TIA Uhrzeitsynchronistation Siemens S7-1200 / S7-1500 mit Problematik keine HMI-Verbindung wegen Zertifikat

Zuviel Werbung?
-> Hier kostenlos registrieren
Die automatisch erzeugten Zertifikate sind 15 Jahre lang gültig. Ok, die meisten Steuerungssysteme werden vermutlich in dieser Zeit ab und zu aktualisiert werden. Trotzdem gibt es bestimmt die ein oder andere Maschine, die dieses Alter störungsfrei erreicht. Zumindest wenn man die Haltbarkeit z.B. mit S5 Steuerungen vergleicht. Diese Maschinen stellen dann nach 15 Jahren einfach den Betrieb ein, weil sich das HMI nicht mehr verbindet. Welche Flüche unsere Kunden dann in 15 Jahren verwenden werden, ist natürlich reine Spektulation. Freundlich werden sie vermutlich nicht sein. Oder verstehe ich die Funktion der Gültigkeit falsch?
 
skorpion37 schrieb:
Die automatisch erzeugten Zertifikate sind 15 Jahre lang gültig. Ok, die meisten Steuerungssysteme werden vermutlich in dieser Zeit ab und zu aktualisiert werden. Trotzdem gibt es bestimmt die ein oder andere Maschine, die dieses Alter störungsfrei erreicht. Zumindest wenn man die Haltbarkeit z.B. mit S5 Steuerungen vergleicht. Diese Maschinen stellen dann nach 15 Jahren einfach den Betrieb ein, weil sich das HMI nicht mehr verbindet. Welche Flüche unsere Kunden dann in 15 Jahren verwenden werden, ist natürlich reine Spektulation. Freundlich werden sie vermutlich nicht sein. Oder verstehe ich die Funktion der Gültigkeit falsch?
Zum Vergrößern anklicken....
Ja, da brauchen sich die chinesischen oder russischen oder amerikanischen Hacker nicht mehr bemühen, wir schalten uns dann selber ab 🙈🤷‍♂️
 
skorpion37 schrieb:
Diese Maschinen stellen dann nach 15 Jahren einfach den Betrieb ein, weil sich das HMI nicht mehr verbindet.
Oder verstehe ich die Funktion der Gültigkeit falsch?
Zum Vergrößern anklicken....
Das hast du so richtig. Du kannst das einfach selber Testen.
Einfach in HW-Config das automatisch erstellte HMI-Kommunikations-Zertifikat löschen und neu mit Ablaufdatum (jetzt + 5min) erstellen. Dann laden und Panel Verbindung aufbauen lassen. Das Panel müsste Verbindung aufbauen solange du noch in der gültigen Zeit bist. Auch außerhalb der gültigen Zeit geht die Verbindung noch weiter.... so lange bis du das Panel neu startest und eine neue Verbindung aufgebaut werden muss. Dann ist Schluss.

skorpion37 schrieb:
Ok, die meisten Steuerungssysteme werden vermutlich in dieser Zeit ab und zu aktualisiert werden.
Zum Vergrößern anklicken....
Denke nicht dass bei einer einfachen Wartung oder Änderung der HW-Config das Zertifikat (sofern noch gültig) mit-aktualisiert wird. Derzeit ist wohl noch eine bewusste Aktion durch den Programmierer nötig. Kann aber sein dass in den 15 Jahren TIA oder die 1500 (oder deren Nachfolger) vielleicht Mechanismen zur automatischen Zertifikatserneuerung nachgeschoben bekommt. Wer weiß.

Das Frage des Beitragserstellers was man (ohne PG) macht, wenn sowohl CPU als auch HMI keine gültig eingestellte Zeit haben und kein NTP zur Verfügung steht oder parametriert ist, ist gar nicht mal so uninteressant.
 
wenn jemandem mal langweilig ist die Legacy Kommunikation mit der CPU abschalten und dann Zertifikat Ablaufen lassen. Ich hab viel Probiert aber ohne Feld in der HMI zum Datum bescheissen kommt Mann nicht mehr auf die CPU. Da ist dann ein Werksreset angesagt.

Gruß Tia
 
Moin,

ich klinke mich mal mit einer Idee hier ein. Die TIA-CPUs (1200, 1500) haben doch schon ne Weile nen Webserver an board.
Darüber kann man, sofern dieser aktiv ist, sicher die Uhrzeit stellen und ggf. sogar das Zertifikat aktualisieren?

