OPC-UA-Verbindung

zwischen zwei WinCC

V7.5 Rechnern
Siemens
WinCC / V7.5 Industry
Online
https://support.industry.siemens.com/cs/ww/de/view/109479664 Support
 Dieser Beitrag stammt aus dem Siemens Industry Online Support. Es gelten die dort genannten
Nutzungsbedingungen (www.siemens.com/nutzungsbedingungen).

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb
Security-
von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
hinweise
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es
erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich
aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von
Siemens formen nur einen Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und
Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem
Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und
entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen
wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet
werden. Weiterführende Informationen über Industrial Security finden Sie unter
http://www.siemens.com/industrialsecurity.
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu
machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden
Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die
Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-
Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial
Security RSS Feed unter http://www.siemens.com/industrialsecurity.
© Siemens AG 2020 All rights reserved

Inhaltsverzeichnis
1 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern ........................ 3
1.1 Allgemeine Projektierungsschritte ...................................................... 3
1.1.1 OPC-UA-Server starten ..................................................................... 3
1.1.2 Projektierung des OPC-UA-Clients .................................................... 3
1.1.2.1 Einfügen des OPC UA Kanals............................................. 4
1.1.2.2 Neue Verbindung anlegen .................................................. 4
1.1.2.3 Sicherheitseinstellungen ..................................................... 7
1.1.2.4 OPC Variablen anlegen ...................................................... 7
1.2 Zusätzliche Schritte für eine sichere Kommunikation........................ 10
1.2.1 Sicherheitseinstellungen aktivieren .................................................. 10
1.2.2 Austausch von Zertifikaten............................................................... 12
1.2.3 Gültigkeit von Zertifikaten ................................................................ 15
1.2.4 Portnummer auf OPC-UA-Server ändern ......................................... 16
1.3 Notwendige WinCC Lizenzen .......................................................... 16

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 2
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1 OPC-UA-Verbindung zwischen zwei WinCC V7.5

Rechnern
Im Folgenden werden die Vorgehensweisen zur Projektierung einer OPC-UA-Verbindung
zwischen zwei WinCC V7.5 Stationen beschrieben. Hierbei sollen aktuelle Prozesswerte
ausgetauscht werden, d.h. von der OPC UA Spezifikation wird hier nur der Teil DA (Data
Access) genutzt.
Im ersten Schritt werden die allgemeinen Projektierungsschritte für eine unsichere
Kommunikation gezeigt. Im zweiten Schritt wird die Kommunikation sicher gemacht.

1.1 Allgemeine Projektierungsschritte

Es soll eine WinCC Station als OPC-UA-Server betrieben werden. Der Rechnername dieser
Station ist in diesem Beispiel "VMSITRAIN".
Eine zweite WinCC Station soll auf Variablen vom OPC-UA-Server zugreifen und ist somit der
OPC-UA-Client. Der Rechnername dieser Station ist in diesem Beispiel "VCLIENT02".

1.1.1 OPC-UA-Server starten

Damit der OPC-UA-Server läuft, muss auf dem PC "VMSITRAIN" die WinCC Runtime aktiviert
werden. Dies ist notwendig, damit der OPC-UA-Client später auf die Variablen zugreifen kann
© Siemens AG 2020 All rights reserved

und auch damit auf dem OPC-UA-Client den OPC-UA-Server nach Variablennamen
durchsuchen kann.

1.1.2 Projektierung des OPC-UA-Clients

Die weiteren Projektierungsschritte finden auf dem PC statt, der als OPC-UA-Client laufen soll.
In unseren Beispiel "VCLIENT02".

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 3
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1.1.2.1 Einfügen des OPC UA Kanals

Öffnen Sie im WinCC Projekt des OPC-UA-Clients den Variablenhaushalt. Fügen Sie über
"Neuen Treiber hinzufügen" ("Add new driver") den Kanal "OPC UA WinCC Chanel" zu Ihrem
Projekt hinzu.

Abbildung 1-1
© Siemens AG 2020 All rights reserved

1.1.2.2 Neue Verbindung anlegen

Fügen Sie über das Kontextmenü eine "neue Verbindung" ("New Connection") hinzu und
nennen Sie diese "OPC_Server".

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 4
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Abbildung 1-2

Wählen Sie den Menüpunkt "Verbindungsparameter" ("Connection Parameters").

© Siemens AG 2020 All rights reserved

Abbildung 1-3

In der sich öffnenden Maske muss unter "Custom Discovery" ein neuer OPC-UA-Server
eingetragen werden. Nur die lokalen OPC-UA-Server werden direkt angezeigt. Da der OPC-UA-
Server in unserem Beispiel auf einem anderen PC läuft, ist dieser Schritt notwendig.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 5
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Abbildung 1-4
© Siemens AG 2020 All rights reserved

Tragen Sie hier "opc.tcp://vmsitrain" ein und schließen die Maske mit OK.
Die Eingabe der Portnummer 4840 ist nicht notwendig, diese wird vom System ergänzt. Das
Ergebnis sehen Sie in Abbildung 1-5.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 6
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1.1.2.3 Sicherheitseinstellungen

Abbildung 1-5
© Siemens AG 2020 All rights reserved

Die Sicherheitseinstellungen und die Authentifizierungseinstellungen lassen wir zunächst

unverändert. Erst im Abschnitt "1.2 Zusätzliche Schritte für eine sichere Kommunikation"
werden diese dann aktiviert.
Bei der Server URL wird automatisch der Standard-Port "4862" hinzugefügt:
"opc.tcp://vmsitrain:4862".

