) S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或

該 S7-1500 CPU 一個(gè)設(shè)備證書(shū)。

通過(guò) CP 接口，在兩個(gè) S7-1500 CPU 之間建立 TCP 安全連接

要在兩個(gè) S7-1500 CP 之間建立 TCP 安全通信，需為每個(gè) CPU 手動(dòng)創(chuàng)建

TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù)，之后在 TSEND_C、

TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。

要求：

● 這兩個(gè) S7 1500 CPU 的固件版本為 V2.0 及以上版本如果使用 CP 1543SP-1：固件

V1.0 及以上版本。

● 這兩個(gè) CP（如 CP 1543-1）的固件版本必須 V2.0 及以上版本

● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書(shū)。

– 必須為該 CP 生成設(shè)備證書(shū)（終實(shí)體證書(shū)）并存儲(chǔ)在該 CP 的證書(shū)存儲(chǔ)器中。如

果通信伙伴是一個(gè)外部設(shè)備（如，MES 或 ERP 系統(tǒng)），則需確保該設(shè)備上包含有

設(shè)備證書(shū)。

– 對(duì)通信伙伴設(shè)備證書(shū)進(jìn)行簽名的 root 證書(shū)（CA 證書(shū)）也必須位于該 CP 的證書(shū)存

儲(chǔ)器中，或位于外部設(shè)備的證書(shū)存儲(chǔ)器中。如果使用中間證書(shū)，則必須確保所驗(yàn)證

設(shè)備中的證書(shū)路徑完整。設(shè)備將通過(guò)這些證書(shū)驗(yàn)證通信伙伴的設(shè)備證書(shū)。

● 這些通信伙伴需通過(guò) IPv4 地址進(jìn)行尋址，而不能通過(guò)域名進(jìn)行尋址。

下圖顯示了兩個(gè)通信伙伴通過(guò) CP 1543-1 進(jìn)行通信時(shí)，設(shè)備中的不同證書(shū)。此外，在該

圖中還顯示了建立連接時(shí)設(shè)備證書(shū)的傳輸（“Hello”）。