1.軟件要求:
· 將S7-1500 CPU 2.0的OPC UA服務器配置爲嚴格的安全驗證,非預定義的客戶端不允許連接
· 需要安全的OPC連接
· OPC UA 服務器要設置爲僅允許的客戶端可以連接
· 需要驗證用戶名及其密碼
· 只允許加密的連接目標
· 使PLC可以通過OPC訪問
2.軟件設計:
· 系統中使用了一個CPU1511C和一個CPU1516,分別啓用OPC UA服務器,使用UAExpert客戶端同時連接。
· 由於配置服務器需要安全連接而且必須驗證客戶端,非驗證客戶端不允許連接,因此需要將UAExpert客戶端的證書導入兩個PLC中。
· CPU1511C的IP地址設爲192.168.10.21
· CPU1516 接口1的IP地址設爲192.168.10.26
· 運行UAExpert的PC網卡IP地址爲192.168.10.0網段
· PC – CPU1511C – CPU1516連成局域網
3.開發分解:
1) 在Step7 V14裏配置加入兩個CPU站點,IP地址如下圖:
2)在每個CPU的屬性中,保護與安全 > 證書管理,啓用”使用證書管理全局安全設置“,在項目中統一管理證書
3)在項目樹的”全局安全設置 > 用戶登錄”,設置管理帳號與密碼,然後登錄
4)導入客戶端證書。在“全局安全設置 > 證書管理”> 受信任的證書與根證書,右鍵選”導入”
5)在UAExpert默認安裝條件下,其證書路徑如下圖。選中”uaexpert.der”打開,證書將導入。
6)在每個CPU屬性中啓用OPC UA服務器功能, 然後重新生成服務器證書(此練習我們使用安全性最高的Basic256Sha25策略,其他策略不是必要的步驟):
7)安全策略禁用”No security“, 選上後面的兩個”Basic256Sha256”;禁用”自動接受客戶端證書”,然後導入指定的客戶端證書:
(UaExpert證書我們在前面的第4,5步在全“局安全設置 > 證書管理“中所導入)
8) 在”OPC UA > 服務器 > 安全 > 用戶認證”添加用於客戶端連接所使用的用戶名和密碼:
9) 在兩個CPU的屬性 “運行時授權 >OPC UA”中分別設置證書授權類型:
10)PLC的OPC UA服務器及其安全設置已經設完,把兩個PLC站點都下載到相應的PLC中:
11)項目樹裏,每個CPU的”在線與診斷 >功能> 設置時間“,點應用將PLC時間與PC同步一次,作用是使各相關證書不至於超出有效時間
12)運行UAExpert, 添加服務器,輸入相應的客戶端帳號密碼,然後瀏覽服務器
13)選中”Basic256Sha256 - Sign”或”Basic256Sha256 – Sign & Encrypt”進行連接
14)彈出對話框提示消息爲:是否要信任所連接的服務器證書?
點”Trust Server Certificate, 勾選Accept theserver certificate temporarily for this session, 然後”Continue"
15)下圖的狀態即可認爲連接可以建立的狀態。
16)在兩個PLC分別加入一個DB用於客戶端連接測試:
17)在每個PLC的OPCUA服務器,瀏覽”Address Space”,在Plc名 > DataBlocksGlobal可以看到剛纔下載的DB塊,展開DB,把裏面的變量拖到右側的”Data Access View”即可訂閱,Status = “Good”說明數據已經讀取成功:
