TLS Transport Layer Security
Instruction Manual

Algo IP-einpunten befeiligje:
TLS en ûnderlinge ferifikaasje

Help nedich?
604-454-3792 or support@algosolutions.com 

Yntroduksje ta TLS

TLS (Transport Layer Security) is in kryptografysk protokol dat autentikaasje, privacy en ein-oan-ein feiligens leveret fan gegevens dy't ferstjoerd binne tusken applikaasjes of apparaten oer it ynternet. As hosted tillefoanplatfoarms gewoaner wurden binne, is de needsaak foar TLS om feilige kommunikaasje oer it iepenbiere ynternet te leverjen tanommen. Algo-apparaten dy't firmware 1.6.4 of letter stypje, stypje Transport Layer Security (TLS) foar sawol Provisioning as SIP Signaling.
Noat: de folgjende einpunten net stypje TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Fersifering vs identiteit ferifikaasje

Wylst TLS-ferkear altyd fersifere is en feilich is foar ôflústerjen of wiziging fan tredden, kin in ekstra laach fan feiligens levere wurde troch sertifikaten te brûken om de identiteit fan 'e oare partij te ferifiearjen. Hjirmei kin de tsjinner de identiteit fan it IP-einpuntapparaat ferifiearje, en oarsom.
Om de identiteitskontrôle út te fieren, it sertifikaat file moat wurde tekene troch in Certificate Authority (CA). It oare apparaat kontrolearret dan dizze hantekening, mei it Iepenbiere (fertroude) sertifikaat fan dizze CA.

TLS-sertifikaten

Algo IP-einpunten komme foarôf ynstalleare mei in set fan iepenbiere sertifikaten fan fertroude sertifikaasjeautoriteiten fan tredden (CA's), ynklusyf Comodo, Verisign, Symantec, DigiCert, ensfh. harren tsjinners of websiden binne yn feite wa't se sizze dat se binne. Algo-apparaten kinne befestigje dat it kommunisearret mei in autentike tsjinner troch de ûndertekene sertifikaten fan de tsjinner te ferifiearjen tsjin de iepenbiere sertifikaten fan de CA dy't it tekene. Oanfoljende iepenbiere sertifikaten kinne ek uploade, om it Algo-apparaat te tastean ekstra tsjinners te fertrouwe en te ferifiearjen dy't miskien net opnommen binne yn 'e foarynstalleare sertifikaten (bgl.ample, sels ûndertekene sertifikaten).

Underlinge autentikaasje

Mutual Authentication foeget ien ekstra laach fan feiligens ta troch de tsjinner te fereaskje dat it einpuntapparaat ek falidearje en fertrout, neist de tsjinoerstelde rjochting fan it einpunt dat de tsjinner validearret. Dit wurdt ymplementearre mei in unyk apparaatsertifikaat, ynstalleare op elk Algo SIP-einpunt op it momint fan fabrikaazje. Om't it IP-adres fan in Algo-apparaat net fêst is (it wurdt bepaald troch it netwurk fan 'e klant), kin Algo dizze ynformaasje net foarôf publisearje mei de fertroude CA's, en ynstee moatte dizze Apparaatsertifikaten ûndertekene wurde troch Algo's eigen CA.
Foardat de tsjinner it Algo-apparaat dan fertrout, sil de systeembehearder de iepenbiere Algo CA-sertifikaatketen op har tsjinner moatte ynstallearje (bgl.ample it SIP-tillefoansysteem of har foarsjenningstsjinner), sadat dizze tsjinner kin ferifiearje dat it apparaatsertifikaat op it Algo-apparaat yn feite autentyk is.

Noat: Algo IP-einpunten produsearre yn 2019 (begjinnend mei firmware 1.7.1) of letter hawwe it apparaatsertifikaat ynstalleare fan it fabryk.
Om te kontrolearjen as it sertifikaat is ynstalleare, navigearje nei Systeem -> Oer tab. Sjoch it sertifikaat fan de fabrikant. As it sertifikaat net is ynstalleare, asjebleaft e-post support@algosolutions.com.

Cipher Suites

Cipher suites binne sets fan algoritmen brûkt tidens in TLS sesje. Elke suite omfettet algoritmen foar autentikaasje, fersifering en berjochtferifikaasje. Algo-apparaten stypje in protte faak brûkte fersiferingsalgoritmen lykas AES256 en algoritme foar berjochtferifikaasjekoade lykas SHA-2.

Algo Device sertifikaten

Apparaatsertifikaten tekene troch de Algo Root CA binne fabryk ynstalleare op Algo-apparaten sûnt 2019, begjinnend mei firmware 1.7.1. It sertifikaat wurdt oanmakke as it apparaat wurdt produsearre, mei it mienskiplike nammefjild yn it sertifikaat dat it MAC-adres foar elk apparaat befettet.
It apparaatsertifikaat is jildich foar 30 jier en sit yn in aparte partysje, dus it sil net wiske wurde, sels nei it fabryk weromsette fan it Algo-einpunt.
Algo-apparaten stypje ek it uploaden fan jo eigen apparaatsertifikaat om te brûken ynstee fan it fabryk ynstalleare apparaatsertifikaat. Dit kin ynstalleare wurde troch it uploaden fan in PEM file mei sawol in apparaatsertifikaat as in priveekaai it nei de map 'certs' (net de map 'certs/trusted'!) yn it Systeem -> File Manager tab. Dit file moat 'sip' neamd wurde client.pem'.

