西門(mén)子寬屏顯示6AV21240XC240BX0觸摸屏

在程序編輯器中，創(chuàng)建一個(gè) TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_QDN_SEC 數(shù)據(jù)
類(lèi)型的變量進(jìn)行互連。
在以下示例中，TCON 指令的 CONNECT 參數(shù)已與變量“DNS connectionSEC"（數(shù)據(jù)
類(lèi)型 TCON_QDN_SEC）互連。
圖 6-14 TCON 指令
更多信息
有關(guān) TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的更多信息，請(qǐng)參見(jiàn) STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請(qǐng)參見(jiàn)“安全通信 (頁(yè) 40)"部分。
 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 105
6.11.2 S7- - 1500 CPU （作為 TLS 服務(wù)器）與外部 PLC C （ TLS 客戶端）之間的安全
OUC
在以下章節(jié)中，將介紹如何通過(guò) TCP 建立 S7-1500 CPU（作為 TLS 服務(wù)器）與 TLS 客
戶端之間的開(kāi)放式用戶通信。
通過(guò)通信伙伴的域名建立 TCP 安全連接。
S7-1500 CPU 固件版本 V2.0 及以上版本支持通過(guò)域名系統(tǒng) (DNS) 進(jìn)行尋址的安全通
信。
要通過(guò)域名進(jìn)行 TCP 安全通信，則需手動(dòng)創(chuàng)建一個(gè) TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的
數(shù)據(jù)塊，并分配參數(shù)，之后在 TSEND_C、TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)
塊。
要求：
● 在 CPU 中，設(shè)置當(dāng)前的日期和時(shí)間。
● 網(wǎng)絡(luò)中包含至少一臺(tái) DNS 服務(wù)器。
● 已為 S7-1500 CPU 組態(tài)至少一臺(tái) DNS 服務(wù)器。
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書(shū)。
開(kāi)放式用戶通信

本公司*銷(xiāo)售西門(mén)子PLC,200，300，400，1200，西門(mén)子PLC附件，西門(mén)子電機(jī)，西門(mén)子人機(jī)界面，西門(mén)子變頻器，西門(mén)子數(shù)控伺服，西門(mén)子總線電纜現(xiàn)貨供應(yīng)，*咨詢系列產(chǎn)品，折扣低，貨期準(zhǔn)時(shí)，并且備有大量庫(kù)存.長(zhǎng)期有效

