西门子博图Web服务器配置一

启用 Web 服务器

简要说明

在 STEP 7 中，通过“设备组态”(Device Configuration) 为要连接的 CPU 启用 Web 服

务器。要启用 Web 服务器，请按以下步骤操作：

1. 在设备组态视图中选择 CPU。

2. 在巡视窗口中，从 CPU 属性中选择“Web 服务器”(Web server)。

3. 选中“激活此设备所有模块上的 Web 服务器”(Activate web server on all

modules

of this device) 复选框。

4. 出于安全考虑，为了对 Web 服务器进行安全访问，确保选中“仅允许使用 HTTPS

访问”(Permit access only with HTTPS)。

5. 如果选择了“自动更新”(Automatic update) 的“启用自动更新”(Enable

automatic update)，则标准 Web 页面将默认每十秒刷新一次。您也可以在“更新间

隔”(Update interval) 字段中输入自定义刷新时间周期，单位为秒。

通过 Web 服务器对 CPU 进行未经授权的访问

未经授权访问 CPU 或将 PLC 变量更改为无效值可能会中断过程操作并可能导致死亡、严

重人身伤害和/或财产损失。

由于启用 Web 服务器后授权用户可执行操作模式更改、写入 PLC 数据以及固件更

新，Siemens 建议遵照以下安全实践：

1. 仅使用 HTTPS 协议启用对 Web 服务器的访问。

2. 使用可靠的密码对 Web 服务器用户 ID 进行密码保护。强密码在长度上至少为十个字

符，可以是字母、数字和特殊字符的组合，不能是可在字典上找到的词，并且不能是

可从个人信息推断出的名字或标识符。保管好密码并经常更改密码。

3. 不要扩展“所有人”(Everybody) 用户的默认最低权限。

4. 对程序逻辑中的变量执行错误检查和范围检查，因为 Web 页面用户可将 PLC 变量更

改为无效值。

5. 如果您不在受保护的网络范围内，请使用安全的虚拟专用网络 (VPN) 连接到 S7-1200

PLC Web 服务器。

下载设备组态后，可使用标准 Web 页面访问 CPU 的简介和开始页面。要访问其它页面，

用户必须组态一个或多个 Web 服务器用户。

如果创建并启用了用户自定义 Web 页面，则可通过标准 Web 页面或基本 Web 页面的导航

菜单访问这些页面。

设备更换：使用 V4.x CPU 替换 V3.0 CPU

如果您使用 V4.x CPU 替换现有的 V3.0 CPU 并将您的 V3.0 项目转换为 V4.x 项目，请

注意，STEP 7 和 V4.x CPU 将为以下两项保持 Web 服务器设置

“激活此设备所有模块上的 Web 服务器”(Activate web server on all modules of

this device)

仅允许使用 HTTPS 访问 (Permit access only with HTTPS)