1.1.2.4 OPC Variablen anlegen

Wählen Sie im Kontextmenü der Verbindung "OPC Server durchsuchen" ("Browse OPC
server") aus.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 7
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Abbildung 1-6

Hier können Sie alle Variablen des WinCC Projektes auf dem OPC-UA-Server sehen.
Navigieren Sie zu den Variablen, die Sie auf dem OPC-UA-Client anzeigen wollen und
aktivieren Sie in der ersten Spalte "Zugriff" ("Access") das Optionsfeld. Im obigen Beispiel
wurden einige Variablen aus einer S7-1500-Verbindung ausgewählt.

Möchten Sie nur die gerade angelegten Variablen sehen, so wechseln Sie aus der Symbolsicht
zurück in den Variablenhaushalt und gehen zu "Variablen" ("Tags"):
© Siemens AG 2020 All rights reserved

Abbildung 1-7

Tipp:
Für die neu anzulegenden Variablen kann optional ein Präfix definiert werden. Dies ist z.B.
dann sinnvoll, wenn Variablennamen in den WinCC Projekten auf mehreren OPC-UA-Servern
gleich heißen.
Der Präfix ("Prefix") kann in den Eigenschaften der Verbindung definiert werden:

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 8
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Abbildung 1-8
© Siemens AG 2020 All rights reserved

Nun können Sie die OPC-Variablen z.B. in Bildern verwenden.

Starten Sie die Runtime und prüfen Sie, ob die Verbindung aufgebaut wird.

Abbildung 1-9

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 9
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Tipp:
Optional kann auf dem OPC-UA-Server ein Schreibschutz für den Zugriff durch den OPC-UA-
Client festgelegt werden. Dies können Sie in den Eigenschaften der Variablen festlegen.
Ebenfalls ist ein Lese- und Schreibschutz möglich. So kann verhindert werden, dass der
Variablenwert vom OPC-UA-Client gelesen werden kann.

Abbildung 1-10
© Siemens AG 2020 All rights reserved

1.2 Zusätzliche Schritte für eine sichere Kommunikation

1.2.1 Sicherheitseinstellungen aktivieren

Auf dem OPC-UA-Client werden die Sicherheitseinstellungen wie folgt aktiviert.

Aktivieren Sie die Runtime auf beiden Rechnern. Somit läuft sowohl der OPC-UA-Server als
auch der OPC-UA-Client.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 10
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Abbildung 1-11
© Siemens AG 2020 All rights reserved

Als Sicherheitsrichtlinie ("Security Policy") wurde in diesem Beispiel "Basic256Sha256" und als
Sicherheitsmodus ("Security mode") "SignAndEncrypt" ausgewählt. Dies ist die höchste
Sicherheit, die zur Verfügung steht.
Alternativ wären für die Sicherheitsrichtlinie "None", "Basic128Rsa15" oder "Basic256" möglich
gewesen.
Beim Sicherheitsmodus wäre statt "SignAndEncrypt" auch "Sign" möglich gewesen. Eine
Signierung schützt Daten vor einer Manipulation. Ein Verschlüsseln schützt vor Spionage, da
Unbefugte keine Kenntnis vom Inhalt erlangen können.

Tipp:
Im FAQ "Wie unterstützen SIMATIC und SITOP Produkte die Kommunikation über OPC UA?"
finden Sie eine Übersicht, welche Produkte bestimmte Features der OPC UA-Kommunikation
(z.B. Sicherheitsrichtlinie) unterstützen:
https://support.industry.siemens.com/cs/de/de/view/109763315

Nach obigen Änderungen wird die Verbindung zwischen OPC-UA-Server und -Client abgebaut.
Damit diese wieder aufgebaut werden kann sind weitere Schritte notwendig.
OPC-UA-Verbindung WinCC V7.5
Beitrags-ID: 109479664, V1.0, 10/2020 11
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1.2.2 Austausch von Zertifikaten

Für eine sichere Kommunikation müssen zwischen OPC-UA-Server und -Client

Sicherheitszertifikate ausgetauscht werden.
Die Situation vor der Aktivierung der sicheren Kommunikation sieht bezüglich der Zertifikate wie
folgt aus.
Die Pfade beziehen sich alle auf das Installationsverzeichnis von WinCC. Dieses ist
standardmäßig C:\Programme (x86)\Siemens\WinCC\....
Die Zertifikate haben die Endung *.der und wurden während der Installation von WinCC
erzeugt. Der vollständige Name der Zertifikate ist z.B. "Siemens OPC UA Server for WinCC
[6AEEEC2EDBDA591A5F9E7F703B8C18785DB0689C].der". In den eckigen Klammern ist der
sogenannte Fingerabdruck (40 Zeichen) des Zertifikates zu sehen. Dieser ist eindeutig und wird
bei Ihrer Installation anders aussehen. In den folgenden Abbildungen wurden die Namen der
Zertifikate gekürzt.
Die beiden grau markierten Zertifikate sind vorhanden, spielen aber in dieser Konfiguration
keine Rolle.

