西门子6AV2124-0QC24-0BX0操作面板

西门子6AV2124-0QC24-0BX0操作面板

证书主体（即，密钥持有者）的详细信息。如，Common Name (CN) of Subject 。
● 各种属性，如序列号和有效期等等
● 证书颁发机构 (CA) 的数字签名，用于证实信息的正确性。
除此之外，还包含以下扩展详细：
over TLS)，以确保 Web 浏览器地址栏中的证书同样属于该 URL 所的 Web 服务
器。
如何生成并验证签名
非对称密钥可用于证书的验证：在“MyCert"证书示例中，介绍了具体的“签名"与“验证签
名"过程。
生成签名：

操作面板

操作说明

本公司*销售西门子PLC,200，300，400，1200，西门子PLC附件，西门子电机，西门子人机界面，西门子变频器，西门子数控伺服，西门子总线电缆现货供应，*咨询系列产品，折扣低，货期准时，并且备有大量库存.长期有效

4、HMI触摸屏TD200 TD400C TP177,

1. “MyCert"证书的签发者使用一个特定的哈希函数（例如，SHA-1，Secure Hash
Algorithm），根据证书数据生成一个哈希值。
该 HASH 值是一个长度固定的位串。HASH 值长度固定的优势在于，签名的时间始终
相同。
2. 之后，证书的签发者再使用由这种方式生成的 HASH 值和私钥，生成一个数字签名。
通常采用 RSA 签名机制。
3. 数字签名将保存在证书中。此时，证书已签名。
通信服务
3.6 安全通信
通信
48 功能手册, 11/2019, A5E03735819-AH
验证一个签名：
1. “MyCert"证书的认证方将获得签发者签发的证书和公钥。
2. 使用签名时所用的哈希算法（例如，SHA-1），根据证书数据生成一个新的哈希值。
3. ，再将由证书签发者公钥确定的 HASH 值与签名算法进行比较，对签名进行检
查。
4. 如果签名通过检查，则表示证书主体的身份以及完整性（即，证书内容的可靠性和真
实性）均通过验证。拥有该公钥（即，证书颁发机构的证书）的任何人均可对该签名
进行检查，并确认该证书确实由该证书颁发机构签发。
下图显示了 Alice 如何采用 Twent（代表证书颁发机构，CA）证书中的公钥，验证 Bob
的公钥签名。因此，在验证时仅需检查证书颁发机构所颁发证书的可用性。验证会在 TLS
会话中自动执行。
图 3-10 使用证书颁发机构的证书公钥对证书进行验证
签名消息
在上文中介绍的签名与验证机制，同样使用 TLS 会话对消息进行签名和验证。
如果发送方基于一条消息生成一个哈希值并使用私钥对该哈希值进行签名，之后将其添加
到原始消息中，则消息接收方即可对消息的完整性进行检查。接收方使用发送方的公钥对
该 HASH 值进行解密，并将其与所收到消息中的 HASH 进行比较。如果这两个值不同，
则表示该消息在传送过程中被篡改。
 通信服务
3.6 安全通信
通信
功能手册, 11/2019, A5E03735819-AH 49
Root 证书的证书链
PKI 证书通常按层级进行组织：层级顶部由根证书构成。Root 证书并非由上一级证书颁
发机构签名。Root 证书的证书主体与证书的签发者相同。根证书享受信任。它们构
成了信任“点"，因此可作为接收方的可信证书。此类证书存储在专门存储受信证书的区
域。
基于该 PKI，Root 证书可用于对下级证书颁发机构颁发的证书（即，所谓的中间证书）
进行签名。从而实现从 Root 根证书到中间证书信任关系的传递。由于中间证书可对诸如
Root 证书之类的证书进行签名，因此这两种证书均称为“CA 证书"
这种证书签名层级可通过多个中间证书进行延伸，直至层的实体证书。实体证书
即为待识别用户的证书。
验证过程则反向贯穿整个层级结构：综上所述，先通过签发者的公钥确定证书签发者并对