Alternativ das WinCCUnified VoT das direkt auf der CPU rennt mit einer einfachen Maske versehen um die Zeit zu stellen,
hier sollte man ja im Browser das nicht gültige Zertifikat ignorieren können.

Grüße

Marcel
 
Ich bin ganz ehrlich, ich blicke noch nicht so ganz durch durch den Zertifikat Sumpf.

Auf der SPS ist (noch TIA 17) nur ein einziges Zertifikat, das kann ich neu anlegen.

Am Panel (TP1500 Comfort) sind dutzende Zertifikate. Einige davon schon ausgelaufen. Andere laufen in den nächsten Jahren aus. Davon ein einziges was unter "My Certificates" auftaucht. Das scheint für den Smart Server zu sein. Gültikgkeit: 10 Jahre. Wie zum Henker bekomm ich das länger?
 

Anhänge

  • Comfort Panel Zertifikate.jpg
    Comfort Panel Zertifikate.jpg
    433,2 KB · Aufrufe: 13
  • Smart Server Zertifikat.jpg
    Smart Server Zertifikat.jpg
    577,9 KB · Aufrufe: 12
  • SPS Zertifikat.jpg
    SPS Zertifikat.jpg
    35,9 KB · Aufrufe: 13
hubert schrieb:
Nun ist es aber so, dass z.B. ein Siemens Comfort Panel TP700 nach ca. 6 Wochen die Pufferungs für die Uhrzeit verliert und sich z.B. auf das Jahr 2012 einstellt. Bei der S7-1200 sind es ca. 480h und bei der S7-1500 ebenfalls ca. 6 Wochen. Wir haben also nach ca. 6 Wochen das Problem, dass wir über einen Workerround die Uhrzeit einstellen müssen.
Zum Vergrößern anklicken....
Vergessen die Panels und SPS-CPUs da auch die eingestellte Zeitzone?
 
Beim Erstellen des neuen Zertifikats auf der SPS (1512/TIA17.0.7) ist mir noch was aufgefallen. Durch Ausschlussverfahren habe ich die Einstellungen die Siemens für das Standardzertifikat nimmt rausbekommen. Allerdings legt Siemens bei Verwendungszweck nur einen (TLS-)Server an. Die Option hat man aber gar nicht, so dass man zusätzlich einen Client anlegt wenn man das Zertifikat selbst erstellt.
 

Anhänge

  • Neues SPS Zertifikat erstellen.jpg
    Neues SPS Zertifikat erstellen.jpg
    93,6 KB · Aufrufe: 25
  • SPS Zertifikat Unterschiede.jpg
    SPS Zertifikat Unterschiede.jpg
    123,4 KB · Aufrufe: 25
NicoSch schrieb:
Jetzt mal unabhängig von dem Zertifikatsproblem... Wir nutzen für unsere Maschinen einen Zeitserver der die Daten über GPS-, Galileo- oder GLONASS-Signale empfängt. So braucht man keine Internetverbindung und hat trotzdem per NTP für alle Geräte die richtige Zeit.
Ist für unsere Maschinen die in die Pharmaindustrie gehen und einen Audittrail brauchen, wo der Kunde jedoch keinen Zeitserver stellen kann/will.
Zum Vergrößern anklicken....
Hallo NicoSch,

welchen Zeitserver verwendet ihr, wenn ihr diesen nicht von eurem Kunden bekommt?
So wie du schreibst, habt ihr einen relativ mobile Zeitserver.
 
Passt vielleicht nicht 100% zum Thema aber vielleicht auch für einige interessant, welche mit Zertifikaten in Berührung kommen:
Siemens aktuelles FAQ: Zertifikate mit TIA Portal verwendenDieses Anwendungsbeispiel umfasst daher Richtlinien für die Herstellung einer sicheren Kommunikation im Kontext von OPC UA, OUC (Open User Communication) und HTTPS. Außerdem bietet es einen Überblick über die Werkzeuge und Möglichkeiten, die innerhalb von TIA Portal zur Verfügung stehen.

