ALGO TLS ट्रांसपोर्ट लेयर सुरक्षा निर्देश

टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) एक क्रिप्टोग्राफिक प्रोटोकॉल है जो इंटरनेट पर एप्लिकेशन या डिवाइस के बीच भेजे गए डेटा की प्रमाणीकरण, गोपनीयता और एंड-टू-एंड सुरक्षा प्रदान करता है। जैसे-जैसे होस्टेड टेलीफोनी प्लेटफॉर्म अधिक सामान्य हो गए हैं, सार्वजनिक इंटरनेट पर सुरक्षित संचार प्रदान करने के लिए टीएलएस की आवश्यकता बढ़ गई है। एल्गो डिवाइस जो फर्मवेयर 1.6.4 या बाद के संस्करण का समर्थन करते हैं, प्रोविजनिंग और एसआईपी सिग्नलिंग दोनों के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) का समर्थन करते हैं।
टिप्पणी: निम्नलिखित समापन बिंदु TLS का समर्थन नहीं करते हैं: 8180 IP ऑडियो अलर्टर (G1), 8028 IP डोरफ़ोन (G1), 8128 IP विज़ुअल अलर्टर (G1), 8061 IP रिले कंट्रोलर।

एन्क्रिप्शन बनाम पहचान सत्यापन

जबकि टीएलएस ट्रैफ़िक हमेशा एन्क्रिप्टेड और तृतीय-पक्ष ईव्सड्रॉपिंग या संशोधन से सुरक्षित होता है, दूसरे पक्ष की पहचान को सत्यापित करने के लिए प्रमाणपत्रों का उपयोग करके सुरक्षा की एक अतिरिक्त परत प्रदान की जा सकती है। यह सर्वर को आईपी एंडपॉइंट डिवाइस की पहचान सत्यापित करने की अनुमति देता है, और इसके विपरीत।
पहचान जाँच करने के लिए, प्रमाणपत्र file एक प्रमाणपत्र प्राधिकारी (सीए) द्वारा हस्ताक्षरित होना चाहिए। दूसरा उपकरण तब इस सीए से सार्वजनिक (विश्वसनीय) प्रमाणपत्र का उपयोग करके इस हस्ताक्षर की जांच करता है।

टीएलएस प्रमाणपत्र

एल्गो आईपी एंडपॉइंट्स कोमोडो, वेरीसाइन, सिमेंटेक, डिजीकर्ट, आदि सहित विश्वसनीय तृतीय-पक्ष प्रमाणपत्र प्राधिकरणों (सीए) से सार्वजनिक प्रमाणपत्रों के एक सेट के साथ पूर्व-स्थापित आते हैं। प्रमाणपत्र प्राधिकरण व्यवसायों को हस्ताक्षरित प्रमाण पत्र प्रदान करते हैं ताकि इन व्यवसायों को यह साबित करने की अनुमति मिल सके। उनके सर्वर या webसाइटें वास्तव में वे हैं जो वे कहते हैं कि वे हैं। एल्गो डिवाइस इस बात की पुष्टि कर सकते हैं कि यह उस सीए से सार्वजनिक प्रमाणपत्रों के विरुद्ध सर्वर के हस्ताक्षरित प्रमाणपत्रों को सत्यापित करके एक प्रामाणिक सर्वर से संचार कर रहा है जिसने इसे हस्ताक्षरित किया है। अतिरिक्त सार्वजनिक प्रमाणपत्र भी अपलोड किए जा सकते हैं, एल्गो डिवाइस को अतिरिक्त सर्वरों पर भरोसा करने और सत्यापित करने की अनुमति देने के लिए जो पूर्वस्थापित प्रमाणपत्रों में शामिल नहीं हो सकते हैं (उदाहरण के लिए)ampले, स्व-हस्ताक्षरित प्रमाण पत्र)।