其签名进行检查，之后再沿着整条信任链确定上一级证书签发者的证书，直至到达根证
书。
结论：无论组态何种安全通信类型，每台设备中都必需包含一条到 Root 证书的中间证书
链（即证书路径），对通信伙伴的层实体证书进行验证。
3.6.4 使用 STEP 7 管理证书
STEP 7 V14 及更高版本与 S7-1500-CPU 固件版本 V2.0 及更高版本一同使用时，持
Internet PKI (RFC 5280)。因此 S7-1500 CPU 可与同样支持 Internet PKI 的设备进行数
据通信。
如，可使用 X.509 证书验证上文中所介绍的证书。
STEP 7 V14 及以上版本使用的 PKI 与 Internet PKI 相似。例如，证书吊销列表 (CRL) 不
受支持。
通信服务
3.6 安全通信
通信
50 功能手册, 11/2019, A5E03735819-AH
创建或分配证书
对于具有安全特性的设备（如，S7-1500 CPU 固件版本 V2.0 及以上版本），可在 STEP
7 中根据不同应用创建特定的证书。
在 CPU 窗口的以下区域内，可创建新的证书或选择现有的证书：
● “保护和安全 > 证书管理器"(Protection & Security > Certificate manager)- 用于生成和
分配所有类型的证书。生成证书时，将预设开放式用户安全通信的 TLS 证书。
● “Web 服务器 > 安全"(Web server > Security) - 用于生成和分配 Web 服务器证书。
● “OPC UA > 服务器 > 安全"(OPC UA > Server > Security)- 用于生成和分配 OPC UA
证书。
图 3-11 STEP 7 中 S7-1500 CPU 的安全设置
 通信服务
3.6 安全通信
通信
功能手册, 11/2019, A5E03735819-AH 51
“ “ 保护与安全 > 证书管理器 "(Protection & Security > Certifica te manager) 区域的特性
在窗口中，只有该区域内才能进行全局（即，项目级）和局部（即，设备特定）证书
管理器切换（选项“使用证书管理器的全局安全设置"(Use global security settings for
certificate manager)）。该选项确定了您是否有权访问项目中的所有证书。
● 如果在全局安全设置中 未使用证书管理器，则只能访问 CPU 的局部证书存储器。例
如，无法访问所导入的证书或 Root 证书。如果没有这些证书，则可用功能将受到限
制。例如，只能生成自签名证书。
● 如果在全局安全设置中使用证书管理器并以管理员身份登录，则有权访问全局（项目
级）证书存储器。例如，可为 CPU 分配所导入的证书，也可创建由项目 CA（项目的
证书颁发机构）签发与签名的证书。
下图显示了在 CPU 的窗中激活“使用证书管理器的全局安全设置"(Use global security
settings for the certificate manager) 选项后，项目树中的“全局安全设置"(Global security
settings) 显示。
双击项目树中全局安全设置下的“用户登录"(User login) 并进行登录时，则将显示“证书管
理器"(Certificate manager) 行。
双击“证书管理器"(Certificate manager) 行，则可访问项目中的所有证书。这些证书分别
位于选项卡“CA"（证书颁发机构）、“设备证书"(Device certificates) 和“可信证书与 Root
证书颁发机构"(Trusted certificates and root certificate authorities) 内。
通信服务
3.6 安全通信

