HMI Secure Verbindungen: Unterschied zwischen den Versionen

Beschreibung[Bearbeiten]

Wenn man S7-1500 Steuerungen ab Firmware V2.9 und Comfort Panels ab Image Version V17 (oder WinCC ab V7.5) verwendet, müssen zwangsweise HMI-Secure Verbindungen verwendet werden.

Hardwarekonfiguration CPU[Bearbeiten]

HMI Secure Verbindungen aktivieren[Bearbeiten]

Man muss die HMI-Secure Verbindungen zunächst in der Hardwarekonfiguration der CPU aktivieren:

Wenn man diese Option aktiviert, wird automatisch ein Zertifikat mit dem Namen "Communication-1" erstellt.

Zertifikatmanager[Bearbeiten]

Die erstellten Zertifikate, sowie das Ablaufdatum können jederzeit im Zertifikatmanager angesehen werden. Hier können auch neue Zertifikate

erstellt werden, wenn ein bereits verwendetes Zertifikat abläuft.

Inbetriebnahme HMI Verbindung[Bearbeiten]

Dies Betrifft WinCC Basic / Comfort / Advanced / Professional / Unified [Comfort / PC].

Für die Inbetriebnahme der HMI-Verbindung müssen folgende Schritte unternommen werden:

1. Vollzugriff- oder HMI-Passwort an der HMI-Verbindung eingeben
2. Gesamtladen der CPU
3. Gesamtübersetzen des HMI
4. Gesamtladen des HMI (Alles überschreiben, Version upgraden wenn nötig (siehe HMI Bediengeräte Images))
5. Manuelles Einstellen der HMI Uhrzeit (Einstellungen > Datum & Uhrzeit)

Das Zertifikat wird meistens automatisch beim Laden übertragen. Wenn das nicht der Fall ist, müssen am Bediengerät folgende Schritte durchgeführt werden:
WinCC Basic/Comfort:

1. Dateimanager öffnen (HMI Desktop Symbol "My Device")
2. Navigieren zum Pfad: \flash\simatic\SystemRoot\OMS\Untrusted
3. Zertifikatdatei ausschneiden
4. In folgendem Pfad einfügen: \flash\simatic\SystemRoot\OMS\Trusted
5. HMI neu Starten

WinCC Advanced/Professioanal/Unified PC:

1. Datei-Explorer öffnen (Windows+E)
2. Navigieren zum Pfad: C:\ProgramData\Siemens\CoRtHmiRTm\OMS\Untrusted
3. Zertifikatdatei ausschneiden
4. In folgendem Pfad einfügen: C:\ProgramData\Siemens\CoRtHmiRTm\OMS\Trusted
5. Gerät/PC neu Starten

Inbetriebnahme WinCC Verbindung[Bearbeiten]

Dies betrifft WinCC >=V7.5 / V8.x.

Um eine HMI Secure Verbindung zu einem WinCC aufzubauen, muss zunächst die Verbindung zur entsprechenden CPU angelegt sein.

Wenn im TIA-Projekt ein Passwort für Vollzugriff oder HMI-Zugriff projektiert wurde, muss dieses bei den Verbindungsparametern der CPU im WinCC mit angegeben werden.
Bei WinCC Comfort/Professional/Advanced (WinCC im TIA) muss das Passwort bei HMI unter Verbindungen bei der HMI-Verbindung CPU-seitig eingegeben werden.

Dann muss man die Variablen (aus einem TIA-Export) per Rechtsklick auf die Verbindung mit AS Symbole > Laden aus Datei laden. Falls nur das Zertifikat importiert werden soll, kann beim Export in TIA ab V18 der Haken "Certificates only" gesetzt werden.

Direkt danach wird ein Dialog angezeigt, in dem man bestätigen muss, dass man die Zertifikate importieren will. Das gilt nur, sofern zu dieser Verbindung noch kein Zertifikat existiert. Andernfalls muss das alte Zertifikat vor mit Rechtsklick auf die Verbindung->"Zertifikat löschen" entfernt werden.

Es kann vorkommen, dass nach Änderungen im Hardwareaufbau im TIA-Projekt, die Verbindung zur CPU im WinCC abbricht. In diesem Fall muss das Zertifikat neu aus TIA exportiert und in WinCC wieder importiert werden, nachdem zuvor das alte Zertifikat manuell gelöscht wurde.

Nach dem Importieren des Zertifikates sollte automatisch innerhalb weniger Sekunden die Verbindung aufgebaut werden. In manchen Fällen kann jedoch ein Neustart der Runtime von Nöten sein.

Ablauf eines Zertifikates[Bearbeiten]

Sollte ein Zertifikat ablaufen, so bleibt die Verbindung so lange aktiv, bis die Runtime der HMI oder des WinCC neu gestartet wird oder die Verbindung durch andere Faktoren abbricht. Es kommt die

Systemmeldung, dass das Zertifikat abgelaufen ist.