西門子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

管理 CP 的證書

以下規(guī)則普遍適用：在入全局安全設置中，需登錄證書管理器。生成自簽名的證書時，需

登錄全局安全設置。需要具有足夠的用戶權限（管理員權限，或具有“安全組態(tài)”權限的“標

準”用戶）。

在 CP 中，可在“安全 > 安全屬性”(Security > Security properties) 部分生成或分配證書。西門子ET200S數(shù)字量輸出6ES7132-4BB01-0AB0

在此部分中，可登錄全局安全設置。

操作步驟：

1. 在 STEP 7 的網(wǎng)絡視圖中，選中該 CP 并在窗口中選擇“安全 > 安全屬

性”(Security > Security properties) 部分。

2. 單擊“用戶登錄”(User logon) 按鈕。

3. 使用用戶名和密碼進行登錄。

4. 啟用“激活安全功能”(Activate security functions) 選項。

系統(tǒng)將初始化相應的安全屬性。

5. 單擊“設備證書”(Device certificates) 表格的行，生成一個新的證書或選擇現(xiàn)有的設

備證書。

6. 如果通信伙伴也是一個 S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或

該 S7-1500 CPU 一個設備證書。

通過 CP 接口，在兩個 S7-1500 CPU 之間建立 TCP 安全連接

要在兩個 S7-1500 CP 之間建立 TCP 安全通信，需為每個 CPU 手動創(chuàng)建

TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，并分配相應參數(shù)，之后在 TSEND_C、

TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。

要求：

● 這兩個 S7 1500 CPU 的固件版本為 V2.0 及以上版本如果使用 CP 1543SP-1：固件

V1.0 及以上版本。

● 這兩個 CP（如 CP 1543-1）的固件版本必須 V2.0 及以上版本

● TLS 客戶端和 TLS 服務器具有所需的全部證書。

– 必須為該 CP 生成設備證書（終實體證書）并存儲在該 CP 的證書存儲器中。如

果通信伙伴是一個外部設備（如，MES 或 ERP 系統(tǒng)），則需確保該設備上包含有

設備證書。

– 對通信伙伴設備證書進行簽名的 root 證書（CA 證書）也必須位于該 CP 的證書存

儲器中，或位于外部設備的證書存儲器中。如果使用中間證書，則必須確保所驗證

設備中的證書路徑完整。設備將通過這些證書驗證通信伙伴的設備證書。

● 這些通信伙伴需通過 IPv4 地址進行尋址，而不能通過域名進行尋址。

下圖顯示了兩個通信伙伴通過 CP 1543-1 進行通信時，設備中的不同證書。此外，在該

圖中還顯示了建立連接時設備證書的傳輸（“Hello”）。