西門子6AV2124-0QC24-0BX0操作面板

證書主體（即，密鑰持有者）的詳細信息。如，Common Name (CN) of Subject 。
● 各種屬性，如序列號和有效期等等
● 證書頒發(fā)機構 (CA) 的數(shù)字簽名，用于證實信息的正確性。
除此之外，還包含以下擴展詳細：
over TLS)，以確保 Web 瀏覽器地址欄中的證書同樣屬于該 URL 所的 Web 服務
器。
如何生成并驗證簽名
非對稱密鑰可用于證書的驗證：在“MyCert"證書示例中，介紹了具體的“簽名"與“驗證簽
名"過程。
生成簽名：

操作面板

操作說明

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應，*咨詢系列產(chǎn)品，折扣低，貨期準時，并且備有大量庫存.長期有效

4、HMI觸摸屏TD200 TD400C TP177,

1. “MyCert"證書的簽發(fā)者使用一個特定的哈希函數(shù)（例如，SHA-1，Secure Hash
Algorithm），根據(jù)證書數(shù)據(jù)生成一個哈希值。
該 HASH 值是一個長度固定的位串。HASH 值長度固定的優(yōu)勢在于，簽名的時間始終
相同。
2. 之后，證書的簽發(fā)者再使用由這種方式生成的 HASH 值和私鑰，生成一個數(shù)字簽名。
通常采用 RSA 簽名機制。
3. 數(shù)字簽名將保存在證書中。此時，證書已簽名。
通信服務
3.6 安全通信
通信
48 功能手冊, 11/2019, A5E03735819-AH
驗證一個簽名：
1. “MyCert"證書的認證方將獲得簽發(fā)者簽發(fā)的證書和公鑰。
2. 使用簽名時所用的哈希算法（例如，SHA-1），根據(jù)證書數(shù)據(jù)生成一個新的哈希值。
3. ，再將由證書簽發(fā)者公鑰確定的 HASH 值與簽名算法進行比較，對簽名進行檢
查。
4. 如果簽名通過檢查，則表示證書主體的身份以及完整性（即，證書內(nèi)容的可靠性和真
實性）均通過驗證。擁有該公鑰（即，證書頒發(fā)機構的證書）的任何人均可對該簽名
進行檢查，并確認該證書確實由該證書頒發(fā)機構簽發(fā)。
下圖顯示了 Alice 如何采用 Twent（代表證書頒發(fā)機構，CA）證書中的公鑰，驗證 Bob
的公鑰簽名。因此，在驗證時僅需檢查證書頒發(fā)機構所頒發(fā)證書的可用性。驗證會在 TLS
會話中自動執(zhí)行。
圖 3-10 使用證書頒發(fā)機構的證書公鑰對證書進行驗證
簽名消息
在上文中介紹的簽名與驗證機制，同樣使用 TLS 會話對消息進行簽名和驗證。
如果發(fā)送方基于一條消息生成一個哈希值并使用私鑰對該哈希值進行簽名，之后將其添加
到原始消息中，則消息接收方即可對消息的完整性進行檢查。接收方使用發(fā)送方的公鑰對
該 HASH 值進行解密，并將其與所收到消息中的 HASH 進行比較。如果這兩個值不同，
則表示該消息在傳送過程中被篡改。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 49
Root 證書的證書鏈
PKI 證書通常按層級進行組織：層級頂部由根證書構成。Root 證書并非由上一級證書頒
發(fā)機構簽名。Root 證書的證書主體與證書的簽發(fā)者相同。根證書享受信任。它們構
成了信任“點"，因此可作為接收方的可信證書。此類證書存儲在專門存儲受信證書的區(qū)
域。
基于該 PKI，Root 證書可用于對下級證書頒發(fā)機構頒發(fā)的證書（即，所謂的中間證書）
進行簽名。從而實現(xiàn)從 Root 根證書到中間證書信任關系的傳遞。由于中間證書可對諸如
Root 證書之類的證書進行簽名，因此這兩種證書均稱為“CA 證書"
這種證書簽名層級可通過多個中間證書進行延伸，直至層的實體證書。實體證書
即為待識別用戶的證書。
驗證過程則反向貫穿整個層級結構：綜上所述，先通過簽發(fā)者的公鑰確定證書簽發(fā)者并對
