西門子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

管理 CP 的證書

以下規(guī)則普遍適用：在入全局安全設(shè)置中,，需登錄證書管理器,。生成自簽名的證書時(shí)，需

登錄全局安全設(shè)置,。需要具有足夠的用戶權(quán)限（管理員權(quán)限,，或具有“安全組態(tài)”權(quán)限的“標(biāo)

準(zhǔn)”用戶）。

在 CP 中,，可在“安全 > 安全屬性”(Security > Security properties) 部分生成或分配證書,。西門子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

在此部分中，可登錄全局安全設(shè)置,。

操作步驟：

1. 在 STEP 7 的網(wǎng)絡(luò)視圖中,，選中該 CP 并在窗口中選擇“安全 > 安全屬

性”(Security > Security properties) 部分。

2. 單擊“用戶登錄”(User logon) 按鈕,。

3. 使用用戶名和密碼進(jìn)行登錄,。

4. 啟用“激活安全功能”(Activate security functions) 選項(xiàng)。

系統(tǒng)將初始化相應(yīng)的安全屬性,。

5. 單擊“設(shè)備證書”(Device certificates) 表格的行,，生成一個(gè)新的證書或選擇現(xiàn)有的設(shè)

備證書。

6. 如果通信伙伴也是一個(gè) S7-1500 站,，則需按照上述操作,，使用 STEP 7 為通信伙伴或

該 S7-1500 CPU 一個(gè)設(shè)備證書。

通過 CP 接口,，在兩個(gè) S7-1500 CPU 之間建立 TCP 安全連接

要在兩個(gè) S7-1500 CP 之間建立 TCP 安全通信,，需為每個(gè) CPU 手動創(chuàng)建

TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù),，之后在 TSEND_C,、

TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。

要求：

● 這兩個(gè) S7 1500 CPU 的固件版本為 V2.0 及以上版本如果使用 CP 1543SP-1：固件

V1.0 及以上版本,。

● 這兩個(gè) CP（如 CP 1543-1）的固件版本必須 V2.0 及以上版本

● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書,。

– 必須為該 CP 生成設(shè)備證書（終實(shí)體證書）并存儲在該 CP 的證書存儲器中。如

果通信伙伴是一個(gè)外部設(shè)備（如,，MES 或 ERP 系統(tǒng)）,，則需確保該設(shè)備上包含有

設(shè)備證書。

– 對通信伙伴設(shè)備證書進(jìn)行簽名的 root 證書（CA 證書）也必須位于該 CP 的證書存

儲器中,，或位于外部設(shè)備的證書存儲器中,。如果使用中間證書，則必須確保所驗(yàn)證

設(shè)備中的證書路徑完整,。設(shè)備將通過這些證書驗(yàn)證通信伙伴的設(shè)備證書,。

● 這些通信伙伴需通過 IPv4 地址進(jìn)行尋址，而不能通過域名進(jìn)行尋址,。

下圖顯示了兩個(gè)通信伙伴通過 CP 1543-1 進(jìn)行通信時(shí),，設(shè)備中的不同證書,。此外，在該

圖中還顯示了建立連接時(shí)設(shè)備證書的傳輸（“Hello”）,。