Bir iş ortağıyla güvenli veri alışverişi için CPU'nun farklı uygulamaları ve iletişim işlevleri, uygulamaya özel olarak yönetilen cihaz sertifikalarını kullanır. Web sunucusu için cihaz sertifikası durumunda, bu bir web sunucusu sertifikasını içerir.
TIA Portal aracılığıyla sertifikaları yönetme
Web sunucusu sertifikası oluşturma ve atama
Güvenli aktarım protokolü "HTTPS" kullanılarak Web sunucusunun çalıştırılması, geçerli bir Web sunucusu sertifikası gerektirir.
Firmware V2.0 ve üstü olan SIMATIC S7 1500 CPU'lar için, STEP 7'yi kullanarak CPU'nun Web sunucusu sertifikasını kendiniz oluşturmanız ve CPU'nun özelliklerinde Web sunucusuna atamanız gerekir. Bu sertifika, donanım yapılandırması indirildiğinde CPU'ya da otomatik olarak indirilir.
Not
Bellenim sürümü < V2.0 olan bir SIMATIC S7 1500 CPU veya ET 200SP CPU'nun aygıt yazılımını donanım yazılımı sürümü ≥ V2.0'a güncellerseniz, geçerli bir Web sunucusu sertifikası otomatik olarak oluşturulur ve kullanılır. Aynısı, daha yeni bir CPU'nun < V2.0 ürün yazılımı sürümüne sahip bir CPU'yu değiştirdiği yedek parça senaryosu için de geçerlidir.
Halihazırda yapılandırılmış bir CPU'yu günceller veya değiştirirseniz, geçerli bir Web sunucusu sertifikası otomatik olarak oluşturulur ve ürün yazılımı sürümü ≤ V1.8 olan CPU'lar için kullanılır.
Farklı Web sunucusu sertifikaları oluşturabilirsiniz:
· Sertifika yöneticisi için genel güvenlik ayarlarını kullanırsanız, projenin sertifika yetkilisi (CA sertifikası) Web sunucusunun cihaz sertifikasını imzalar. Yükleme sırasında projenin CA sertifikası da otomatik olarak yüklenir.
·Genel güvenlik ayarlarında sertifika yöneticisini kullanmazsanız, STEP 7 cihaz sertifikasını kendinden imzalı bir sertifika olarak oluşturur.
FARKINA VARMAK
Web sunucusunun tüm işlevlerini kullanma
CPU'da geçerli bir CA imzalı Web sunucusu sertifikası, aşağıdaki işlevler için bir gerekliliktir:
· Parola korumalı kullanıcılarla kullanıcı yönetimi
· Teşhis bilgilerini csv dosyalarına kaydetme ve indirme
· CPU yapılandırması gibi güvenlikle ilgili işlevlerin yedeklenmesi ve geri yüklenmesi
Web sunucusunun tam işlevselliğini kullanmak için, sertifika yöneticisinin genel güvenlik ayarlarını etkinleştirmenizi, CA imzalı bir Web sunucusu sertifikası oluşturmanızı ve bunu CPU'ya atamanızı öneririz.
Kendinden imzalı bir Web sunucusu sertifikası oluşturma
TIA Portal ile kendinden imzalı bir Web sunucusu sertifikası oluşturmak için şu adımları izleyin:
1. Müfettiş penceresinde CPU'nun Özellikleri, "Genel" sekmesinde, "Web sunucusu > Güvenlik" alanına gidin.
2. Bir sertifika seçmek için açılır listedeki "Ekle" düğmesini tıklayın.
"Yeni bir sertifika oluştur" iletişim kutusu açılır.
3. İzleme iletişim kutusunda "Kendinden imzalı" onay kutusunu seçin.
4. Yeni sertifika için parametreleri girin veya varsayılan ayarları onaylayın.
o "Kullanım" kutusunda "Web sunucusu"nu seçin.
o "Konu Alternatif Adı" alanına arabirimlerin IP adreslerini veya yapılandırılan CPU'nun etki alanı adını girin.
5. Onaylamak için "Tamam"a tıklayın.
6. Yapılandırmayı derleyin ve CPU'ya yükleyin.
Web sunucusunun cihaz sertifikası, yapılandırmanın bir bileşenidir.