其簽名進行檢查，之后再沿著整條信任鏈確定上一級證書簽發(fā)者的證書，直至到達根證
書。
結論：無論組態(tài)何種安全通信類型，每臺設備中都必需包含一條到 Root 證書的中間證書
鏈（即證書路徑），對通信伙伴的層實體證書進行驗證。
3.6.4 使用 STEP 7 管理證書
STEP 7 V14 及更高版本與 S7-1500-CPU 固件版本 V2.0 及更高版本一同使用時，持
Internet PKI (RFC 5280)。因此 S7-1500 CPU 可與同樣支持 Internet PKI 的設備進行數(shù)
據(jù)通信。
如，可使用 X.509 證書驗證上文中所介紹的證書。
STEP 7 V14 及以上版本使用的 PKI 與 Internet PKI 相似。例如，證書吊銷列表 (CRL) 不
受支持。
通信服務
3.6 安全通信
通信
50 功能手冊, 11/2019, A5E03735819-AH
創(chuàng)建或分配證書
對于具有安全特性的設備（如，S7-1500 CPU 固件版本 V2.0 及以上版本），可在 STEP
7 中根據(jù)不同應用創(chuàng)建特定的證書。
在 CPU 窗口的以下區(qū)域內(nèi)，可創(chuàng)建新的證書或選擇現(xiàn)有的證書：
● “保護和安全 > 證書管理器"(Protection & Security > Certificate manager)- 用于生成和
分配所有類型的證書。生成證書時，將預設開放式用戶安全通信的 TLS 證書。
● “Web 服務器 > 安全"(Web server > Security) - 用于生成和分配 Web 服務器證書。
● “OPC UA > 服務器 > 安全"(OPC UA > Server > Security)- 用于生成和分配 OPC UA
證書。
圖 3-11 STEP 7 中 S7-1500 CPU 的安全設置
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 51
“ “ 保護與安全 > 證書管理器 "(Protection & Security > Certifica te manager) 區(qū)域的特性
在窗口中，只有該區(qū)域內(nèi)才能進行全局（即，項目級）和局部（即，設備特定）證書
管理器切換（選項“使用證書管理器的全局安全設置"(Use global security settings for
certificate manager)）。該選項確定了您是否有權訪問項目中的所有證書。
● 如果在全局安全設置中 未使用證書管理器，則只能訪問 CPU 的局部證書存儲器。例
如，無法訪問所導入的證書或 Root 證書。如果沒有這些證書，則可用功能將受到限
制。例如，只能生成自簽名證書。
● 如果在全局安全設置中使用證書管理器并以管理員身份登錄，則有權訪問全局（項目
級）證書存儲器。例如，可為 CPU 分配所導入的證書，也可創(chuàng)建由項目 CA（項目的
證書頒發(fā)機構）簽發(fā)與簽名的證書。
下圖顯示了在 CPU 的窗中激活“使用證書管理器的全局安全設置"(Use global security
settings for the certificate manager) 選項后，項目樹中的“全局安全設置"(Global security
settings) 顯示。
雙擊項目樹中全局安全設置下的“用戶登錄"(User login) 并進行登錄時，則將顯示“證書管
理器"(Certificate manager) 行。
雙擊“證書管理器"(Certificate manager) 行，則可訪問項目中的所有證書。這些證書分別
位于選項卡“CA"（證書頒發(fā)機構）、“設備證書"(Device certificates) 和“可信證書與 Root
證書頒發(fā)機構"(Trusted certificates and root certificate authorities) 內(nèi)。
通信服務
3.6 安全通信

