TLS Transport Layer Security
Papa kuhikuhi

Hoʻopaʻa i nā Algo IP Endpoints:
TLS a me Mutual Authentication

Pono kōkua?
604-454-3792 or kākoʻo@algosolutions.com 

Hoʻolauna iā TLS

ʻO TLS (Transport Layer Security) kahi protocol cryptographic e hāʻawi ana i ka hōʻoia, ka pilikino, a me ka palekana hopena o ka ʻikepili i hoʻouna ʻia ma waena o nā noi a i ʻole nā ​​​​mea hana ma luna o ka Pūnaewele. I ka lilo ʻana o nā paepae kelepona i hoʻokipa ʻia, ua hoʻonui ʻia ka pono o TLS e hāʻawi i ka kamaʻilio palekana ma luna o ka pūnaewele lehulehu. Kākoʻo nā polokalamu Algo e kākoʻo ana i ka firmware 1.6.4 a i ʻole ma hope aku i ka Transport Layer Security (TLS) no ka Provisioning a me SIP Signaling.
Nānā: ʻAʻole kākoʻo nā mea hope i ka TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Hoʻopiʻi me ka hōʻoia ʻike

ʻOiai e hoʻopili mau ʻia ka mākaʻikaʻi TLS a palekana mai ka lohe ʻana a i ʻole ka hoʻololi ʻana o nā ʻaoʻao ʻekolu, hiki ke hāʻawi ʻia kahi papa o ka palekana ma o ka hoʻohana ʻana i nā palapala hōʻoia e hōʻoia i ka ʻike o ka ʻaoʻao ʻē aʻe. ʻAe kēia i ka Server e hōʻoia i ka ʻike o ka hāmeʻa IP Endpoint, a me ka hope.
No ka hana ʻana i ka hōʻoia ʻike, ka palapala palapala file pono e pūlima ʻia e kahi Certificate Authority (CA). A laila e nānā ka mea hana ʻē aʻe i kēia pūlima, me ka hoʻohana ʻana i ka Public (Trusted) Certificate mai kēia CA.

Palapala TLS

Ua hoʻokomo mua ʻia ʻo Algo IP Endpoints me kahi pūʻulu o nā palapala hōʻoia mai ka ʻaoʻao ʻekolu i hilinaʻi ʻia i nā Mana Mana Palapala (CA), me Comodo, Verisign, Symantec, DigiCert, a pēlā aku. kā lākou mau kikowaena a i ʻole webʻO nā pūnaewele ka mea a lākou e ʻōlelo nei. Hiki i nā mea Algo ke hōʻoia i ke kamaʻilio ʻana me kahi kikowaena ʻoiaʻiʻo ma o ka hōʻoia ʻana i nā palapala hōʻoia i kau inoa ʻia e ke kikowaena kūʻē i nā palapala hōʻoia lehulehu mai ka CA nāna i pūlima. Hiki ke hoʻouka hou ʻia nā palapala hōʻoia lehulehu, e ʻae i ka hāmeʻa Algo e hilinaʻi a hōʻoia i nā kikowaena ʻē aʻe i hiki ʻole ke hoʻokomo ʻia i loko o nā palapala i kau mua ʻia (no example, nā palapala hoʻopaʻa inoa ponoʻī).

Hooiaio like

Hoʻohui ʻo Mutual Authentication i hoʻokahi papa o ka palekana ma o ka koi ʻana i ke kikowaena e hōʻoia a hilinaʻi hoʻi i ka hāmeʻa hopena, me ka ʻaoʻao ʻē aʻe o ka hopena e hōʻoia ana i ke kikowaena. Hoʻokō ʻia kēia me ka hoʻohana ʻana i kahi Palapala Pūnaewele kūʻokoʻa, i kau ʻia ma kēlā me kēia Algo SIP Endpoint i ka manawa o ka hana ʻana. No ka mea, ʻaʻole paʻa ka IP address o kahi mea hana Algo (ua hoʻoholo ʻia e ka pūnaewele o ka mea kūʻai aku), ʻaʻole hiki iā Algo ke hoʻolaha mua i kēia ʻike me nā CA hilinaʻi, a ma kahi o kēia, pono e pūlima ʻia kēia mau Device Certificate e ka CA ponoʻī o Algo.
No ka hilinaʻi ʻana o ke kikowaena i ka hāmeʻa Algo, pono ka luna ʻōnaehana e hoʻokomo i ke kaulahao palapala Algo CA lehulehu ma kā lākou kikowaena (no exampi ka SIP Phone System a i ʻole kā lākou kikowaena hoʻolako) i hiki i kēia kikowaena ke hōʻoia i ka ʻoiaʻiʻo o ka Palapala Pūnaewele ma ka hāmeʻa Algo.

Nānā: Hana ʻia nā helu hope IP Algo ma 2019 (e hoʻomaka ana me ka firmware 1.7.1) a i ʻole i hoʻokomo ʻia ka palapala hōʻoia mai ka hale hana.
No ka hōʻoia inā hoʻokomo ʻia ka palapala hōʻoia, hoʻokele i ka System -> About tab. E ʻike i ka palapala hōʻoia o ka mea hana. Inā ʻaʻole i hoʻokomo ʻia ka palapala hōʻoia, e leka uila kākoʻo@algosolutions.com.

