西門子6AV2124-0QC24-0BX0鍵控

在程序編輯器中，創(chuàng)建一個 TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_QDN_SEC 數(shù)據(jù)
類型的變量進(jìn)行互連。
在以下示例中，TCON 指令的 CONNECT 參數(shù)已與變量“DNS connectionSEC"（數(shù)據(jù)
類型 TCON_QDN_SEC）互連。
圖 6-14 TCON 指令
更多信息
有關(guān) TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類型的更多信息，請參見 STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請參見“安全通信 (頁 40)"部分。
 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 105
6.11.2 S7- - 1500 CPU （作為 TLS 服務(wù)器）與外部 PLC C （ TLS 客戶端）之間的安全
OUC
在以下章節(jié)中，將介紹如何通過 TCP 建立 S7-1500 CPU（作為 TLS 服務(wù)器）與 TLS 客
戶端之間的開放式用戶通信。
通過通信伙伴的域名建立 TCP 安全連接。
S7-1500 CPU 固件版本 V2.0 及以上版本支持通過域名系統(tǒng) (DNS) 進(jìn)行尋址的安全通
信。
要通過域名進(jìn)行 TCP 安全通信，則需手動創(chuàng)建一個 TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類型的
數(shù)據(jù)塊，并分配參數(shù)，之后在 TSEND_C、TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)
塊。
要求：
● 在 CPU 中，設(shè)置當(dāng)前的日期和時間。
● 網(wǎng)絡(luò)中包含至少一臺 DNS 服務(wù)器。
● 已為 S7-1500 CPU 組態(tài)至少一臺 DNS 服務(wù)器。
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書。
開放式用戶通信

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機(jī)，西門子人機(jī)界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時，并且備有大量庫存.長期有效

數(shù)控系統(tǒng)、數(shù)控伺服驅(qū)動模塊、西門子樓宇系列、備品備件等：

6.11 開放式用戶安全通信
通信
106 功能手冊, 11/2019, A5E03735819-AH
要建立與 TLS 客戶端的安全 TCP 連接，請按以下步驟操作：
1. 在項目樹中，創(chuàng)建一個全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個 TCON_QDN_SEC 數(shù)據(jù)類型的變量。
在以下示例中，顯示了一個全局?jǐn)?shù)據(jù)塊“Data_block_1"。其中，定義了數(shù)據(jù)類型為
TCON_FDL_SEC 的變量“DNS ConnectionSEC"。
圖 6-15 TCON_QDN_SEC_Server
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“ID"中輸入 TCP
連接的本地 ID。
 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 107
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerReqClientCert"：TLS 客戶端需具有 X.509-V3 證書。
– “TLSServerCertRef"：自身 X.509-V3 證書的 ID。
圖 6-16 從作為 TLS 服務(wù)器的 S7-1500 的角度處理證書
– “TLSClientCertRef"：X.509-V3 證書（或 X.509-V3 證書組）的 ID，TLS 服務(wù)器使
用該 ID 驗證 TLS 客戶端的身份。如果該參數(shù)為 0，則 TLS 服務(wù)器將使用服務(wù)器證
書中心當(dāng)前加載的所有 (CA) 證書對客戶端的身份進(jìn)行驗證。
開放式用戶通信
6.11 開放式用戶安全通信
通信
108 功能手冊, 11/2019, A5E03735819-AH
5. 在程序編輯器中，創(chuàng)建一個 TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_QDN_SEC 數(shù)據(jù)
類型的變量進(jìn)行互連。
在以下示例中，TCON 指令的 CONNECT 參數(shù)已與變量“DNS connectionSEC"（數(shù)據(jù)
類型 TCON_QDN_SEC）互連。
圖 6-17 TCON 指令
更多信息
有關(guān) TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類型的更多信息，請參見 STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請參見“安全通信 (頁 40)"部分。
6.11.3 兩個 S7- - 1500 CPU 之間的安全 OUC
在以下章節(jié)中，介紹如何通過 TCP 在兩個 S7-1500 CPU 之間建立開放式用戶安全通
信。在此過程中，一個 S7-1500 CPU 用作 TLS 客戶端（主動建立連接）而另一個
S7-1500 CPU 則用作 TLS 服務(wù)器（被動建立連接）。
建立兩個 S7- -1 1 500 CPU 之間的安全 TCP 連接
要在兩個 S7-1500 CPU 之間建立 TCP 安全通信，則需為每個 CPU 手動創(chuàng)建
TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù)，之后在 TSEND_C、
TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。
 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 109
要求：
● 在 CPU 中，設(shè)置當(dāng)前的日期和時間。
● 兩個 S7-1500 CPU 的固件版本為 V2.0 及以上版本
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書。
圖 6-18 兩個 S7-1500 CPU 之間安全 OUC 的證書處理過程
開放式用戶通信
6.11 開放式用戶安全通信
通信
110 功能手冊, 11/2019, A5E03735819-AH
TLS 客戶端的設(shè)置
要在 TLS 客戶端中建立安全的 TCP 連接，請按以下步驟操作：
1. 在項目樹中，創(chuàng)建一個全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個數(shù)據(jù)類型為 TCON_IP_4_SEC 的變量。
以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1"，其中，定義了數(shù)據(jù)類型為
TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 客戶端"(SEC connection 1 TLS-Client)。
圖 6-19 IP_V4_SEC_Client
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress"
中輸入 TLS 服務(wù)器的 IPv4 地址。
說明
連接參數(shù)接口 ID
請注意，可為數(shù)據(jù)類型為 TCON_IP_V4_SEC 的接口 ID 輸入值“0 0"。此時，CPU 將自
行搜索適用的本地 CPU 接口。