CA imzalı bir Web sunucusu sertifikası oluşturma ve atama
TIA Portal ile CA imzalı bir Web sunucusu sertifikası oluşturmak için şu adımları izleyin:
1. "Bu projeyi koru" güvenlik ayarlarıyla projenizi koruyun.
Proje ağacında "Güvenlik işlevleri" görünür.
2. CPU Denetçisi penceresinin "Genel" sekmesinde, "Koruma ve Güvenlik > Sertifika Yöneticisi" alanına gidin ve "Sertifika yöneticisi için genel güvenlik ayarlarını kullan" seçeneğini seçin.
Not
Genel güvenlik ayarlarıyla sertifikaları yönetmek için "Güvenliği yapılandır" yapılandırma iznine ihtiyacınız vardır.
3. "Güvenlik ayarları" bölümünde proje ağacında kullanıcı olarak oturum açın. "Yönetici" rolü, yeni bir proje için ilk oturum açmada varsayılandır.
4. Müfettiş penceresinde CPU'nun Özellikleri, "Genel" sekmesinde, "Web sunucusu > Güvenlik" alanına gidin.
5. Bir sertifika seçmek için açılır listedeki "Ekle" düğmesini tıklayın.
"Sertifika oluştur" iletişim kutusu açılır.
6. İzleme iletişim kutusunda, "Sertifika yetkilisi tarafından imzalandı" onay kutusunu seçin ve açılır listeden sertifika yetkilisini seçin.
7. Yeni sertifika için parametreleri girin veya varsayılan ayarları onaylayın.
o "Kullanım" kutusunda "Web sunucusu"nu seçin.
o "Konu Alternatif Adı" alanına arabirimlerin IP adreslerini veya yapılandırılan CPU'nun etki alanı adını girin.
8. Onaylamak için "Tamam"a tıklayın.
9. Yapılandırmayı derleyin ve CPU'ya yükleyin.
Web sunucusunun cihaz sertifikası ve CA sertifikası, yapılandırmanın bileşenleridir.
FARKINA VARMAK
Etki alanı adları aracılığıyla CPU'nun Web sunucusunu adresleme
Arayüzün IP adres(ler)ini girerseniz
"Konu Alternatif Adı" alanında yapılandırılan CPU'nun e(ler)i, oluşturulan sertifika tüm İnternet tarayıcıları tarafından kabul edilmeyebilir. Ek olarak, CPU'nun kimliği IP adresiyle değiştiğinden, CPU'nun Ethernet arabiriminin IP adresindeki her değişiklikte yeni bir Web sunucusu sertifikası (son varlık sertifikası) oluşturmanız ve yüklemeniz gerekir.
CPU'nun Web sunucusunu IP adres(ler)i yerine alan adlarını kullanarak adresleyerek bu sorunu önleyebilirsiniz, örn. "myconveyer-cpu.room13.myfactory.com". Bu amaçla, CPU'nuzun alan adlarını bir DNS sunucusu üzerinden yönetmeniz gerekir. Etki alanı adları aracılığıyla adresleme, özellikle IP adresinin bir DHCP sunucusundan alındığı bir yapılandırma için önerilir, çünkü bu durumda atanan IP adresi önceden bilinmez.
Daha fazla bilgi
Yerel kendinden imzalı ve global CA imzalı sertifikalar, "Genel Anahtar Altyapısı" (PKI) ve sertifika yönetimi hakkında ayrıntılı bilgi için İletişim Fonksiyonu Kılavuzuna ve STEP 7 çevrimiçi yardımına bakın, anahtar kelime "Güvenli İletişim".
"TIA Portalı ile sertifikaların kullanımı" uygulama örneği, SIMATIC S7-1500 CPU'nun Web sunucusuna güvenli bir bağlantının nasıl oluşturulacağına ilişkin ayrıntılı talimatlar içerir.
