Beruflich Dokumente
Kultur Dokumente
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb
Security-
von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.
hinweise
Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es
erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich
aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von
Siemens formen nur einen Bestandteil eines solchen Konzepts.
Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und
Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem
Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und
entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen
wurden.
Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet
werden. Weiterführende Informationen über Industrial Security finden Sie unter
http://www.siemens.com/industrialsecurity.
Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu
machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden
Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die
Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-
Bedrohungen erhöhen.
Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial
Security RSS Feed unter http://www.siemens.com/industrialsecurity.
© Siemens AG 2020 All rights reserved
Inhaltsverzeichnis
1 OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern ........................ 3
1.1 Allgemeine Projektierungsschritte ...................................................... 3
1.1.1 OPC-UA-Server starten ..................................................................... 3
1.1.2 Projektierung des OPC-UA-Clients .................................................... 3
1.1.2.1 Einfügen des OPC UA Kanals............................................. 4
1.1.2.2 Neue Verbindung anlegen .................................................. 4
1.1.2.3 Sicherheitseinstellungen ..................................................... 7
1.1.2.4 OPC Variablen anlegen ...................................................... 7
1.2 Zusätzliche Schritte für eine sichere Kommunikation........................ 10
1.2.1 Sicherheitseinstellungen aktivieren .................................................. 10
1.2.2 Austausch von Zertifikaten............................................................... 12
1.2.3 Gültigkeit von Zertifikaten ................................................................ 15
1.2.4 Portnummer auf OPC-UA-Server ändern ......................................... 16
1.3 Notwendige WinCC Lizenzen .......................................................... 16
Damit der OPC-UA-Server läuft, muss auf dem PC "VMSITRAIN" die WinCC Runtime aktiviert
werden. Dies ist notwendig, damit der OPC-UA-Client später auf die Variablen zugreifen kann
© Siemens AG 2020 All rights reserved
und auch damit auf dem OPC-UA-Client den OPC-UA-Server nach Variablennamen
durchsuchen kann.
Die weiteren Projektierungsschritte finden auf dem PC statt, der als OPC-UA-Client laufen soll.
In unseren Beispiel "VCLIENT02".
Öffnen Sie im WinCC Projekt des OPC-UA-Clients den Variablenhaushalt. Fügen Sie über
"Neuen Treiber hinzufügen" ("Add new driver") den Kanal "OPC UA WinCC Chanel" zu Ihrem
Projekt hinzu.
Abbildung 1-1
© Siemens AG 2020 All rights reserved
Fügen Sie über das Kontextmenü eine "neue Verbindung" ("New Connection") hinzu und
nennen Sie diese "OPC_Server".
Abbildung 1-2
Abbildung 1-3
In der sich öffnenden Maske muss unter "Custom Discovery" ein neuer OPC-UA-Server
eingetragen werden. Nur die lokalen OPC-UA-Server werden direkt angezeigt. Da der OPC-UA-
Server in unserem Beispiel auf einem anderen PC läuft, ist dieser Schritt notwendig.
Abbildung 1-4
© Siemens AG 2020 All rights reserved
Tragen Sie hier "opc.tcp://vmsitrain" ein und schließen die Maske mit OK.
Die Eingabe der Portnummer 4840 ist nicht notwendig, diese wird vom System ergänzt. Das
Ergebnis sehen Sie in Abbildung 1-5.
1.1.2.3 Sicherheitseinstellungen
Abbildung 1-5
© Siemens AG 2020 All rights reserved
Wählen Sie im Kontextmenü der Verbindung "OPC Server durchsuchen" ("Browse OPC
server") aus.
Abbildung 1-6
Hier können Sie alle Variablen des WinCC Projektes auf dem OPC-UA-Server sehen.
Navigieren Sie zu den Variablen, die Sie auf dem OPC-UA-Client anzeigen wollen und
aktivieren Sie in der ersten Spalte "Zugriff" ("Access") das Optionsfeld. Im obigen Beispiel
wurden einige Variablen aus einer S7-1500-Verbindung ausgewählt.
Möchten Sie nur die gerade angelegten Variablen sehen, so wechseln Sie aus der Symbolsicht
zurück in den Variablenhaushalt und gehen zu "Variablen" ("Tags"):
© Siemens AG 2020 All rights reserved
Abbildung 1-7
Tipp:
Für die neu anzulegenden Variablen kann optional ein Präfix definiert werden. Dies ist z.B.
dann sinnvoll, wenn Variablennamen in den WinCC Projekten auf mehreren OPC-UA-Servern
gleich heißen.