西门子6AV2124-0QC24-0BX0操作面板

西门子

6AV2124-0QC24-0BX0

操作面板

操作说明

本公司*销售西门子PLC,200，300，400，1200，西门子PLC附件，西门子电机，西门子人机界面，西门子变频器，西门子数控伺服，西门子总线电缆现货供应，*咨询系列产品，折扣低，货期准时，并且备有大量库存.长期有效
通信
52 功能手册, 11/2019, A5E03735819-AH
私钥
生成设备证书和服务器证书（实体证书）时，STEP 7 将生成私钥。私钥的加密存储
的位置，取决于证书管理器中是否使用全局安全设置：
● 如果使用全局安全设置，则私钥将以加密形式存储在全局（项目级）证书存储器中。
● 如果未使用全局安全设置，则私钥将以加密形式在局部（CPU 特定的）证书存储器
中。
解密数据时所需的私钥将显示在全局安全设置中证书管理器中“设备证书"(Device
certificates) 选项卡的“私钥"(Private key) 列中。
下载硬件配置时，同时会将设备证书、公钥和私钥下载到 CPU 中。
注意
“使用证书管理器的全局安全设置"(Use global security settings for certificate manager)
选项会影响之前所用的私钥：如果创建证书时未使用证书管理器中的全局安全设置，而
且更改了使用该证书管理器的选项，则将导致私钥丢失且证书 ID 发生变更。系统会发出
警告，提示您注意这种情况。因此，在开始组态项目时，需证书管理器选项。
 通信服务
3.6 安全通信
通信
功能手册, 11/2019, A5E03735819-AH 53
3.6.5 证书管理示例。
如前文所述，每种类型的安全通信都需要使用证书。在以下章节中，将举例说明如何通过
STEP 7 进行证书管理，以满足开放式用户安全通信的要求。
不同通信伙伴所用的设备往往不同。为各个通信伙伴提供所需证书的相应操作步骤也各不
相同。通常需使用 S7-1500 CPU 或 S7-1500 软件控制器，固件版本 V2.0 及以上版本。
基本规则为：
建立安全连接（“握手"）时，通信伙伴通常仅传送实体证书（设备证书）。
因此，验证已传送设备证书所需的 CA 证书必须位于相应通信伙伴的证书存储器中。
两个 S7- - 1500 CPU 之间安全的开放式用户通信
两个 S7-1500 CPU（PLC_1 和 PLC_2）之间通过开放式用户安全通信进行数据交换。
使用 STEP 7 生成所需的设备证书，然后将其分配给 CPU，如下所述。
STEP 7 项目证书颁发机构（项目的 CA）用于对设备证书进行签名。
在用户程序中根据证书 ID 对证书进行引用（TCON 通信指令组合相关的系统数据类型，
例如 TCON_IPV4_SEC）。在生成或创建证书时，STEP 7 将自动分配证书 ID。
操作步骤
STEP 7 自动将所需的 CA 证书与硬件配置一同加载到通信伙伴的 CPU 中，确保两个
CPU 中满足证书验证需求。因此，用户只需生成相应 CPU 的设备证书，其余操作将由
STEP 7 完成。
1. 在“保护和安全"(Protection & Security) 区域中，标记 PLC_1 并激活“使用证书管理器
的全局安全设置"(Use global security settings for certificate manager) 选项。
2. 在项目树的“全局安全设置"(Global security settings) 区域中，以 user 身份进行登录。
对于新项目，登录时的身份为“Administrator"。
通信服务
3.6 安全通信
通信
54 功能手册, 11/2019, A5E03735819-AH
3. 返回“保护与安全"(Protection & Security) 区域的 PLC-1 中。在“设备证书"(Device
certificates) 表格中，单击“证书主体"(Certificate subject) 列的一个空行，添加新的证
书。
4. 在下拉列表中，选择一个证书并单击“添加"(Add) 按钮。
“创建证书"(Create Certificate) 对话框随即打开。
5. 保留该对话框中的默认设置。这些设置于开放式用户安全通信（用途：TLS）。
提示：补充证书主体的默认名称（此时，为 CPU 名称。为了便于区分，需管理大量设
备证书时，建议保留系统默认的 CPU 名称。
示例：PLC_1/TLS 变为 PLC_1-SecOUC-Chassis17FactoryState。
6. 编译组态。
设备证书和 CA 证书是组态的一部分。
7. 对于 PLC_2，重复以上操作步骤。
在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。
使用自签名证书而非 CA 证书
创建设备证书时，可选择“自签名"(Self-signed) 选项。即使在未登录，也可创建自签名证
书进行全局安全设置。但不建议执行该操作。这是因为，采用这种方式创建的证书不会保
存在全局证书存储器中，也无法直接分配给伙伴 CPU。
如上文所述，选择证书的主体名称时需小心谨慎，以确保为设备的证书正确无误。
对于自签名证书，无法通过 STEP 7 项目的 CA 证书进行验证。要确保自签名证书可通过
验证，需要将通信伙伴的自签名证书加入每个 CPU 的可信伙伴设备列表中。为此，必须
激活选项“使用证书管理器的全局安全设置"(Use global security settings for certificate
manager)，并以 user 身份登录全局安全设置。

西门子6AV2124-0QC24-0BX0操作面板

西门子

6AV2124-0QC24-0BX0

操作面板

操作说明

要将通信伙伴的自签名证书添加到 CPU 中，请按以下步骤操作：
1. 选择 PLC_1，并导航到“保护与安全"(Protection & Security) 区域中的“伙伴设备证
书"(Certificates of partner devices) 表格处。
2. 在“设备证书"(Device certificates) 表格中，单击“证书主体"(Certificate subject) 列的一
个空行，添加新的证书。
3. 在下拉列表中选择该通信伙伴的自签名证书，并进行确认。
在下一个操作步骤中，需创建用户程序进行数据交换，并加载组态和该程序。
 通信服务
3.6 安全通信
通信
功能手册, 11/2019, A5E03735819-AH 55
S7- - 1500 CPU （作为 TLS 客户端）与外部设备（作为 TLS 服务器）之间的开放式用户安全通信
两个设备将通过 TLS 连接或 TLS 会话进行数据交换（如，配方、生产数据或质量数
据）：
● S7-1500 CPU (PLC_1) 作为 TLS 客户端；该 CPU 采用开放式用户安全通信
● 外部设备（如，制造执行系统 (MES)）作为 TLS 服务器
S7-1500 CPU 作为 TLS 客户端，与 MES 系统建立 TLS 连接/会话。
① TLS 客户端
② TLS 服务器
验证 TLS 服务器时，S7-1500 CPU 需要具有 MES 系统的 CA 证书：用于验证证书路径
的 Root 证书和中间证书（如果适用）。
需要将这些证书导入 S7-1500 CPU 的全局证书存储器中。
要导入通信伙伴的证书，请按照以下步骤进行操作：
1. 打开项目树中全局安全设置下的证书管理器。
2. 选择待导入证书的相应表格（可信证书和 Root 证书颁发机构）。