It opladen fan iepenbiere CA-sertifikaten nei Algo SIP-einpunten

As jo ​​binne op in firmware leger as 3.1.X, please upgrade it apparaat.
Om it sertifikaat te ynstallearjen op in Algo-apparaat mei firmware v3.1 en boppe, folgje de stappen hjirûnder:

1. Krij in iepenbier sertifikaat fan jo sertifikaatautoriteit (elk jildich sertifikaat fan X.509-formaat kin wurde akseptearre). Der is gjin spesifike opmaak nedich foar de filenamme.
2. Yn de web ynterface fan it Algo-apparaat, navigearje nei it Systeem -> File Manager tab.
3. Upload it sertifikaat files yn 'e map 'certs/trusted'. Klikje op 'e Upload knop yn' e boppeste linker hoeke fan 'e file manager en blêdzje nei it sertifikaat.

Web Ynterface opsjes

HTTPS foarsjenning
Provisioning kin befeilige wurde troch de 'Downloadmetoade' yn te setten op 'HTTPS' (ûnder de Avansearre ynstellings> Provisioning tab). Dit foarkomt konfiguraasje files fan lêzen wurde troch in net winske tredde partij. Dit lost it potinsjele risiko op dat gefoelige gegevens stellen wurde, lykas adminwachtwurden en SIP-bewizen.

Om identiteitsferifikaasje út te fieren op 'e Provisioning Server, set ek 'Tsjinnersertifikaat validearje' yn op 'Ynskeakele'. As it sertifikaat fan de foarsjenningstsjinner is tekene troch ien fan 'e mienskiplike kommersjele CA's, dan moat it Algo-apparaat al it iepenbiere sertifikaat foar dizze CA hawwe en de ferifikaasje kinne útfiere.
Upload ekstra sertifikaten (Base64-kodearre X.509-sertifikaat file yn .pem-, .cer- of .crt-formaat) troch te navigearjen nei "Systeem > File Manager" nei de map 'certs/trusted'.
OPMERKING: De parameter 'Tsjinnersertifikaat validearje' kin ek ynskeakele wurde fia foarsjenning: prov.download.cert = 1

HTTPS Web Ynterface protokol
De proseduere foar it uploaden fan in iepenbier sertifikaat foar HTTPS web blêdzjen is gelyk oan wat is beskreaun yn 'e seksje hjirboppe. De httpd.pem file is in apparaatsertifikaat dat wurdt oanfrege troch de browser fan jo kompjûter as jo nei it IP fan it apparaat navigearje. It opladen fan in oanpaste kin jo it warskôgingsberjocht kwytreitsje as jo tagong krije ta de WebUI mei HTTPS. It is gjin iepenbier CA-sertifikaat. It sertifikaat moat opladen wurde nei de 'certs'.

SIP-sinjalearring (en RTP-audio)

SIP-sinjalearring is befeilige troch 'SIP Transportation' yn te stellen op 'TLS' (ûnder de Avansearre ynstellings> Avansearre SIP-ljepper).

• It soarget derfoar dat it SIP-ferkear fersifere wurdt.
• De SIP-sinjalearring is ferantwurdlik foar it oprjochtsjen fan de oprop (de kontrôlesinjalen om de oprop te begjinnen en te einigjen mei de oare partij), mar it befettet gjin audio.
• Foar it audio (stim) paad, brûk de ynstelling 'SDP SRTP Offer'.
• It ynstellen fan dit op 'Opsjoneel' betsjut dat de RTP-audiogegevens fan 'e SIP-oprop fersifere wurde (mei SRTP) as de oare partij ek audiofersifering stipet.
• As de oare partij SRTP net stipet, dan sil de oprop noch trochgean, mar mei net-fersifere audio. Om audio-fersifering ferplicht te meitsjen foar alle oproppen, set 'SDP SRTP Offer' op 'Standert'. Yn dit gefal, as de oare partij gjin audio-fersifering stipet, dan wurdt de oproppoging ôfwiisd.
• Om identiteitsferifikaasje út te fieren op 'e SIP-tsjinner, set 'Falisearje tsjinnersertifikaat' ek yn op 'ynskeakele'.
• As it sertifikaat fan de SIP-tsjinner is tekene troch ien fan 'e mienskiplike kommersjele CA's, dan moat it Algo-apparaat al it iepenbiere sertifikaat foar dizze CA hawwe en de ferifikaasje kinne útfiere. As net (bglample mei sels-ûndertekene sertifikaten), dan kin it passende iepenbiere sertifikaat opladen wurde nei it Algo-apparaat lykas earder beskreaun yn dit dokumint.

TLS Ferzje 1.2
Algo-apparaten mei firmware v3.1 en boppe stypje TLS v1.1 en v1.2. 'Force Secure TLS
Ferzje' opsje kin brûkt wurde om TLS-ferbiningen te freegjen om TLSv1.2 te brûken. Om dizze funksje yn te skeakeljen:

• Gean nei Avansearre ynstellings> Avansearre SIP
• Stel de 'Force secure TLS Version' as ynskeakele en bewarje.
  NOAT: Dizze opsje is fuortsmiten yn v4.0+ sûnt TLS v1.2 wurdt standert brûkt

Algo sertifikaten Download

Hjirûnder binne in set keppelings om de Algo CA-sertifikaatketen te downloaden. De files kinne wurde ynstalleare op 'e SIP-tsjinner of foarsjenningstsjinner om dizze tsjinners de apparaatsertifikaten op Algo SIP-einpunten te ferifiearjen, en sa ûnderlinge ferifikaasje tastean:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Iepenbier Sertifikaat: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Troubleshooting

As de TLS-handshake net foltôge wurdt, stjoer dan in pakketopfang nei Algo-stipe foar analyse. Om dat te dwaan moatte jo it ferkear spegelje, fan 'e haven wêrmei it Algo-einpunt ferbûn is op' e netwurkswitch, werom nei in kompjûter.

Algo Communication Products Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokuminten / Resources

ALGO TLS Transport Layer Security [pdfYnstruksjes TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Referinsjes

• User Manual