西門子6AV2124-0QC24-0BX0操作面板

西門子

6AV2124-0QC24-0BX0

操作面板

操作說明

本公司*銷售西門子PLC,200，300，400，1200，西門子PLC附件，西門子電機，西門子人機界面，西門子變頻器，西門子數(shù)控伺服，西門子總線電纜現(xiàn)貨供應，*咨詢系列產(chǎn)品，折扣低，貨期準時，并且備有大量庫存.長期有效
通信
52 功能手冊, 11/2019, A5E03735819-AH
私鑰
生成設備證書和服務器證書（實體證書）時，STEP 7 將生成私鑰。私鑰的加密存儲
的位置，取決于證書管理器中是否使用全局安全設置：
● 如果使用全局安全設置，則私鑰將以加密形式存儲在全局（項目級）證書存儲器中。
● 如果未使用全局安全設置，則私鑰將以加密形式在局部（CPU 特定的）證書存儲器
中。
解密數(shù)據(jù)時所需的私鑰將顯示在全局安全設置中證書管理器中“設備證書"(Device
certificates) 選項卡的“私鑰"(Private key) 列中。
下載硬件配置時，同時會將設備證書、公鑰和私鑰下載到 CPU 中。
注意
“使用證書管理器的全局安全設置"(Use global security settings for certificate manager)
選項會影響之前所用的私鑰：如果創(chuàng)建證書時未使用證書管理器中的全局安全設置，而
且更改了使用該證書管理器的選項，則將導致私鑰丟失且證書 ID 發(fā)生變更。系統(tǒng)會發(fā)出
警告，提示您注意這種情況。因此，在開始組態(tài)項目時，需證書管理器選項。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 53
3.6.5 證書管理示例。
如前文所述，每種類型的安全通信都需要使用證書。在以下章節(jié)中，將舉例說明如何通過
STEP 7 進行證書管理，以滿足開放式用戶安全通信的要求。
不同通信伙伴所用的設備往往不同。為各個通信伙伴提供所需證書的相應操作步驟也各不
相同。通常需使用 S7-1500 CPU 或 S7-1500 軟件控制器，固件版本 V2.0 及以上版本。
基本規(guī)則為：
建立安全連接（“握手"）時，通信伙伴通常僅傳送實體證書（設備證書）。
因此，驗證已傳送設備證書所需的 CA 證書必須位于相應通信伙伴的證書存儲器中。
兩個 S7- - 1500 CPU 之間安全的開放式用戶通信
兩個 S7-1500 CPU（PLC_1 和 PLC_2）之間通過開放式用戶安全通信進行數(shù)據(jù)交換。
使用 STEP 7 生成所需的設備證書，然后將其分配給 CPU，如下所述。
STEP 7 項目證書頒發(fā)機構（項目的 CA）用于對設備證書進行簽名。
在用戶程序中根據(jù)證書 ID 對證書進行引用（TCON 通信指令組合相關的系統(tǒng)數(shù)據(jù)類型，
例如 TCON_IPV4_SEC）。在生成或創(chuàng)建證書時，STEP 7 將自動分配證書 ID。
操作步驟
STEP 7 自動將所需的 CA 證書與硬件配置一同加載到通信伙伴的 CPU 中，確保兩個
CPU 中滿足證書驗證需求。因此，用戶只需生成相應 CPU 的設備證書，其余操作將由
STEP 7 完成。
1. 在“保護和安全"(Protection & Security) 區(qū)域中，標記 PLC_1 并激活“使用證書管理器
的全局安全設置"(Use global security settings for certificate manager) 選項。
2. 在項目樹的“全局安全設置"(Global security settings) 區(qū)域中，以 user 身份進行登錄。
對于新項目，登錄時的身份為“Administrator"。
通信服務
3.6 安全通信
通信
54 功能手冊, 11/2019, A5E03735819-AH
3. 返回“保護與安全"(Protection & Security) 區(qū)域的 PLC-1 中。在“設備證書"(Device
certificates) 表格中，單擊“證書主體"(Certificate subject) 列的一個空行，添加新的證
書。
4. 在下拉列表中，選擇一個證書并單擊“添加"(Add) 按鈕。
“創(chuàng)建證書"(Create Certificate) 對話框隨即打開。
5. 保留該對話框中的默認設置。這些設置于開放式用戶安全通信（用途：TLS）。
提示：補充證書主體的默認名稱（此時，為 CPU 名稱。為了便于區(qū)分，需管理大量設
備證書時，建議保留系統(tǒng)默認的 CPU 名稱。
示例：PLC_1/TLS 變?yōu)?PLC_1-SecOUC-Chassis17FactoryState。
6. 編譯組態(tài)。
設備證書和 CA 證書是組態(tài)的一部分。
7. 對于 PLC_2，重復以上操作步驟。
在下一個操作步驟中，需創(chuàng)建用戶程序進行數(shù)據(jù)交換，并加載組態(tài)和該程序。
使用自簽名證書而非 CA 證書
創(chuàng)建設備證書時，可選擇“自簽名"(Self-signed) 選項。即使在未登錄，也可創(chuàng)建自簽名證
書進行全局安全設置。但不建議執(zhí)行該操作。這是因為，采用這種方式創(chuàng)建的證書不會保
存在全局證書存儲器中，也無法直接分配給伙伴 CPU。
如上文所述，選擇證書的主體名稱時需小心謹慎，以確保為設備的證書正確無誤。
對于自簽名證書，無法通過 STEP 7 項目的 CA 證書進行驗證。要確保自簽名證書可通過
驗證，需要將通信伙伴的自簽名證書加入每個 CPU 的可信伙伴設備列表中。為此，必須
激活選項“使用證書管理器的全局安全設置"(Use global security settings for certificate
manager)，并以 user 身份登錄全局安全設置。

