Siemens S7-1500 – GDS-Push Setup-Anleitung
| Version | Datum | Autor | Änderung |
|---|---|---|---|
| 1.0 | 26.03.2026 | Maximilian Wilke (BxC Security) | Erste Version |
Diese Anleitung beschreibt die Konfiguration von GDS Push auf einer Siemens S7-1500 SPS mithilfe von TIA Portal.
Die GDS-Push-Funktionalität ermöglicht ein zentralisiertes und automatisiertes Zertifikatsmanagement für die OPC-UA-Kommunikation. Anstatt Zertifikate manuell auf jedem Gerät einzuspielen, kann ein Global Discovery Server (GDS) Zertifikate sicher über alle angebundenen Systeme verteilen und aktualisieren.
1. OPC-UA-Server aktivieren
Um die Kommunikation über OPC UA zu ermöglichen, muss der OPC-UA-Server auf der S7-1500-CPU aktiviert werden.
Schritt 1 – CPU-Eigenschaften öffnen
Öffnen Sie in TIA Portal die Eigenschaften der konfigurierten S7-1500-CPU.
Schritt 2 – OPC-UA-Server aktivieren
Navigieren Sie im Inspektorfenster zu:
OPC UA → Server → General
Aktivieren Sie das Kontrollkästchen: "Activate OPC UA server"
2. Dynamisches Zertifikatsmanagement aktivieren
Um die GDS-Push-Funktionalität sicher nutzen zu können, muss das dynamische Zertifikatsmanagement aktiviert und ein dedizierter Benutzer mit entsprechenden Berechtigungen konfiguriert werden.
Erstellen Sie einen dedizierten Benutzer mit eingeschränkten Rechten, anstatt ein vorhandenes Administratorkonto zu verwenden. Dadurch wird das OPC-UA-GDS-Zertifikatsmanagement von anderen Systemfunktionen getrennt.
2.1 Dedizierte Rolle anlegen
Schritt 1 – Benutzerverwaltung öffnen
Navigieren Sie im Projektbaum zu Sicherheitseinstellungen und doppelklicken Sie auf: "Benutzer und Rollen"
Schritt 2 – Neue Rolle anlegen
- Öffnen Sie die Registerkarte Rollen. (Ist die Registerkarte nicht sichtbar, schließen Sie das Informations-Popup.)
- Klicken Sie auf "Neue Rolle hinzufügen".
- Geben Sie einen Namen für die Rolle ein, z. B.:
RoleOpcUaCertificateMgmt
Schritt 3 – Laufzeitrechte zuweisen
- Wählen Sie die neu erstellte Rolle aus.
- Öffnen Sie im unteren Bereich die Registerkarte "Laufzeitrechte".
- Weisen Sie folgende Rechte zu:
- Zertifikate verwalten
- OPC-UA-Serverzugriff
2.2 Dedizierten Benutzer anlegen
Schritt 4 – Neuen Benutzer anlegen
- Öffnen Sie die Registerkarte Benutzer.
- Klicken Sie auf "Neuen Benutzer hinzufügen".
- Legen Sie einen neuen lokalen Benutzer an.
Schritt 5 – Rolle dem Benutzer zuweisen
- Wählen Sie den neu erstellten Benutzer aus.
- Öffnen Sie im unteren Bereich die Registerkarte "Zugewiesene Rollen".
- Weisen Sie dem Benutzer die zuvor erstellte Rolle (
RoleOpcUaCertificateMgmt) zu.
Dieser Benutzer verfügt nun über die erforderlichen Berechtigungen, um sich mit der CPU zu verbinden und Zertifikate zu verwalten.
2.3 GDS Push aktivieren
Schritt 6 – GDS Push aktivieren
Navigieren Sie zu:
OPC UA → Server → General
Aktivieren Sie die Option: "Enable Global Discovery Push (GDS Push)"
Schritt 7 – Zertifikatsnutzung zur Laufzeit aktivieren
Navigieren Sie zu:
Protection & Security → Certificate manager
Aktivieren Sie die Option: "Use certificates provided by certificate management during runtime"
Das dynamische Zertifikatsmanagement (GDS Push) ist nun erfolgreich aktiviert. Die CPU akzeptiert Zertifikate, die von einem angebundenen Global Discovery Server verteilt werden.
3. Konfiguration speichern, kompilieren und laden
Nach Abschluss der Konfiguration muss das Projekt gespeichert, kompiliert und auf die CPU geladen werden.
Schritt 1 – Projekt speichern
Speichern Sie das aktuelle TIA-Portal-Projekt.
Schritt 2 – Konfiguration kompilieren
- Wählen Sie im Projektbaum den Geräteordner der CPU aus.
- Klicken Sie in der Funktionsleiste auf die Schaltfläche "Übersetzen".
Die Konfiguration ist erfolgreich abgeschlossen, sobald das Projekt fehlerfrei kompiliert.
Schritt 3 – Auf CPU laden
- Wählen Sie im Projektbaum den Geräteordner der CPU aus.
- Klicken Sie in der Funktionsleiste auf die Schaltfläche "In Gerät laden".
Der Ladevorgang wird gestartet und ausgeführt.
4. Uhrzeit der CPU einstellen
Beim Arbeiten mit Zertifikaten ist es unabdingbar, dass alle Geräte im System über korrekte und synchronisierte Zeiteinstellungen verfügen. Die Gültigkeitszeiträume von Zertifikaten hängen von einer genauen Systemzeit ab.
Schritt 1 – Online & Diagnose öffnen
- Doppelklicken Sie im Projektbaum auf "Online & Diagnose" im CPU-Geräteordner.
- Der Dialog Online & Diagnose wird geöffnet.
Schritt 2 – Uhrzeit einstellen
- Navigieren Sie zu: Funktionen → Uhrzeit einstellen
- Aktivieren Sie das Kontrollkästchen: "Von PG/PC übernehmen"
Damit wird die CPU-Uhrzeit anhand der Uhr des Engineering-Arbeitsplatzes gesetzt.
Schritt 3 – Online gehen mit der CPU
- Wählen Sie im Projektbaum den Geräteordner der CPU aus.
- Klicken Sie in der Funktionsleiste auf die Schaltfläche "Online gehen".
5. Provisionierungszustand
Nach dem Laden der Konfiguration wechselt die CPU in den Provisionierungszustand.
Erwartetes Verhalten:
- Der Provisionierungszustand wird durch eine Meldung im Diagnosepuffer angezeigt.
- Die MAINT-LED an der CPU leuchtet gelb.
Dieser Zustand zeigt an, dass die CPU für die Zertifikatsversorgung über GDS Push bereit ist. IDIAL kann nun als GDS-Client eine Verbindung zur CPU herstellen und die erforderlichen OPC-UA-Zertifikate bereitstellen.
Fahren Sie nach Erreichen des Provisionierungszustands der S7-1500 mit dem IDIAL-Deployment fort und konfigurieren Sie den OPC-UA-Endpunkt dieser SPS. IDIAL verwendet das GDS-Push-Protokoll, um die erforderlichen Zertifikate automatisch zu übertragen.