Çalışma zamanında sertifikaları yönetme
Sertifikaları TIA Portalı aracılığıyla yönetiyorsanız, donanım yapılandırmasıyla birlikte bir sertifikayı CPU'ya yükleyin. Bunu yapmak için, CPU STOP modunda olmalıdır. ÇALIŞTIR-DURDUR-ÇALIŞTIR geçişi olmadan yeni bir sertifika yükleyemez veya mevcut bir sertifikayı yenileyemezsiniz.
CPU'nun çalışma zamanında sertifikaları yönetiyorsanız, RUN modunda bir sertifika yüklemek veya güncellemek de mümkündür.
CPU çalışma zamanı sırasında web sunucusu sertifikasını yönetme
Firmware sürümü V3.0'dan itibaren, OPC UA yöntemleri kullanılarak web sunucusu sertifikalarının GDS sunucusu aracılığıyla çalışma süresi boyunca CPU'ya aktarılması da mümkündür. GDS sunucusu, CPU'daki OPC UA sunucusunun bir parçasıdır. GDS push yönetimi işlevleri aracılığıyla, S7-1500 CPU'nun OPC UA sunucusu için OPC UA sertifikalarını otomatik olarak güncelleyebilirsiniz.
GDS (Global Discovery Services) ile otomatik sertifika yönetimi kavramı hakkında detaylı bilgiyi İletişim Fonksiyonu Kılavuzunda bulabilirsiniz.
Sertifika yönetimi türünü ayarlama
"Özellikler" Denetçi penceresinin "Genel" sekmesindeki "Koruma ve Güvenlik" > "Sertifika yöneticisi" kategorisinde, sertifikaları nasıl işlemek istediğinizi seçin.
Sertifika yöneticisinin yapılandırması
Çalışma zamanında GDS aracılığıyla sertifika göndermek istiyorsanız, "Çalışma zamanında sertifika yönetimi tarafından sağlanan sertifikaları kullan" seçeneğini tıklayın.
"Sertifika süre sonu için sistem tanılama olayını etkinleştir" düğmesini seçerek, bir sertifikanın süresi dolduğunda bilgilendirilmek istediğinizi belirtirsiniz. "Kalan sertifika geçerlilik süresindeki olayı göster:" giriş alanına bir yüzde değeri girin. Bu değere ulaşıldığında, CPU bir bakım talebi ile bir sistem alarmını tetikler.
Örnek:
01/06/2022 tarihinde GDS üzerinden aktarılan sertifikanın geçerliliği 01/06/2022 ile 30/06/2022 (30 gün) arasındadır. Teşhis olayı için yüzde değeri olarak 10 girdiniz. 27/06/2022 tarihinde, geçerlilik süresinin %90'ı sona erdikten sonra sistem teşhis alarmı, iletilen sertifikanın 30/06/2022 tarihinde sona ereceğini bildirir.
Yapılandırılan yüzde değerinden bağımsız olarak, her durumda bir sertifikanın geçerlilik süresi sona erdiğinde bir mesaj görüntülenir.
Not
CPU'daki zaman ayarları
CPU'nun bir sertifikanın sona erme tarihini algılaması için sistem saatini Eşgüdümlü Evrensel Saat'e (UTC) ayarlamanız gerekir. Yanlış bir sistem zamanı, sertifikaların sona erme tarihiyle ilgili yanlış mesajlara yol açabilir.
Tablodaki "Sertifika yöneticisi" kategorisinin alt alanında, çalışma zamanında CPU'ya aktarabileceğiniz sertifikalara sahip tüm CPU uygulamalarının bir listesini bulabilirsiniz. Listede, CPU uygulamalarına bir kimlik atanır. "Çalışma zamanında sertifika deposu için klasör" sütununun altında, sertifika grubunun değiştirilebilir adını bulabilirsiniz.
Yükleme sırasında mevcut sertifikaların işlenmesi
CPU'ya bir proje yüklemeden önce, çalışma zamanında alınan CPU sertifikalarına ne olması gerektiğini "Yük önizleme" iletişim penceresinde belirleyebilirsiniz.
Bellenim sürümü V3.0'dan itibaren, seçilen CPU uygulamalarının sertifikalarını silmek için "Seçiliyi sil" seçeneğini kullanabilirsiniz.
Sertifikaları silme
Comments