西門子6AV2124-0QC24-0BX0操作面板

西門子

6AV2124-0QC24-0BX0

操作面板

操作說明

要將通信伙伴的自簽名證書添加到 CPU 中，請按以下步驟操作：
1. 選擇 PLC_1，并導航到“保護與安全"(Protection & Security) 區(qū)域中的“伙伴設備證
書"(Certificates of partner devices) 表格處。
2. 在“設備證書"(Device certificates) 表格中，單擊“證書主體"(Certificate subject) 列的一
個空行，添加新的證書。
3. 在下拉列表中選擇該通信伙伴的自簽名證書，并進行確認。
在下一個操作步驟中，需創(chuàng)建用戶程序進行數(shù)據(jù)交換，并加載組態(tài)和該程序。
 通信服務
3.6 安全通信
通信
功能手冊, 11/2019, A5E03735819-AH 55
S7- - 1500 CPU （作為 TLS 客戶端）與外部設備（作為 TLS 服務器）之間的開放式用戶安全通信
兩個設備將通過 TLS 連接或 TLS 會話進行數(shù)據(jù)交換（如，配方、生產(chǎn)數(shù)據(jù)或質(zhì)量數(shù)
據(jù)）：
● S7-1500 CPU (PLC_1) 作為 TLS 客戶端；該 CPU 采用開放式用戶安全通信
● 外部設備（如，制造執(zhí)行系統(tǒng) (MES)）作為 TLS 服務器
S7-1500 CPU 作為 TLS 客戶端，與 MES 系統(tǒng)建立 TLS 連接/會話。
① TLS 客戶端
② TLS 服務器
驗證 TLS 服務器時，S7-1500 CPU 需要具有 MES 系統(tǒng)的 CA 證書：用于驗證證書路徑
的 Root 證書和中間證書（如果適用）。
需要將這些證書導入 S7-1500 CPU 的全局證書存儲器中。
要導入通信伙伴的證書，請按照以下步驟進行操作：
1. 打開項目樹中全局安全設置下的證書管理器。
2. 選擇待導入證書的相應表格（可信證書和 Root 證書頒發(fā)機構）。