西門子6AV2124-0QC24-0BX0鍵控

伺服電機(jī)等工控產(chǎn)品.

 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 111
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerCertRef"：輸入值“2"（引用 TIA Portal 項目 (SHA256) 的 CA 證書），
或輸入值“1"（引用 TIA Portal 項目 (SHA1) 的 CA 證書）。如果使用不同的 CA 證
書，則需在證書管理器的全局安全設(shè)置中輸入相應(yīng)的 ID。
– “TLSClientCertRef"：自身 X.509-V3 證書的 ID。
5. 在程序編輯器中，創(chuàng)建一個 TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)
據(jù)類型的變量進(jìn)行互連。
TLS 服務(wù)器的設(shè)置
要在 TLS 服務(wù)器中建立安全的 TCP 連接，請按以下步驟操作：
1. 在項目樹中，創(chuàng)建一個全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個數(shù)據(jù)類型為 TCON_IP_4_SEC 的變量。
以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1"，其中，定義了數(shù)據(jù)類型為
TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 服務(wù)器"(SEC connection 1 TLS-
Server)。
圖 6-20 IP_V4_SEC_Server
開放式用戶通信
6.11 開放式用戶安全通信
通信
112 功能手冊, 11/2019, A5E03735819-AH
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress"
中輸入 TLS 客戶端的 IPv4 地址。
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerReqClientCert"：TLS 客戶端需具有 X.509-V3 證書。輸入值“true"。
– “TLSServerCertRef"：自身 X.509-V3 證書的 ID。
– “TLSClientCertRef"：輸入值“2"（引用 TIA Portal 項目 (SHA256) 的 CA 證書），
或輸入值“1"（引用 TIA Portal 項目 (SHA1) 的 CA 證書）。如果使用不同的 CA 證
書，則需在證書管理器的全局安全設(shè)置中輸入相應(yīng)的 ID。
5. 在程序編輯器中，創(chuàng)建一個 TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)
據(jù)類型的變量進(jìn)行互連。
在以下示例中，TSEND_C 指令的 CONNECT 參數(shù)將與變量“SEC connection 1 TLS
client"（數(shù)據(jù)類型 TCON_IP_4_SEC）進(jìn)行互連。
圖 6-21 TSEND_C
更多信息
有關(guān) TCON_IP_4_SEC 系統(tǒng)數(shù)據(jù)類型的更多信息，請參見 STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請參見“安全通信 (頁 40)"部分。
 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 113
6.11.4 通過 CP 接口進(jìn)行安全 OUC 連接
在以下章節(jié)中，將介紹通過 CP 接口進(jìn)行開放式用戶安全通信時應(yīng)注意的特殊事項。至少
一個站為 S7-1500 站，并包含以下模塊：
● S7-1500 CPU 固件版本 V2.0 及以上版本（S7-1500 軟件控制器除外）
● CP 1543-1 固件版本 V2.0 及以上版本，或 CP 1543SP-1 V1.0 及以上版本
該 CP 在 S7-1500 站中將作為 TLS 客戶端（主動建立連接）或 TLS 服務(wù)器（被動建立連
接）。
通過 CP 接口進(jìn)行安全通信的基本操作步驟與概念，與通過 S7-1500 CPU 接口進(jìn)行安全
通信的類似。在此，必須將證書分配給作為 TLS 服務(wù)器或 TLS 客戶端的 CPU，而非其
它 CPU。因此，也可使用其他角色和操作步驟。在下文中，將對此進(jìn)行詳細(xì)介紹。
管理 CP 的證書
以下規(guī)則普遍適用：在入全局安全設(shè)置中，需登錄證書管理器。生成自簽名的證書時，需
登錄全局安全設(shè)置。需要具有足夠的用戶權(quán)限（管理員權(quán)限，或具有“安全組態(tài)"權(quán)限的“標(biāo)
準(zhǔn)"用戶）。
在 CP 中，可在“安全 > 安全屬性"(Security > Security properties) 部分生成或分配證書。
在此部分中，可登錄全局安全設(shè)置。
操作步驟：
1. 在 STEP 7 的網(wǎng)絡(luò)視圖中，選中該 CP 并在窗口中選擇“安全 > 安全屬
性"(Security > Security properties) 部分。
2. 單擊“用戶登錄"(User logon) 按鈕。
3. 使用用戶名和密碼進(jìn)行登錄。
4. 啟用“激活安全功能"(Activate security functions) 選項。
系統(tǒng)將初始化相應(yīng)的安全屬性。
5. 單擊“設(shè)備證書"(Device certificates) 表格的行，生成一個新的證書或選擇現(xiàn)有的設(shè)
備證書。