S7-200CN、S7-200Smart、S7-300、S7-400、S7-1200、S7-1500、V20、V90、G120、G120C、S120。

6.11 開(kāi)放式用戶安全通信
通信
106 功能手冊(cè), 11/2019, A5E03735819-AH
要建立與 TLS 客戶端的安全 TCP 連接，請(qǐng)按以下步驟操作：
1. 在項(xiàng)目樹(shù)中，創(chuàng)建一個(gè)全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個(gè) TCON_QDN_SEC 數(shù)據(jù)類(lèi)型的變量。
在以下示例中，顯示了一個(gè)全局?jǐn)?shù)據(jù)塊“Data_block_1"。其中，定義了數(shù)據(jù)類(lèi)型為
TCON_FDL_SEC 的變量“DNS ConnectionSEC"。
圖 6-15 TCON_QDN_SEC_Server
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“ID"中輸入 TCP
連接的本地 ID。
 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 107
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時(shí)，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerReqClientCert"：TLS 客戶端需具有 X.509-V3 證書(shū)。
– “TLSServerCertRef"：自身 X.509-V3 證書(shū)的 ID。
圖 6-16 從作為 TLS 服務(wù)器的 S7-1500 的角度處理證書(shū)
– “TLSClientCertRef"：X.509-V3 證書(shū)（或 X.509-V3 證書(shū)組）的 ID，TLS 服務(wù)器使
用該 ID 驗(yàn)證 TLS 客戶端的身份。如果該參數(shù)為 0，則 TLS 服務(wù)器將使用服務(wù)器證
書(shū)中心當(dāng)前加載的所有 (CA) 證書(shū)對(duì)客戶端的身份進(jìn)行驗(yàn)證。
開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
108 功能手冊(cè), 11/2019, A5E03735819-AH
5. 在程序編輯器中，創(chuàng)建一個(gè) TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_QDN_SEC 數(shù)據(jù)
類(lèi)型的變量進(jìn)行互連。
在以下示例中，TCON 指令的 CONNECT 參數(shù)已與變量“DNS connectionSEC"（數(shù)據(jù)
類(lèi)型 TCON_QDN_SEC）互連。
圖 6-17 TCON 指令
更多信息
有關(guān) TCON_QDN_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的更多信息，請(qǐng)參見(jiàn) STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請(qǐng)參見(jiàn)“安全通信 (頁(yè) 40)"部分。
6.11.3 兩個(gè) S7- - 1500 CPU 之間的安全 OUC
在以下章節(jié)中，介紹如何通過(guò) TCP 在兩個(gè) S7-1500 CPU 之間建立開(kāi)放式用戶安全通
信。在此過(guò)程中，一個(gè) S7-1500 CPU 用作 TLS 客戶端（主動(dòng)建立連接）而另一個(gè)
S7-1500 CPU 則用作 TLS 服務(wù)器（被動(dòng)建立連接）。
建立兩個(gè) S7- -1 1 500 CPU 之間的安全 TCP 連接
要在兩個(gè) S7-1500 CPU 之間建立 TCP 安全通信，則需為每個(gè) CPU 手動(dòng)創(chuàng)建
TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù)，之后在 TSEND_C、
TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。
 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 109
要求：
● 在 CPU 中，設(shè)置當(dāng)前的日期和時(shí)間。
● 兩個(gè) S7-1500 CPU 的固件版本為 V2.0 及以上版本
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書(shū)。
圖 6-18 兩個(gè) S7-1500 CPU 之間安全 OUC 的證書(shū)處理過(guò)程
開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
110 功能手冊(cè), 11/2019, A5E03735819-AH
TLS 客戶端的設(shè)置
要在 TLS 客戶端中建立安全的 TCP 連接，請(qǐng)按以下步驟操作：
1. 在項(xiàng)目樹(shù)中，創(chuàng)建一個(gè)全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個(gè)數(shù)據(jù)類(lèi)型為 TCON_IP_4_SEC 的變量。
以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1"，其中，定義了數(shù)據(jù)類(lèi)型為
TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 客戶端"(SEC connection 1 TLS-Client)。
圖 6-19 IP_V4_SEC_Client
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress"
中輸入 TLS 服務(wù)器的 IPv4 地址。
說(shuō)明
連接參數(shù)接口 ID
請(qǐng)注意，可為數(shù)據(jù)類(lèi)型為 TCON_IP_V4_SEC 的接口 ID 輸入值“0 0"。此時(shí)，CPU 將自
行搜索適用的本地 CPU 接口。