如果正在“在 RUN 模式下进行下载”，那么在下载完成之前，标准和用户定义的 Web 页面

不会更新数据值，也不允许写入任何数据值。下载期间，Web 服务器会放弃写入数据值的任

何尝试。

组态 Web 服务器用户

您可为用户组态通过 Web 服务器访问 CPU 的各种权限级别。

要组态 Web 服务器用户及其相关权限，请按以下步骤操作：

1. 在设备组态视图中选择 CPU。

2. 在巡视窗口的 CPU 属性中选择“Web 服务器”(Web server)，启用 Web 服务器

3. 在 Web 服务器属性中选择“用户管理”(User management)。

4. 为想要使用的用户登录输入用户名、访问级别和密码。

将组态下载到 CPU 后，只有授权用户才能以相应权限访问 Web 服务器功能。

Web 服务器访问级别

STEP 7 提供的默认用户名称为“所有人”(Everybody)，没有密码。默认情况下，此用户

没有任何附加权限，只能查看开始和简介两个标准的 Web 页面。不过，可以为“所有

人”(Everybody) 用户和其他用户组态附加权限：

•

查询诊断

•

读取变量

•

写入变量

•

读取变量状态

•

写入变量状态

•

打开“用户自定义 Web”(user-defined web) 页面

•

在用户自定义 Web 页面中进行写操作

•

读取文件

•

写入/删除文件

•

更改工作模式

•

闪烁 LED

•

执行固件更新

•

备份 CPU

•

恢复 CPU

•

更改系统参数

•

更改应用程序参数

如果为 Web 服务器设置用户自定义 Web 页面为入口页面，则“所有人”(Everybody) 用

户必须具备“打开用户自定义 Web 页面”的权限。

访问 Web 服务器

授予“所有人”(Everybody) 用户相应权限，即可在没有密码的情况下登录 Web 服务器。

未经授权访问 CPU 或将 PLC 变量更改为无效值可能会中断过程操作并可能导致死亡、严

重人身伤害和/或财产损失。

由于具有足够权限的“所有人”(Everybody) 用户能够在没有密码的情况下执行工作模式

更改、写入 PLC 数据以及进行固件更新，Siemens 建议遵照以下安全实践

•

仅使用 HTTPS 协议启用对 Web 服务器的访问。

•

使用可靠的密码对 Web 服务器用户 ID 进行密码保护。强密码在长度上至少为十

个字符，可以是字母、数字和特殊字符的组合，不能是可在字典上找到的词，并且不能

是可从个人信息推断出的名字或标识符。保管好密码并经常更改密码。

•

不要扩展“所有人”(Everybody) 用户的默认最低权限。

•

对程序逻辑中的变量执行错误检查和范围检查，因为 Web 页面用户可将 PLC 变量

更改为无效值。

•

如果您不在受保护的网络范围内，请使用安全的虚拟专用网络 (VPN) 连接到 S7-

1200 PLC Web 服务器

通过 PC 访问 Web 页面

可以通过 S7-1200 CPU 或本地机架中任意已启用 Web 服务器的 CP 的 IP 地址从 PC 或

从移动设备访问 S7-1200 的标准 Web 页面。

要通过 PC 访问 S7-1200 的标准 Web 页面，请按以下步骤操作：

1. 请确保 S7-1200 和 PC 位于同一个以太网中，或二者之间直接使用标准以太网电

缆进行连接。

2. 打开 Web 浏览器，输入 URL“”，其中“”与

S7-1200 CPU 或本地机架中 CP 的 IP 地址对应。

Web 浏览器打开“简介”(Introduction) 标准 Web 页面，或者如果将用户自定义 Web 页

面组态为入口页面，将打开其默认 HTML 页面。

说明

如果您不在受保护的网络范围内，请使用安全的虚拟专用网络 (VPN) 连接到

S7-1200 PLC Web 服务器。另外，还要注意 Web 环境或操作系统可能造成的

任何限制。

通过输入页面 URL 访问标准网页

可以通过页面的 URL 访问特定的标准网页。为此，请

“/.html”的方式输入 URL，其中“”与 S7-

1200 CPU 或本地机架中 CP 的 IP 地址对应：

•

/ - 显示有关 CPU 常规信息的起始页面

•

/ - 显示有关 CPU 的标识信息，包括

序列号、订单号和版本号，现在称作“诊断”(Diagnostics) 页面

•

/ - 有关本地机架中的模块和固件更新能力的信

息

•

/ - 有关网络地址、通信接口的物理属

性和通信统计的通信信息

•

/ - 诊断缓冲区

•

/ - CPU 变量（变量）和 I/O，可以通过地

址、PLC 变量名或数据块变量名进行访问

•

/ - 监控表

•

/ - 用于访问存储在 CPU 内部或存储卡中

的数据日志文件或配方文件的浏览器

•

/ - 进入标准 Web 页面的简介页面

•

/ - 用户当前未进行登录时的登录页面，否则，

页面为空。

例如，如果输入“/”，浏览器将显示通信页

面。

说明

请注意任何以上没有明确列出的 Web 页面（例如，“在线备份”(Online

backup) 页面）都不能直接访问 URL。

安全访问

如果您不在受保护的网络范围内，请使用安全的虚拟专用网络 (VPN) 连接到 S7-1200 PLC

Web 服务器。要求使用 （而不是 ）对标准 Web 页面进行安全访问。使

用 连接到 S7-1200 时，网站将通过数字证书对会话进行加密。Web 服务器将安

全地发送数据，而不会被任何人看到。通常，您会收到安全警告，可以按“是”(Yes) 继

续浏览标准 Web 页面。要避免每次安全访问时都出现安全警告，可以将 Siemens 软件证

书导入 Web 浏览器。

通过移动设备访问 Web 页面

要通过移动设备访问 S7-1200，必须将 PLC 连接到与 Internet 或本地无线接入点相

连的网络。使用安全的虚拟专用网络 (VPN) 将移动设备连接到 S7-1200 PLC Web 服务

器。可以使用无线路由器中的端口转发功能将 PLC 的 IP 地址映射到移动设备可通过

Internet 进行访问的地址。要组态端口转发功能，请按路由器软件组态的说明进行操作。

路由器支持多少 PLC 和开关设备，您就可以连接多少。

没有端口转发时，您可以连接到 PLC，但只能在无线信号的范围内进行本地连接。

