Serie G2 - accesso anonimo via OPC-UA nonostante tutto

[Joey Marty Lee]

Salve a tutti, ho configurato un plc Siemens S7-1200 serie G2 (6ES7 212-1HG50-0XB0 con firmware v4.1) dove nelle impostazioni Security ho creato due utenti,

uno "amministratore" per accedere al plc con password e ruolo Amministratore PLC,

uno "client" per accedere via OPC-UA con password e ruolo definito dall'utente con diritti di runtime di accesso al server OPC UA ,

ho disabilitato l'utente anonimo.

Nella sezione Protezione e Security ho abilitato quindi la "protezione dati di configurazione PLC riservati",

disattivato il controllo degli accessi (in quanto mi serve attivo anche l'accesso tramite comunicazione PUT/GET).

Creato 2 certificati: 

1) G2-PLC-1/Tls-2 con service = comunicazione PG/PC e HMI

2) G2-PLC-1/OPCUA con service = Server OPC UA

Non ho messo la spunta su "utilizza impostazioni di sicurezza globali per la gestione certificato

Ho attivato il server OPC UA con Security = Basic256Sha256 - Firma e crittografia.

Il problema è che da UA Expert (client OPC UA) accedo al plc come utente anonimo, ed è quello che vorrei evitare...

Qualche suggerimento per rendere la connessione OPC UA "Sicura"?

 

Marco M.

[pigroplc]

hai trasferito la ocnfigurazione hrdware e spento / riacceso il plc?

 

[Joey Marty Lee]

Grazie al tuo consiglio ho fatto un passo avanti, il client iniziava a vedere la Security Policy selezionata (Basic256Sha256 - Firma e crittografia), ma avevo ancora problemi di comunicazione. Alla fine ho risolto e funziona sia la comunicazione OPC UA con un client tipo UA Expert e la comunicazione con un pannello Operatore con i driver Siemens. Di seguito le istruzioni che mi hanno portato al risultato desiderato: 

1.  Protezione del progetto

Dall’ albero di progetto selezionare Impostazioni Security > impostazioni.

Nella pagina Impostazioni selezionare Proteggi questo progetto.

Assegnare un nome ed una password.

2.  Utenti e Ruoli

Dall’ albero di progetto selezionare Impostazioni Security > Utenti e ruoli.

Nella pagina Utenti e ruoli selezionare la cartella Utenti, selezionare l’utente creato e dalla pagina sottostante selezionare la cartella ruoli assegnati e qui selezionare Amministratore PLC oltre all’ Amministratore di engineering.

Nella pagina Utenti e ruoli selezionare la cartella Ruoli, in fondo alla lista dei ruoli predefiniti selezionare Aggiungi nuovo ruolo, assegnare un nome per il ruolo di accesso ad OPC UA.

Selezionato il ruolo creato si passa alla pagina sottostante, selezionare la cartella Diritti di runtime poi selezionare la voce Accesso al server OPC UA.

Nella pagina Utenti e ruoli selezionare la cartella Ruoli, in fondo alla lista dei ruoli predefiniti selezionare Aggiungi nuovo ruolo, assegnare un nome per il ruolo di accesso ad HMI.

Selezionato il ruolo creato si passa alla pagina sottostante, selezionare la cartella Diritti di runtime poi selezionare la voce Accesso HMI.

Nella pagina Utenti e ruoli selezionare la cartella Utenti, selezionare Aggiungi nuovo utente da utilizzare come utente Client OPC.

Selezionato l’utente creato si passa alla pagina sottostante, selezionare la cartella Ruoli assegnati e selezionare il ruolo creato per il Client OPC UA.

Nella pagina Utenti selezionare l’utente Anonymous e assegnare il ruolo creato per l’accesso HMI sempre dalla pagina sottostante alla cartella Ruoli assegnati.

3.   Importazione Certificato del Client OPC

Dall’ albero di progetto selezionare Impostazioni Security > Funzioni Security > Manager Certificati, nella relativa pagina sullo spazio bianco selezionare con il tasto destro la voce importa e selezionare il file del certificato del Client.

Selezionare la cartella Certificati apparecchio e verificare la presenza del certificato appena importato.

4.  Impostazioni di Protezione e Security

Selezionare le Proprietà della CPU > Protezione e Security, nella sezione Protezione dei dati di configurazione PLC riservati selezionare il pulsante imposta per impostare una password.

Nella sezione Controllo degli accessi selezionare Attiva controllo degli accessi.

Nella sezione Configurazione della gestione utenti selezionare Utilizza gestione utenti locale.

Da Proprietà della CPU > Protezione e Security > Meccanismi di collegamento selezionare Consenti solo la comunicazione sicura PG/PC e HMI.

Selezionare Consenti accesso tramite la comunicazione PUT/GET tramite partner remoto.

Da Proprietà della CPU > Protezione e Security > Gestione certificato selezionare Utilizza impostazioni di sicurezza globali per la Gestione certificato

Nella sezione Certificati dei dispositivi selezionare nello spazio bianco aggiungi nuovo > crea e selezionare il tipo TLS Client/Server e confermare con OK.

Nella sezione Certificati dei dispositivi selezionare nello spazio bianco aggiungi nuovo > crea e selezionare il tipo OpcUa Server e confermare con OK.

Da Proprietà della CPU > Protezione e Security > Meccanismi di collegamento alla voce Certificato per la comunicazione PLC selezionare il certificato di tipo TLS creato.

5.  Impostazioni OPC UA

Selezionare le Proprietà della CPU > OPC UA e selezionare attiva server OPC UA.

Da Proprietà della CPU > OPC UA > Server > Security > Security Channel selezionare il tipo di Security Policy desiderato (Basic256Sha256 – Firma e crittografia).

Da Proprietà della CPU > OPC UA > Server > Security > Certificati nella sezione Certificato Server selezionare il certificato OPC Server creato, nella sezione Client affidabili selezionare aggiungi nuovo e selezionare il certificato importato dal Client.

6.  Impostazione Licenza

Selezionare le Proprietà della CPU > Licene di runtime > OPC UA, nel campo Tipo di licenza acquisita selezionare SIMATIC OPC UA S7-1200 basic.

 

7.  Compilazione e Download

Effettuare la compilazione Hardware completa.

Effettuare la compilazione Software completa.

Caricare nel dispositivo la configurazione Hardware ed avviare il dispositivo.

Spegnere il dispositivo, attendere 20 secondi, riaccendere il dispositivo.

Caricare nel dispositivo il Software (caricamento completo) ed avviare il dispositivo.