पारस्परिक प्रमाणीकरण

पारस्परिक प्रमाणीकरण सर्वर को सत्यापित करने वाले एंडपॉइंट की विपरीत दिशा के अलावा, सर्वर को एंडपॉइंट डिवाइस को मान्य और विश्वास करने की आवश्यकता के द्वारा सुरक्षा की एक अतिरिक्त परत जोड़ता है। इसे निर्माण के समय प्रत्येक एल्गो एसआईपी एंडपॉइंट पर स्थापित एक अद्वितीय डिवाइस सर्टिफिकेट का उपयोग करके कार्यान्वित किया जाता है। चूंकि एल्गो डिवाइस का आईपी पता निश्चित नहीं है (यह ग्राहक के नेटवर्क द्वारा निर्धारित किया जाता है), एल्गो इस जानकारी को विश्वसनीय सीए के साथ अग्रिम रूप से प्रकाशित नहीं कर सकता है, और इसके बजाय, इन डिवाइस प्रमाणपत्रों को एल्गो के अपने सीए द्वारा हस्ताक्षरित किया जाना चाहिए।
सर्वर को तब एल्गो डिवाइस पर भरोसा करने के लिए, सिस्टम व्यवस्थापक को अपने सर्वर पर सार्वजनिक एल्गो सीए प्रमाणपत्र श्रृंखला स्थापित करने की आवश्यकता होगी (पूर्व के लिए)ampएसआईपी फोन सिस्टम या उनके प्रोविजनिंग सर्वर) ताकि यह सर्वर सत्यापित कर सके कि एल्गो डिवाइस पर डिवाइस सर्टिफिकेट वास्तव में प्रामाणिक है।

टिप्पणी: 2019 में निर्मित एल्गो आईपी एंडपॉइंट (फर्मवेयर 1.7.1 से शुरू) या बाद में कारखाने से डिवाइस प्रमाणपत्र स्थापित है।
यह सत्यापित करने के लिए कि प्रमाणपत्र स्थापित है या नहीं, सिस्टम -> टैब के बारे में नेविगेट करें। निर्माता प्रमाणपत्र देखें। यदि प्रमाणपत्र स्थापित नहीं है, तो कृपया ईमेल करें support@algosolutions.com.

सिफर सुइट्स

सिफर सूट एक टीएलएस सत्र के दौरान उपयोग किए जाने वाले एल्गोरिदम के सेट हैं। प्रत्येक सूट में प्रमाणीकरण, एन्क्रिप्शन और संदेश प्रमाणीकरण के लिए एल्गोरिदम शामिल हैं। एल्गो डिवाइस कई सामान्य रूप से उपयोग किए जाने वाले एन्क्रिप्शन एल्गोरिदम का समर्थन करते हैं जैसे कि AES256 और संदेश प्रमाणीकरण कोड एल्गोरिदम जैसे SHA-2।

एल्गो डिवाइस सर्टिफिकेट

Algo Root CA द्वारा हस्ताक्षरित डिवाइस प्रमाणपत्र 2019 से Algo उपकरणों पर फ़ैक्टरी स्थापित किए गए हैं, जो फ़र्मवेयर 1.7.1 से शुरू होते हैं। प्रमाण पत्र तब उत्पन्न होता है जब उपकरण का निर्माण किया जाता है, प्रत्येक उपकरण के लिए मैक पते वाले प्रमाणपत्र में सामान्य नाम फ़ील्ड के साथ।
डिवाइस प्रमाणपत्र 30 साल के लिए वैध है और एक अलग विभाजन में रहता है, इसलिए एल्गो एंडपॉइंट को फ़ैक्टरी रीसेट करने के बाद भी इसे मिटाया नहीं जाएगा।
Algo डिवाइस फ़ैक्टरी-स्थापित डिवाइस प्रमाणपत्र के बजाय उपयोग करने के लिए आपके स्वयं के डिवाइस प्रमाणपत्र को अपलोड करने का भी समर्थन करते हैं। इसे एक पीईएम अपलोड करके स्थापित किया जा सकता है file सिस्टम में 'सीर्ट्स' डायरेक्टरी (न कि 'सीर्ट्स/विश्वसनीय' डायरेक्टरी!) में एक डिवाइस सर्टिफिकेट और एक निजी कुंजी दोनों शामिल हैं -> File प्रबंधक टैब। इस file 'सिप' कहलाने की जरूरत client.pem'.