Abbildung 1-12
© Siemens AG 2020 All rights reserved

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 12
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Nach Aktivieren der sicheren Kommunikation sind folgende Schritte notwendig.

(1) Das Zertifikat des OPC-UA-Servers wurde automatisch von
C:\Programme (x86)\Siemens\WinCC\opc\UAServer\PKI\CA\certs auf den OPC-UA-Client
nach C:\Programme (x86)\Siemens\WinCC\opc\UAClient\PKI\Rejected\certs kopiert.
(2) Danach muss das Zertifikat auf dem OPC-UA-Client von
…\WinCC\opc\UAClient\PKI\Rejected\certs nach
…\WinCC\opc\UAClient\PKI\Trusted\certs händisch verschoben werden.

Abbildung 1-13
© Siemens AG 2020 All rights reserved

Tipp:
Wenn Sie auf dem OPC-UA-Client in der Maske Verbindungsparameter auf die Schaltfläche
"Zertifikate" (siehe Abbildung 1-11) klicken, können Sie direkt in den Ordner C:\Programme
(x86)\Siemens\WinCC\ opc\UAClient\PKI springen.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 13
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

Nach diesen zwei Schritten sind weitere Schritte notwendig.

(1) Das Zertifikat des OPC-UA-Clients wurde automatisch von
…\WinCC\opc\UAClient\PKI\OPCUA\certs auf den OPC-UA-Server nach
…\WinCC\opc\UAServer\PKI\CA\rejected\certs kopiert. Dies geschieht nur, wenn der OPC-
UA-Server und der OPC-UA-Client läuft (die Runtime läuft auf beiden Rechnern).
(2) Danach muss das Zertifikat auf dem OPC-UA-Server von
…\WinCC\opc\UAServer\PKI\CA\rejected\certs nach
…\WinCC\opc\UAServer\PKI\CA\certs händisch verschoben werden.

Abbildung 1-14
© Siemens AG 2020 All rights reserved

Nach diesen Schritten sieht die Verteilung der Zertifikate wie folgt aus:

Abbildung 1-15

Nach diesen Schritten baut sich die OPC Verbindung auf.

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 14
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1.2.3 Gültigkeit von Zertifikaten

Alle oben gezeigten Zertifikate werden bei der Installation von WinCC neu erzeugt. Die
Gültigkeit ist 5 Jahre.
Wie lange ein Zertifikat noch gültig ist, kann einfach überprüft werden, indem im Windows-
Explorer ein Doppelklick auf die *.der Datei gemacht wird.

Abbildung 1-16
© Siemens AG 2020 All rights reserved

Die obere Aussage "Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig"

kann ignoriert werden, da der OPC UA Server ein eigenes Zertifikatsverzeichnis verwendet und
unabhängig von der Windows Zertifikatsverwaltung ist. Aus dem gleichen Grund ist die
Schaltfläche "Zertifikat installieren…" nicht zu benutzen.

Bevor ein Zertifikat ausläuft, muss es verlängert werden, da sonst die Kommunikation nicht
mehr funktioniert. Weitere Informationen dazu erhalten Sie im FAQ "Wie erzeugen oder löschen
Sie ein CA-Zertifikat des OPC UA Servers und des OPC UA Clients von WinCC?"
https://support.industry.siemens.com/cs/ww/de/view/109765628

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 15
 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern

1.2.4 Portnummer auf OPC-UA-Server ändern

Der Standard-Port beim OPC-UA-Server ist bei WinCC "4862" ( z.B. "opc.tcp://vmsitrain:4862").
Sollte es notwendig sein, dass dieser geändert wird, so ist dies in der Datei
"OPCUAServerWinCC.xml" im Verzeichnis <WinCC-Projektordner>\OPC\UAServer möglich.
Weitere Informationen hierzu finden Sie in der WinCC Hilfe unter " Schnittstellen > OPC-Open
Connectivity > WinCC-OPC-UA-Server > Konfiguration des WinCC-OPC-UA-Servers ".

Stellen Sie sicher, dass Ihre Firewall nicht die Kommunikation zwischen Server und Client
behindert. Entsprechende Einstellungen werden bei der Installation von WinCC automatisch
vorgenommen.

1.3 Notwendige WinCC Lizenzen

Wird WinCC V7.5 als OPC-UA-Server genutzt, so ist neben den anderen Lizenzen (z.B. WinCC
RT 2048) zusätzlich eine "WinCC Connectivity Pack" Lizenz notwendig. Ohne diese Lizenz
kann ein OPC-UA-Client keine Verbindung aufbauen.

Wird WinCC V7.5 als OPC-UA-Client genutzt, so ist keine zusätzliche Lizenz notwendig.
© Siemens AG 2020 All rights reserved

OPC-UA-Verbindung WinCC V7.5

Beitrags-ID: 109479664, V1.0, 10/2020 16