Sm@rtServer auf SIMATIC Basic Panels konfigurieren
Die neuen Siemens SIMATIC Basic Panels haben standardmäßig den Sma@rtServer an Bord. Dieses Feature erlaubt den Bildschirminhalt des Touchpanels über Ethernet auf einen Computer zu spiegeln und ermöglicht gleichzeitig die entfernte Bedienung des Panels als befände man sich direkt davor. Auf dem Computer muss dazu der Sm@rtClient installiert werden.
Technisch gesehen macht sich dazu der Sm@rtServer und der Sm@rtClient das VNC-Protokoll zu nutze, das auch außerhalb der Automatisierungstechnik viele Anwendungsbereiche hat. VNC steht für virtual network computing, setzt auf TCP/IP auf und hat in der Regel die Portnummer 5900.
Möchte man nun den Sm@rtServer auf dem Panel aktivieren, um sich remote aufschalten zu können muss zuerst die Funktion im Projekt im TIA Portal aktiviert werden und eine entsprechende Lizenz auf dem Panel hinterlegt werden. Dies funktioniert mit dem TIA Portal und dem Automation License Manager recht unkompliziert.
Folgende Schritte setzen voraus, dass sich der Programmier-PC (TIA Portal, etc.) und das SIMATIC Basic Panel in einem gemeinsamen Netzwerk befinden, oder direkt über ein Ethernet-Kabel miteinander verbunden sind!
Den Sm@rtServer im TIA Portal aktivieren
Im TIA Portal in der Projektansicht wird zuerst das Basic Panel ausgewählt und der Baum aufgeklappt. Unter "Runtime Settings" befindet sich dann der Menüpunkt "Services", darunter nur eine einzige Option "Start Sm@rtServer". Mit dieser wird der Sm@rtServer aktiviert. Sobald die Konfiguration auf das Panel geladen wurde, stehen im "HMI Host Menu" weitere Einstellungen zur Verfügung.
Bevor wir diese Einstellungen nun anpassen, sollte die Lizenz auf dem Panel hinterlegt werden.
Die Sm@rtServer Lizenz im Panel hinterlegen
Die Lizenz kann z.B. über die Siemens Industry Mall bezogen werden - entweder als Download über den Automation License Manager (oder TIA Administrator) - alternativ auch per Post auf einem USB-Stick. Anschließend wird die Lizenz aus dem TIA Projekt heraus auf das Panel übertragen.
Mit einem Rechtsklick auf das Panel im TIA Portal wird das Kontextmenü geöffnet und über die Auswahl "HMI Device maintenance" --> "Authorize/License" gelangt man wieder zum Verbindungs-Dialog. Sobald die Verbindung erfolgreich hergestellt wurde, öffnet sich der Automation License Manager und zeigt in der Seitenleiste das Panel mit der konfigurierten IP Adresse an. Nun kann die Lizenz übertragen werden.
Sm@rtServer Einstellungen im HMI Host Menu anpassen (sicherheitsrelevant)
Nachdem die Lizenz auf dem Panel hinterlegt wurde, können die letzten (aber wichtigsten Einstellungen) direkt am Panel vorgenommen werden. Dazu muss auf dem Panel in das "HMI Host Menu" gewechselt werden (entweder über "Start Menu" --> "Settings" oder durch einen entsprechenden programmierten Button die Runtime verlassen). Jetzt können sicherheitsrelevante Einstellungen angepasst werden, darunter:
- Passwörter und Zugriffsberechtigungen für jedes Passwort (insgesamt können drei Passwörter vergeben werden)
- Transportverschlüsselung
- Zertifikatsverwaltung
In die Sm@rtServer Einstellungen gelangt man indem man im "HMI Host Menu" folgendermaßen navigiert: "Settings" --> "Internet Settings". Nun kann man die gewünschten Einstellungen vornehmen. Es erscheint sinnvoll, "Start automatically after booting" zu aktivieren und "Close with Runtime" zu deaktivieren. So wird der Sm@rtServer automatisch gestartet und bleibt auch beim Verlassen der Runtime aktiv. So kann man remote Einstellungen im "HMI Host Menu" vornehmen.
- Encrypt communication: Aktivieren! - verschlüsselt die Session über asymmetrische Verschlüsselung (pki, Zertifikate)
- Enable empty passwords: Deaktivieren! - Ansonsten wird der Zugriff ohne Passwörter ermöglicht. Dies hätte zur Folge, dass jedes Endgerät im gleichen Netzwerk ohne Passwort eine VNC-Sitzung zum Panel aufbauen kann.
- Password Settings: Hier können jeweils zwei unterschiedliche Passwörter vergeben werden, zu jedem Passwort kann die Option "View Only" aktiviert werden. Wird diese Option zusammen mit dem Passwort aktiviert, erhält diese Sitzung nur die Möglichkeit das Panel zu spiegeln - Bedienen ist nicht möglich.
- Force Write Access: Befindet man sich in einer "View Only" Session, kann mit diesem Passwort die "View Only" Beschränkung aufgehoben werden, und durch Eingabe das Panel zusätzlich auch besteuert werden.
Eigenes Sm@rtServer Zertifikat erstellen und auf dem Panel hinterlegen (optional)
Für eine sicherere Integration bzw. Identifikation der Panels und der Sm@rtServer Instanzen im Automatisierungsnetz, besteht die Möglichkeit eigene Zertifikate (für die o.g. Verschlüsselung) per USB auf das Panel zu laden. Der Import erfolgt über den Menüpunkt "Import Certificate", alle Zertifikate können dann über den "Certificate Store" verwaltet werden.
Es gibt unterschiedliche Möglichkeiten eigene/selbst-signierte Zertifikate zu erstellen, nachfolgend benutzen wir OpenSSL (auf Linux). Das Schlüsselpaar (keypair) muss als PKCS#12 Container vorliegen und zwingend "SmartServer.pk12" heißen, da es ansonsten vom Panel nicht erkannt wird und nicht importiert werden kann:
# keypair (Schlüsselpaar) erstellen
openssl req -x509 -sha256 -nodes -days 9650 -newkey rsa:4096 -keyout SmartServer.key -out SmartServer.pem
# in PKCS12 Container konvertieren
openssl pkcs12 -export -out SmartServer.p12 -inkey SmartServer.key -in SmartServer.pem
Mit dem ersten Befehl wird das selbst-signierte Zertifikat (und privater Schlüssel) erstellt, der zweite Befehl konvertiert beides in einen PKCS#12 Container. Der "Common Name" bzw. "FQDN: Fully Qualified Domain Name" muss entsprechend des Hostnames bzw. IP-Adresse des Panels vergeben werden.
Mit dem Sm@rtClient die Verbindung herstellen
Wenn kein eigenes Zertifikat erstellt und auf das Panel übertragen wurde, kann die Verbindung zwischen PC und Panel trotzdem verschlüsselt werden. Das KTP400 Basic Panel erstellt entsprechend der Konfiguration automatisch ein Schlüsselpaar (keypair) für die in der Konfiguration hinterlegte IP-Adresse.
Das Panel kann nach Abschluss der Konfiguration neu gestartet werden. Im Anschluss kann mit dem Sm@rtClient die Verbindung durch Eingabe der IP-Adresse hergestellt werden.
Wie der Remotezugriff über das Internet von einem entfernten Standort aus auf das KTP400 Basic Panel erfolgen kann, seht ihr hier.