Der Präfix ("Prefix") kann in den Eigenschaften der Verbindung definiert werden:
Abbildung 1-8
© Siemens AG 2020 All rights reserved
Abbildung 1-9
Tipp:
Optional kann auf dem OPC-UA-Server ein Schreibschutz für den Zugriff durch den OPC-UA-
Client festgelegt werden. Dies können Sie in den Eigenschaften der Variablen festlegen.
Ebenfalls ist ein Lese- und Schreibschutz möglich. So kann verhindert werden, dass der
Variablenwert vom OPC-UA-Client gelesen werden kann.
Abbildung 1-10
© Siemens AG 2020 All rights reserved
Abbildung 1-11
© Siemens AG 2020 All rights reserved
Als Sicherheitsrichtlinie ("Security Policy") wurde in diesem Beispiel "Basic256Sha256" und als
Sicherheitsmodus ("Security mode") "SignAndEncrypt" ausgewählt. Dies ist die höchste
Sicherheit, die zur Verfügung steht.
Alternativ wären für die Sicherheitsrichtlinie "None", "Basic128Rsa15" oder "Basic256" möglich
gewesen.
Beim Sicherheitsmodus wäre statt "SignAndEncrypt" auch "Sign" möglich gewesen. Eine
Signierung schützt Daten vor einer Manipulation. Ein Verschlüsseln schützt vor Spionage, da
Unbefugte keine Kenntnis vom Inhalt erlangen können.
Tipp:
Im FAQ "Wie unterstützen SIMATIC und SITOP Produkte die Kommunikation über OPC UA?"
finden Sie eine Übersicht, welche Produkte bestimmte Features der OPC UA-Kommunikation
(z.B. Sicherheitsrichtlinie) unterstützen:
https://support.industry.siemens.com/cs/de/de/view/109763315
Nach obigen Änderungen wird die Verbindung zwischen OPC-UA-Server und -Client abgebaut.
Damit diese wieder aufgebaut werden kann sind weitere Schritte notwendig.
OPC-UA-Verbindung WinCC V7.5
Beitrags-ID: 109479664, V1.0, 10/2020 11
OPC-UA-Verbindung zwischen zwei WinCC V7.5 Rechnern
Abbildung 1-12
© Siemens AG 2020 All rights reserved
Abbildung 1-13
© Siemens AG 2020 All rights reserved
Tipp:
Wenn Sie auf dem OPC-UA-Client in der Maske Verbindungsparameter auf die Schaltfläche
"Zertifikate" (siehe Abbildung 1-11) klicken, können Sie direkt in den Ordner C:\Programme
(x86)\Siemens\WinCC\ opc\UAClient\PKI springen.
Abbildung 1-14
© Siemens AG 2020 All rights reserved
Nach diesen Schritten sieht die Verteilung der Zertifikate wie folgt aus:
Abbildung 1-15
Alle oben gezeigten Zertifikate werden bei der Installation von WinCC neu erzeugt. Die
Gültigkeit ist 5 Jahre.
Wie lange ein Zertifikat noch gültig ist, kann einfach überprüft werden, indem im Windows-
Explorer ein Doppelklick auf die *.der Datei gemacht wird.
Abbildung 1-16
© Siemens AG 2020 All rights reserved
Bevor ein Zertifikat ausläuft, muss es verlängert werden, da sonst die Kommunikation nicht
mehr funktioniert. Weitere Informationen dazu erhalten Sie im FAQ "Wie erzeugen oder löschen
Sie ein CA-Zertifikat des OPC UA Servers und des OPC UA Clients von WinCC?"
https://support.industry.siemens.com/cs/ww/de/view/109765628
Der Standard-Port beim OPC-UA-Server ist bei WinCC "4862" ( z.B. "opc.tcp://vmsitrain:4862").
Sollte es notwendig sein, dass dieser geändert wird, so ist dies in der Datei
"OPCUAServerWinCC.xml" im Verzeichnis <WinCC-Projektordner>\OPC\UAServer möglich.
Weitere Informationen hierzu finden Sie in der WinCC Hilfe unter " Schnittstellen > OPC-Open
Connectivity > WinCC-OPC-UA-Server > Konfiguration des WinCC-OPC-UA-Servers ".
Stellen Sie sicher, dass Ihre Firewall nicht die Kommunikation zwischen Server und Client
behindert. Entsprechende Einstellungen werden bei der Installation von WinCC automatisch
vorgenommen.
Wird WinCC V7.5 als OPC-UA-Client genutzt, so ist keine zusätzliche Lizenz notwendig.
© Siemens AG 2020 All rights reserved