在此示例中，处于本地无线接入点范围内的移动设备可根据相应的 IP 地址连接到 PLC 3

和 PLC 4。移动设备可以通过本地无线范围外的 Internet，使用各 PLC 的端口转发地址

连接到 PLC 1 和 PLC 2。

要访问标准 Web 页面，必须能够访问蜂窝服务或无线接入点。要通过 Internet 访问

PLC，应在要访问 PLC 的移动设备的 Web 浏览器中输入端口转发地址，例如

:pppp 或 :pppp，其中 是路由器

地址，pppp 是特定 PLC 的端口分配。

要通过本地无线接入点进行本地访问，请输入 S7-1200 CPU 或本地机架中已启用 Web 服

务器的 CP 的 IP 地址：

或 访问标准 Web 页面

/basic 或 /basic 访问基础 Web 页面

为获得更高安全性，请将 Web 服务器配置为只能通过安全访问 (HTTPS) 来访问。

通过 CP 模块访问 Web 页面

不论是从 PC 还是从移动设备访问 Web 服务器，如果已在 STEP 7 中组态了以下 CP 模

块之一并将其安装在具有 S7-1200 CPU 的本地机架中，就可以通过它连接到 Web 页面：

•

CP 1242-7 GPRS V2

•

CP 1243-1

•

CP 1243-7 LTE-EU

•

CP 1243-7 LTE-US

•

CP 1243-8 IRC

可以使用“起始”标准 Web 页面通过这些 CP 模块访问 Web 页面。“起始”页面将显示

您的本地机架中拥有的所有已组态和已安装的 CP 模块，但只能从以上所列的模块访问

Web 页面。

说明

已启用 Web 服务器的 CP 位于本地机架中时对标准 Web 页面的访问

如果已启用 Web 服务器的 CP 位于本地机架，则在连接到 S7-1200 标准 Web 页面时，

可能会观察到一或两分钟的延迟。如果页面不可用，或出现错误时，只需等待一或两分

钟，然后刷新页面。

下载和安装安全证书

可以将默认 Siemens 安全证书下载到 Internet 选项中。

借助该证书，在 Web 浏览器中输入 （其中“”是设备

的 IP 地址）时，就不必进行安全验证。如果使用 URL，而不是 URL，

则不需要下载并安装该证书。

在支持 S7-1200 V4.3 CPU 的 STEP 7 V15 SP1 或更高版本中，可以在 S7-1200 CPU 的

设备组态中创建证书。此功能位于设备的“保护和安全 > 证书管理器”(Protection &

Security > Certificate manager) 一般设置下。有关证书管理器以及如何创建全局和本

地 CPU 专用证书的说明，请参见 STEP 7 信息系统。

此外，在支持 S7-1200 V4.3 CPU 的 STEP 7 V15 SP1 或更高版本中，还可以为 S7-

1200 CPU 的 Web 服务器创建证书。

下载证书

使用简介页面中的“下载证书”(download certificate) 链接将 Siemens 安全证书下载

到 PC 中。下载和导入程序会因所用 Web 浏览器而异。

将证书导入 Internet Explorer

1. 单击“简介”(Introduction) 页面中的“下载证书”(download certificate) 链

接。

2. 在下一个对话框中，单击“打开”(Open) 打开文件。

3. 在“证书”(Certificate) 对话框中，单击“安装证书”(Install Certificate)

按钮以启动“证书导入向导”(Certificate Import Wizard)。

4. 单击“证书导入向导”(Certificate Import Wizard) 对话框中的“下一步”

(Next) 以设置证书存储位置。

5. 选择“将所有证书存储在以下位置”(Place all certificates in the following

store) 并单击“浏览”(Browse) 按钮。

6. 从“选择证书存储位置”(elect Certificate Store) 对话框中，选择“第三方根

证书颁发机构”(Third-Party Root Certification Authorities)，然后单击“确

定”(OK)。

7. 单击“下一步”(Next)，然后单击“完成”(Finish) 以完成“证书导入向导”

(Certificate Import Wizard)。

将证书导入 Mozilla Firefox

1. 单击 Intro 页面中的“download certificate”链接。

2. 出现提示时，单击“确定”(OK) 以信任 S7-1200 Controller Family。

在旧版本的 Mozilla Firefox 上，单击“下载证书”(download certificate) 后，必须

保存文件并执行向导：

1. 单击打开证书的对话框中的“保存文件”(Save file)。将出现“Downloads”对话

框。

2. 在“下载”(Downloads) 对话框中，双击“MiniWebCA_”或所创建证书的

名称。如果已多次尝试下载，则会显示多个副本。只需双击其中一个重复的证书条目

即可。

3. 如果提示打开可执行文件，请单击“OK”。

4. 如果出现“Open File - Security Warning”对话框，请单击“Open”。将出现

“Certificate”对话框。

5. 单击“Certificate”对话框中的“Install Certificate”按钮。

6. 按照“Certificate Import Wizard”对话框的提示导入证书，并使操作系统自动

选择证书存储位置。

7. 如果出现“Security Warning”对话框，请单击“Yes”确认安装证书。

其它浏览器

导入和安装 Siemens 证书的过程与 Web 浏览器相同。

在 Web 浏览器的 Internet 选项中安装 Siemens 安全证书“S7-1200 Controller Family

”之后，以 访问 Web 服务器时不会再出现安全验证提示。

说明

CPU 重启后，安全证书保持不变。如果更改设备的 IP 地址，并且使用 Internet 浏览

器或 Mozilla Firefox 以外的浏览器，则必须下载新证书。