एल्गो एसआईपी एंडपॉइंट्स पर सार्वजनिक सीए प्रमाणपत्र अपलोड करना

यदि आप 3.1.X से कम फर्मवेयर पर हैं, तो कृपया डिवाइस को अपग्रेड करें।
फर्मवेयर v3.1 और इसके बाद के संस्करण चलाने वाले Algo डिवाइस पर प्रमाणपत्र स्थापित करने के लिए, नीचे दिए गए चरणों का पालन करें:

अपने प्रमाणपत्र प्राधिकारी से एक सार्वजनिक प्रमाणपत्र प्राप्त करें (कोई भी मान्य X.509 प्रारूप प्रमाणपत्र स्वीकार किया जा सकता है)। के लिए किसी विशिष्ट प्रारूप की आवश्यकता नहीं है fileनाम।
में web एल्गो डिवाइस का इंटरफ़ेस, सिस्टम पर नेविगेट करें -> File प्रबंधक टैब।

प्रमाणपत्र अपलोड करें files 'सर्ट/विश्वसनीय' निर्देशिका में। के ऊपरी बाएँ कोने में अपलोड बटन पर क्लिक करें file प्रबंधक और प्रमाणपत्र के लिए ब्राउज़ करें।

Web इंटरफ़ेस विकल्प

एचटीटीपीएस प्रावधान
'डाउनलोड विधि' को 'HTTPS' (उन्नत सेटिंग्स> प्रावधान टैब के तहत) पर सेट करके प्रावधान सुरक्षित किया जा सकता है। यह कॉन्फ़िगरेशन को रोकता है fileअवांछित तृतीय पक्ष द्वारा पढ़े जाने से। यह संवेदनशील डेटा चोरी होने के संभावित जोखिम को हल करता है, जैसे कि व्यवस्थापक पासवर्ड और एसआईपी क्रेडेंशियल।

प्रोविजनिंग सर्वर पर पहचान सत्यापन करने के लिए, 'सत्यापित सर्वर प्रमाणपत्र' को 'सक्षम' पर भी सेट करें। यदि प्रोविज़निंग सर्वर के प्रमाणपत्र पर सामान्य वाणिज्यिक सीए में से किसी एक द्वारा हस्ताक्षर किए गए हैं, तो एल्गो डिवाइस के पास पहले से ही इस सीए के लिए सार्वजनिक प्रमाणपत्र होना चाहिए और सत्यापन करने में सक्षम होना चाहिए।
अतिरिक्त प्रमाणपत्र अपलोड करें (Base64 एन्कोडेड X.509 प्रमाणपत्र file .pem, .cer, या .crt प्रारूप में) "सिस्टम> . पर नेविगेट करके File प्रबंधक" को 'सर्ट/विश्वसनीय' फ़ोल्डर में ले जाएं।
नोट: 'सत्यापित सर्वर प्रमाणपत्र' पैरामीटर को प्रावधान के माध्यम से भी सक्षम किया जा सकता है: प्रोव.डाउनलोड.सर्टिफिकेट = 1

HTTPS के Web इंटरफ़ेस प्रोटोकॉल
HTTPS के लिए सार्वजनिक प्रमाणपत्र अपलोड करने की प्रक्रिया web ब्राउज़िंग वैसा ही है जैसा ऊपर अनुभाग में वर्णित है। httpd.pem file एक उपकरण प्रमाणपत्र है जिसका अनुरोध आपके कंप्यूटर के ब्राउज़र द्वारा तब किया जाता है जब आप डिवाइस के आईपी पर नेविगेट करते हैं। कस्टम को अपलोड करने से आपको चेतावनी संदेश से छुटकारा मिल सकता है यदि आप इसे एक्सेस करते हैं Webएचटीटीपीएस का उपयोग कर यूआई। यह सार्वजनिक CA प्रमाणपत्र नहीं है। प्रमाणपत्र को 'सर्ट' पर अपलोड किया जाना चाहिए।

एसआईपी सिग्नलिंग (और आरटीपी ऑडियो)

एसआईपी सिग्नलिंग 'एसआईपी ट्रांसपोर्टेशन' को 'टीएलएस' (उन्नत सेटिंग्स> उन्नत एसआईपी टैब के तहत) पर सेट करके सुरक्षित है।

यह सुनिश्चित करता है कि SIP ट्रैफ़िक एन्क्रिप्ट किया जाएगा।

एसआईपी सिग्नलिंग कॉल को स्थापित करने के लिए जिम्मेदार है (दूसरे पक्ष के साथ कॉल शुरू करने और समाप्त करने के लिए नियंत्रण संकेत), लेकिन इसमें ऑडियो शामिल नहीं है।
ऑडियो (आवाज) पथ के लिए, 'SDP SRTP ऑफ़र' सेटिंग का उपयोग करें।