西門(mén)子寬屏顯示6AV21240XC240BX0觸摸屏

電線電纜,

 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 111
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時(shí)，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerCertRef"：輸入值“2"（引用 TIA Portal 項(xiàng)目 (SHA256) 的 CA 證書(shū)），
或輸入值“1"（引用 TIA Portal 項(xiàng)目 (SHA1) 的 CA 證書(shū)）。如果使用不同的 CA 證
書(shū)，則需在證書(shū)管理器的全局安全設(shè)置中輸入相應(yīng)的 ID。
– “TLSClientCertRef"：自身 X.509-V3 證書(shū)的 ID。
5. 在程序編輯器中，創(chuàng)建一個(gè) TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)
據(jù)類(lèi)型的變量進(jìn)行互連。
TLS 服務(wù)器的設(shè)置
要在 TLS 服務(wù)器中建立安全的 TCP 連接，請(qǐng)按以下步驟操作：
1. 在項(xiàng)目樹(shù)中，創(chuàng)建一個(gè)全局?jǐn)?shù)據(jù)塊。
2. 在該全局?jǐn)?shù)據(jù)塊中，定義一個(gè)數(shù)據(jù)類(lèi)型為 TCON_IP_4_SEC 的變量。
以下示例中顯示了全局?jǐn)?shù)據(jù)塊“Data_block_1"，其中，定義了數(shù)據(jù)類(lèi)型為
TCON_IP_V4_SEC 的變量“SEC 連接 1 TLS 服務(wù)器"(SEC connection 1 TLS-
Server)。
圖 6-20 IP_V4_SEC_Server
開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
112 功能手冊(cè), 11/2019, A5E03735819-AH
3. 在“起始值"(Start value) 列中，設(shè)置 TCP 連接的連接參數(shù)。例如，在“RemoteAddress"
中輸入 TLS 客戶端的 IPv4 地址。
4. 在“起始值"(Start value) 列中，設(shè)置安全通信的參數(shù)。
– “ActivateSecureConn"：激活該連接的安全通信。如果該參數(shù)的值為 FALSE，則忽
略后面的安全參數(shù)。此時(shí)，可建立非安全的 TCP 或 UDP 連接。
– “TLSServerReqClientCert"：TLS 客戶端需具有 X.509-V3 證書(shū)。輸入值“true"。
– “TLSServerCertRef"：自身 X.509-V3 證書(shū)的 ID。
– “TLSClientCertRef"：輸入值“2"（引用 TIA Portal 項(xiàng)目 (SHA256) 的 CA 證書(shū)），
或輸入值“1"（引用 TIA Portal 項(xiàng)目 (SHA1) 的 CA 證書(shū)）。如果使用不同的 CA 證
書(shū)，則需在證書(shū)管理器的全局安全設(shè)置中輸入相應(yīng)的 ID。
5. 在程序編輯器中，創(chuàng)建一個(gè) TSEND_C、TRCV_C 或 TCON 指令。
6. 將 TSEND_C、TRCV_C 或 TCON 指令的 CONNECT 參數(shù)與 TCON_IP_V4_SEC 數(shù)
據(jù)類(lèi)型的變量進(jìn)行互連。
在以下示例中，TSEND_C 指令的 CONNECT 參數(shù)將與變量“SEC connection 1 TLS
client"（數(shù)據(jù)類(lèi)型 TCON_IP_4_SEC）進(jìn)行互連。
圖 6-21 TSEND_C
更多信息
有關(guān) TCON_IP_4_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的更多信息，請(qǐng)參見(jiàn) STEP 7 在線幫助。
有關(guān)安全通信的更多信息，請(qǐng)參見(jiàn)“安全通信 (頁(yè) 40)"部分。
 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 113
6.11.4 通過(guò) CP 接口進(jìn)行安全 OUC 連接
在以下章節(jié)中，將介紹通過(guò) CP 接口進(jìn)行開(kāi)放式用戶安全通信時(shí)應(yīng)注意的特殊事項(xiàng)。至少
一個(gè)站為 S7-1500 站，并包含以下模塊：
● S7-1500 CPU 固件版本 V2.0 及以上版本（S7-1500 軟件控制器除外）
● CP 1543-1 固件版本 V2.0 及以上版本，或 CP 1543SP-1 V1.0 及以上版本
該 CP 在 S7-1500 站中將作為 TLS 客戶端（主動(dòng)建立連接）或 TLS 服務(wù)器（被動(dòng)建立連
接）。
通過(guò) CP 接口進(jìn)行安全通信的基本操作步驟與概念，與通過(guò) S7-1500 CPU 接口進(jìn)行安全
通信的類(lèi)似。在此，必須將證書(shū)分配給作為 TLS 服務(wù)器或 TLS 客戶端的 CPU，而非其
它 CPU。因此，也可使用其他角色和操作步驟。在下文中，將對(duì)此進(jìn)行詳細(xì)介紹。
管理 CP 的證書(shū)
以下規(guī)則普遍適用：在入全局安全設(shè)置中，需登錄證書(shū)管理器。生成自簽名的證書(shū)時(shí)，需
登錄全局安全設(shè)置。需要具有足夠的用戶權(quán)限（管理員權(quán)限，或具有“安全組態(tài)"權(quán)限的“標(biāo)
準(zhǔn)"用戶）。
在 CP 中，可在“安全 > 安全屬性"(Security > Security properties) 部分生成或分配證書(shū)。
在此部分中，可登錄全局安全設(shè)置。
操作步驟：
1. 在 STEP 7 的網(wǎng)絡(luò)視圖中，選中該 CP 并在窗口中選擇“安全 > 安全屬
性"(Security > Security properties) 部分。
2. 單擊“用戶登錄"(User logon) 按鈕。
3. 使用用戶名和密碼進(jìn)行登錄。
4. 啟用“激活安全功能"(Activate security functions) 選項(xiàng)。
系統(tǒng)將初始化相應(yīng)的安全屬性。
5. 單擊“設(shè)備證書(shū)"(Device certificates) 表格的行，生成一個(gè)新的證書(shū)或選擇現(xiàn)有的設(shè)
備證書(shū)。