西門子6AV2124-0QC24-0BX0鍵控

西門子

6AV2124-0QC24-0BX0

鍵控

操作說明

6. 如果通信伙伴也是一個 S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或
該 S7-1500 CPU 一個設(shè)備證書。
開放式用戶通信
6.11 開放式用戶安全通信
通信
114 功能手冊, 11/2019, A5E03735819-AH
示例：通過 CP 接口，在兩個 S7- - 1500 CPU 之間建立 TCP 安全連接
要在兩個 S7-1500 CP 之間建立 TCP 安全通信，需為每個 CPU 手動創(chuàng)建
TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù)，之后在 TSEND_C、
TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。
要求：
● 這兩個 S7 1500 CPU 的固件版本為 V2.0 及以上版本如果使用 CP 1543SP-1：固件
V1.0 及以上版本。
● 這兩個 CP（如 CP 1543-1）的固件版本必須 V2.0 及以上版本
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書。
– 必須為該 CP 生成設(shè)備證書（實體證書）并存儲在該 CP 的證書存儲器中。如
果通信伙伴是一個外部設(shè)備（如，MES 或 ERP 系統(tǒng)），則需確保該設(shè)備上包含有
設(shè)備證書。
– 對通信伙伴設(shè)備證書進(jìn)行簽名的 root 證書（CA 證書）也必須位于該 CP 的證書存
儲器中，或位于外部設(shè)備的證書存儲器中。如果使用中間證書，則必須確保所驗證
設(shè)備中的證書路徑完整。設(shè)備將通過這些證書驗證通信伙伴的設(shè)備證書。
● 這些通信伙伴需通過 IPv4 地址進(jìn)行尋址，而不能通過域名進(jìn)行尋址。
下圖顯示了兩個通信伙伴通過 CP 1543-1 進(jìn)行通信時，設(shè)備中的不同證書。此外，在該
圖中還顯示了建立連接時設(shè)備證書的傳輸（“Hello"）。
圖 6-22 通過 CP 接口，在兩個 S7-1500 CPU 之間進(jìn)行 OUC 安全連接的證書處理操
作。
 開放式用戶通信
6.11 開放式用戶安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 115