इसे 'वैकल्पिक' पर सेट करने का अर्थ है कि SIP कॉल का RTP ऑडियो डेटा एन्क्रिप्ट किया जाएगा (SRTP का उपयोग करके) यदि दूसरा पक्ष भी ऑडियो एन्क्रिप्शन का समर्थन करता है।
यदि दूसरा पक्ष SRTP का समर्थन नहीं करता है, तब भी कॉल आगे बढ़ेगी, लेकिन अनएन्क्रिप्टेड ऑडियो के साथ। सभी कॉलों के लिए ऑडियो एन्क्रिप्शन को अनिवार्य बनाने के लिए, 'एसडीपी एसआरटीपी ऑफर' को 'स्टैंडर्ड' पर सेट करें। इस मामले में, यदि दूसरा पक्ष ऑडियो एन्क्रिप्शन का समर्थन नहीं करता है, तो कॉल प्रयास को अस्वीकार कर दिया जाएगा।

SIP सर्वर पर पहचान सत्यापन करने के लिए, 'सर्वर प्रमाणपत्र सत्यापित करें' को 'सक्षम' पर भी सेट करें।
यदि SIP सर्वर के प्रमाणपत्र पर किसी एक सामान्य व्यावसायिक CA द्वारा हस्ताक्षर किए गए हैं, तो Algo डिवाइस के पास पहले से ही इस CA के लिए सार्वजनिक प्रमाणपत्र होना चाहिए और सत्यापन करने में सक्षम होना चाहिए। यदि नहीं (उदाहरण के लिए)ample स्व-हस्ताक्षरित प्रमाणपत्रों के साथ), फिर उपयुक्त सार्वजनिक प्रमाणपत्र को एल्गो डिवाइस पर अपलोड किया जा सकता है जैसा कि इस दस्तावेज़ में पहले बताया गया है।

टीएलएस संस्करण 1.2
फर्मवेयर v3.1 और इसके बाद के संस्करण चलाने वाले Algo डिवाइस TLS v1.1 और v1.2 का समर्थन करते हैं। 'फोर्स सिक्योर टीएलएस'
TLSv1.2 का उपयोग करने के लिए TLS कनेक्शन की आवश्यकता के लिए संस्करण' विकल्प का उपयोग किया जा सकता है। इस सुविधा को सक्षम करने के लिए:

उन्नत सेटिंग > उन्नत एसआईपी पर जाएं
'बलपूर्वक सुरक्षित टीएलएस संस्करण' को सक्षम के रूप में सेट करें और सहेजें।
टिप्पणी: यह विकल्प v4.0+ में हटा दिया गया है क्योंकि TLS v1.2 डिफ़ॉल्ट रूप से उपयोग किया जाता है

एल्गो सर्टिफिकेट डाउनलोड

एल्गो सीए प्रमाणपत्र श्रृंखला को डाउनलोड करने के लिए लिंक का एक सेट नीचे दिया गया है। fileइन सर्वरों को एल्गो एसआईपी एंडपॉइंट्स पर डिवाइस सर्टिफिकेट को प्रमाणित करने के लिए एसआईपी सर्वर या प्रोविजनिंग सर्वर पर स्थापित किया जा सकता है, और इस प्रकार पारस्परिक प्रमाणीकरण की अनुमति मिलती है:
एल्गो रूट सीए: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
एल्गो इंटरमीडिएट सीए: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
एल्गो पब्लिक सर्टिफिकेट: एचttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

समस्या निवारण

यदि टीएलएस हैंडशेक पूरा नहीं हो रहा है, तो कृपया विश्लेषण के लिए एल्गो सपोर्ट को पैकेट कैप्चर भेजें। ऐसा करने के लिए आपको ट्रैफ़िक को मिरर करना होगा, पोर्ट से एल्गो एंडपॉइंट नेटवर्क स्विच पर, कंप्यूटर पर वापस जुड़ा है।

एल्गो कम्युनिकेशन प्रोडक्ट्स लिमिटेड
4500 बीड़ी सेंट बर्नाबी ई.पू. कनाडा V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

दस्तावेज़ / संसाधन

ALGO TLS ट्रांसपोर्ट लेयर सुरक्षा [पीडीएफ] निर्देश
टीएलएस, ट्रांसपोर्ट लेयर सिक्योरिटी, लेयर सिक्योरिटी, टीएलएस, ट्रांसपोर्ट लेयर

संदर्भ

उपयोगकर्ता पुस्तिका

टीएलएस का परिचय