西門(mén)子寬屏顯示6AV21240XC240BX0觸摸屏

西門(mén)子寬屏顯示

6AV21240XC240BX0

觸摸屏

技術(shù)數(shù)據(jù)

6. 如果通信伙伴也是一個(gè) S7-1500 站，則需按照上述操作，使用 STEP 7 為通信伙伴或
該 S7-1500 CPU 一個(gè)設(shè)備證書(shū)。
開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
114 功能手冊(cè), 11/2019, A5E03735819-AH
示例：通過(guò) CP 接口，在兩個(gè) S7- - 1500 CPU 之間建立 TCP 安全連接
要在兩個(gè) S7-1500 CP 之間建立 TCP 安全通信，需為每個(gè) CPU 手動(dòng)創(chuàng)建
TCON_IP_V4_SEC 系統(tǒng)數(shù)據(jù)類(lèi)型的數(shù)據(jù)塊，并分配相應(yīng)參數(shù)，之后在 TSEND_C、
TRCV_C 或 TCON 指令中直接調(diào)用該數(shù)據(jù)塊。
要求：
● 這兩個(gè) S7 1500 CPU 的固件版本為 V2.0 及以上版本如果使用 CP 1543SP-1：固件
V1.0 及以上版本。
● 這兩個(gè) CP（如 CP 1543-1）的固件版本必須 V2.0 及以上版本
● TLS 客戶端和 TLS 服務(wù)器具有所需的全部證書(shū)。
– 必須為該 CP 生成設(shè)備證書(shū)（實(shí)體證書(shū)）并存儲(chǔ)在該 CP 的證書(shū)存儲(chǔ)器中。如
果通信伙伴是一個(gè)外部設(shè)備（如，MES 或 ERP 系統(tǒng)），則需確保該設(shè)備上包含有
設(shè)備證書(shū)。
– 對(duì)通信伙伴設(shè)備證書(shū)進(jìn)行簽名的 root 證書(shū)（CA 證書(shū)）也必須位于該 CP 的證書(shū)存
儲(chǔ)器中，或位于外部設(shè)備的證書(shū)存儲(chǔ)器中。如果使用中間證書(shū)，則必須確保所驗(yàn)證
設(shè)備中的證書(shū)路徑完整。設(shè)備將通過(guò)這些證書(shū)驗(yàn)證通信伙伴的設(shè)備證書(shū)。
● 這些通信伙伴需通過(guò) IPv4 地址進(jìn)行尋址，而不能通過(guò)域名進(jìn)行尋址。
下圖顯示了兩個(gè)通信伙伴通過(guò) CP 1543-1 進(jìn)行通信時(shí)，設(shè)備中的不同證書(shū)。此外，在該
圖中還顯示了建立連接時(shí)設(shè)備證書(shū)的傳輸（“Hello"）。
圖 6-22 通過(guò) CP 接口，在兩個(gè) S7-1500 CPU 之間進(jìn)行 OUC 安全連接的證書(shū)處理操
作。
 開(kāi)放式用戶通信
6.11 開(kāi)放式用戶安全通信
通信
功能手冊(cè), 11/2019, A5E03735819-AH 115