Cipher Suites

ʻO Cipher suites nā pūʻulu o nā algorithms i hoʻohana ʻia i ka wā TLS. Loaʻa i kēlā me kēia suite nā algorithms no ka hōʻoiaʻiʻo, hoʻopili, a me ka hōʻoia memo. Kākoʻo nā polokalamu Algo i nā algorithm hoʻopunipuni maʻamau e like me AES256 a me nā algorithm code authentication memo e like me SHA-2.

ʻO nā palapala hōʻoia ʻo Algo Device

Ua hoʻokomo ʻia nā palapala hōʻoia e ka Algo Root CA ma nā polokalamu Algo mai 2019, e hoʻomaka ana me ka firmware 1.7.1. Hoʻokumu ʻia ka palapala hōʻoia i ka wā i hana ʻia ai ka hāmeʻa, me ka kahua inoa maʻamau i ka palapala i loaʻa ka helu MAC no kēlā me kēia mea.
Pono ka palapala hōʻoia no nā makahiki 30 a noho i kahi ʻāpana ʻokoʻa, no laila ʻaʻole ia e holoi ʻia ma hope o ka hoʻonohonoho ʻana o ka hale hana i ka hopena Algo.
Kākoʻo pū nā mea Algo i ka hoʻouka ʻana i kāu palapala hoʻohana ponoʻī e hoʻohana ma kahi o ka palapala hōʻoia mea i hoʻokomo ʻia i ka hale hana. Hiki ke hoʻouka ʻia kēia ma ka hoʻouka ʻana i kahi PEM file Loaʻa i ka palapala hōʻoia a me kahi kī pilikino i ka papa kuhikuhi 'certs' (ʻaʻole ka papa kuhikuhi 'certs/trusted'!) ma ka Pūnaewele -> File ʻO ka pā luna. ʻO kēia file pono e kapa ʻia ʻo 'sip client.pem'.

Hoʻouka ʻana i nā palapala hōʻoia CA Public i nā Algo SIP Endpoints

Inā ʻoe ma kahi firmware haʻahaʻa ma mua o 3.1.X, e ʻoluʻolu e hoʻomaikaʻi i ka hāmeʻa.
No ka hoʻokomo ʻana i ka palapala hōʻoia ma kahi polokalamu Algo e holo ana i ka firmware v3.1 & ma luna, e hahai i nā ʻanuʻu ma lalo:

1. E kiʻi i palapala hōʻoia lehulehu mai kāu Mana Mana Manaʻo (hiki ke ʻae ʻia kekahi palapala hōʻano X.509 kūpono). ʻAʻohe ʻano kikoʻī i koi ʻia no ka fileinoa.
2. I ka web interface o ka mea Algo, hoʻokele i ka System -> File ʻO ka pā luna.
3. Hoʻouka i ka palapala hōʻoia files i loko o ka papa kuhikuhi 'certs/trusted'. Kaomi i ke pihi Upload ma ka ʻaoʻao hema hema o ka file luna a nānā i ka palapala hōʻoia.

Web Nā Koho Interface

Hoʻolako HTTPS
Hiki ke hoʻopaʻa ʻia ka hoʻolako ʻana ma ka hoʻonohonoho ʻana i ka 'Download Method' iā 'HTTPS' (ma lalo o ka ʻaoʻao Advanced Settings > Provisioning tab). Kāohi kēia i ka hoʻonohonoho files mai ka heluhelu ʻia ʻana e kekahi ʻaoʻao ʻekolu makemake ʻole. Hoʻoholo kēia i ka pilikia o ka ʻaihue ʻana i nā ʻikepili koʻikoʻi, e like me nā ʻōlelo huna admin a me nā hōʻoia SIP.

No ka hoʻokō ʻana i ka hōʻoia ʻike ma ka Server Provisioning, e hoʻonohonoho pū i ka 'Validate Server Certificate' iā 'Enabled'. Inā pūlima ʻia ka palapala hōʻoia o ka mea hoʻolako e kekahi o nā CA pāʻoihana maʻamau, a laila pono e loaʻa i ka polokalamu Algo ka palapala hōʻoia lehulehu no kēia CA a hiki iā ia ke hana i ka hōʻoia.
Hoʻouka i nā palapala hōʻoia hou (Base64 i hoʻopaʻa ʻia i ka palapala X.509 file ma .pem, .cer, a i ʻole .crt format) ma ka hoʻokele ʻana i “System > File Luna” i ka waihona 'certs/trusted'.
KA MANAʻO: Hiki ke hoʻohana ʻia ka ʻāpana 'Validate Server Certificate' ma o ka hoʻolako ʻana: prov.download.cert = 1

HTTPS Web Pūnaewele Interface
ʻO ke kaʻina hana e hoʻouka i kahi palapala hōʻoia no HTTPS web Ua like ka mākaʻikaʻi ʻana me ka mea i wehewehe ʻia ma ka ʻāpana ma luna. ʻO ka httpd.pem file he palapala hoʻohana i noi ʻia e kāu polokalamu kele pūnaewele ke hoʻokele ʻoe i ka IP o ka hāmeʻa. ʻO ka hoʻouka ʻana i kahi mea maʻamau e ʻae iā ʻoe e hoʻopau i ka leka hoʻolaha inā ʻoe e komo i ka WebUI me HTTPS. ʻAʻole ia he palapala CA lehulehu. Pono e hoʻoili ʻia ka palapala hōʻoia i nā 'certs'.