Dieses Anwendungsbeispiel umfasst daher Richtlinien für die Herstellung einer sicheren Kommunikation im Kontext von OPC UA, OUC (Open User Communication) und HTTPS. Außerdem bietet es einen Überblick über die Werkzeuge und Möglichkeiten, die innerhalb von TIA Portal zur Verfügung stehen.
Zum Vergrößern anklicken....
Dieses Dokument befasst sich mit den wichtigsten Aspekten der Zertifikatsverwaltung in OTUmgebungen, einem Thema, das im Zuge des Übergangs der Industrie in das digitale Zeitalter an Bedeutung gewinnt. In dieser gewandelten industriellen Landschaft stehen OT-Systeme vor den gleichen Herausforderungen und Risiken wie der IT-Bereich. Hieran ist auch erkennbar, warum es notwendig ist, die Kommunikation abzusichern und dafür zu sorgen, dass die Funktion und Verwendung von Zertifikaten richtig verstanden wird.
Die folgende Abbildung zeigt vereinfacht, wie die Kommunikation aufgebaut wird ("Handshake"), wobei hier der Schwerpunkt auf der Aushandlung von Schlüsseln liegt, die für den Datenaustausch verwendet werden. Dieser Prozess lässt sich auf alle Kommunikationsoptionen verallgemeinern, die auf der Verwendung von TLS-Zertifikaten basieren, d. h. auf Secure Open User Communication.
Zum Vergrößern anklicken....
1712038644867.png
 
Mal ein blöde Frage (mach bisher fast nur bis V16).
Warum nicht einfach Secure-Kommunikation auslassen? In V17 upd7 kann ich das ja noch so parametrieren.
Wenn die CPU+HMI ich einem geschlossenen oder abgesicherten Netz sind, ist das ja auch verantwortbar.
Wo ist da mein Denkfehler?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Olli_BS schrieb:
Mal ein blöde Frage (mach bisher fast nur bis V16).
Warum nicht einfach Secure-Kommunikation auslassen? In V17 upd7 kann ich das ja noch so parametrieren.
Wenn die CPU+HMI ich einem geschlossenen oder abgesicherten Netz sind, ist das ja auch verantwortbar.
Wo ist da mein Denkfehler?
Zum Vergrößern anklicken....

Man-in-the-Middle-Angriff – Wikipedia

de.wikipedia.org de.wikipedia.org

Eventuell
 
Olli_BS schrieb:
Mal ein blöde Frage (mach bisher fast nur bis V16).
Warum nicht einfach Secure-Kommunikation auslassen? In V17 upd7 kann ich das ja noch so parametrieren.
Wenn die CPU+HMI ich einem geschlossenen oder abgesicherten Netz sind, ist das ja auch verantwortbar.
Wo ist da mein Denkfehler?
Zum Vergrößern anklicken....
Unsere Erfahrung ist, auch wenn die sichere Kommunikation abgehakt wird, ist wird diese dennoch bei einer SPS und Panel verwendet, wenn beide dies unterstützen. (bei TIA V18)
 
Olli_BS schrieb:
Mal ein blöde Frage (mach bisher fast nur bis V16).
Warum nicht einfach Secure-Kommunikation auslassen? In V17 upd7 kann ich das ja noch so parametrieren.
Wenn die CPU+HMI ich einem geschlossenen oder abgesicherten Netz sind, ist das ja auch verantwortbar.
Wo ist da mein Denkfehler?
Zum Vergrößern anklicken....
Man kann sie nicht ausschalten. Nur zusätzlich die unsichere Kommunikation erlauben.
 

Similar threads

A
Step 7 S7-1200 NTP im Anwenderprogramm
Antworten
6
Aufrufe
541
PN/DP
PN/DP
O
TIA Keine Verbindung zwischen HMI und SPS nach IP Wechsel
Antworten
15
Aufrufe
2K
DOD666
D
hubert
TIA TIA V19 CPUs S7-1200 FW4.7 und S7-1500 FW3.1 Security Einstellungen Benutzer und Rollen
Antworten
13
Aufrufe
1K
Stoky
Stoky
Gleichstromer
TIA TIA V19 Kommunikationsproblem S7-1200 mit KP300
Antworten
6
Aufrufe
822
van
V
L
Step 7 Siemens S7- 200 auslesen
Antworten
3
Aufrufe
630
PN/DP
PN/DP
Zurück
Oben