SIP Signaling (a me RTP Audio)

Hoʻopaʻa ʻia ka hōʻailona SIP ma ka hoʻonohonoho ʻana iā 'SIP Transportation' i 'TLS' (ma lalo o ka ʻaoʻao Advanced Settings> Advanced SIP).

• E hōʻoia ʻia e hoʻopili ʻia ke kaʻa SIP.
• ʻO ka hōʻailona SIP ke kuleana no ka hoʻokumu ʻana i ke kelepona (nā hōʻailona mana e hoʻomaka a hoʻopau i ke kelepona me kekahi ʻaoʻao), akā ʻaʻole i loko o ka leo.
• No ke ala leo (leo), e hoʻohana i ka hoʻonohonoho 'SDP SRTP Offer'.
• ʻO ka hoʻonohonoho ʻana i kēia i 'Kōpono' ʻo ia ka mea e hoʻopili ʻia ka ʻikepili leo RTP kelepona o ka SIP (me ka hoʻohana ʻana iā SRTP) inā kākoʻo kekahi ʻaoʻao i ka hoʻopili leo.
• Inā ʻaʻole kākoʻo ka ʻaoʻao ʻē aʻe iā SRTP, a laila e hoʻomau ke kelepona ʻana, akā me ka leo i hoʻopili ʻole ʻia. No ke kauoha ʻana i ka hoʻopuna leo leo no nā kelepona a pau, e hoʻonoho iā 'SDP SRTP Offer' i 'Standard'. I kēia hihia, inā ʻaʻole kākoʻo ka ʻaoʻao ʻē aʻe i ka hoʻopili leo, a laila e hōʻole ʻia ka hoʻāʻo kelepona.
• No ka hana ʻana i ka hōʻoia ʻike ma ka SIP Server, e hoʻonohonoho pū i ka 'Validate Server Certificate' i 'Enabled'.
• Inā pūlima ʻia ka palapala hōʻoia o ka server SIP e kekahi o nā CA kūʻai maʻamau, a laila pono e loaʻa i ka polokalamu Algo ka palapala hōʻoia lehulehu no kēia CA a hiki iā ia ke hana i ka hōʻoia. Inā ʻaʻole (no ka example me nā palapala hoʻopaʻa inoa ponoʻī), a laila hiki ke hoʻouka ʻia ka palapala hōʻoia lehulehu kūpono i ka hāmeʻa Algo e like me ka mea i wehewehe mua ʻia ma kēia palapala.

Manaʻo TLS 1.2
Kākoʻo nā polokalamu Algo e holo ana i ka firmware v3.1 & ma luna o TLS v1.1 a me v1.2. 'Hoʻopaʻa ikaika i ka TLS
Hiki ke ho'ohana 'ia ke koho no ka ho'ohana 'ana i TLSv1.2. No ka hoʻohana ʻana i kēia hiʻohiʻona:

• E hele i ka Advanced Settings > Advanced SIP
• E hoʻonoho i ka 'Force secure TLS Version' e like me ka hiki a mālama.
  MANAʻO: Ua wehe ʻia kēia koho ma v4.0+ mai ka hoʻohana ʻana o TLS v1.2 ma ke ʻano paʻamau

Hoʻoiho ʻia nā palapala Algo

Aia ma lalo kahi pūʻulu o nā loulou e hoʻoiho i ke kaulahao palapala Algo CA. ʻO ka files hiki ke hoʻokomo ʻia ma ka SIP Server a i ʻole Provisioning Server i mea e hiki ai i kēia mau kikowaena ke hōʻoia i nā palapala hōʻoia ma Algo SIP Endpoints, a pēlā e ʻae ai i ka Mutual Authentication:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Hoʻoponopono pilikia

Inā ʻaʻole paʻa ka lulu lima TLS, e ʻoluʻolu e hoʻouna i kahi paʻi paʻa i ke kākoʻo Algo no ka nānā ʻana. No ka hana ʻana, pono ʻoe e hoʻohālike i ke kaʻa, mai ke awa i hoʻopili ʻia ka hopena Algo ma ka hoʻololi pūnaewele, hoʻi i kahi kamepiula.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.hooponoponoonline
604-454-3792
kākoʻo@algosolutions.com

Palapala / Punawai

ALGO TLS Transport Layer Security [pdf] Na kuhikuhi TLS, Layer Layer Security, Layer Security, TLS, Layer Layer

Nā kuhikuhi

• Palapala Hoʻohana