ALGO - լոգոնTLS տրանսպորտային շերտի անվտանգություն
Հրահանգների ձեռնարկ

Algo IP վերջնակետերի ապահովում.
TLS և փոխադարձ նույնականացում

Օգնությա՞ն է պետք:
604-454-3792 or support@algosolutions.com 

Բովանդակություն թաքցնել
1 TLS-ի ներածություն
2 Կոդավորումն ընդդեմ ինքնության հաստատման
3 TLS վկայագրեր
4 Փոխադարձ նույնականացում
5 Սիֆեր Սյուիթներ
6 Algo սարքի վկայագրեր
7 Հանրային CA վկայագրերի վերբեռնում Algo SIP վերջնակետերում
8 Web Ինտերֆեյսի ընտրանքներ
9 SIP ազդանշան (և RTP աուդիո)
10 Algo վկայագրերի ներբեռնում
11 Անսարքությունների վերացում
12 Փաստաթղթեր / ռեսուրսներ
12.1 Հղումներ
13 Առնչվող գրառումներ

TLS-ի ներածություն

TLS (Transport Layer Security) գաղտնագրային արձանագրություն է, որն ապահովում է նույնականացում, գաղտնիություն և Ինտերնետում հավելվածների կամ սարքերի միջև ուղարկվող տվյալների վավերացում, գաղտնիություն և ծայրից ծայր անվտանգություն: Քանի որ հյուրընկալվող հեռախոսակապի հարթակները դարձել են ավելի տարածված, TLS-ի անհրաժեշտությունը հանրային ինտերնետի միջոցով ապահով հաղորդակցություն ապահովելու համար մեծացել է: Algo սարքերը, որոնք աջակցում են որոնվածը 1.6.4 կամ ավելի նոր տարբերակ, աջակցում են Transport Layer Security (TLS) ինչպես տրամադրման, այնպես էլ SIP ազդանշանի համար:
Նշում. Հետևյալ վերջնակետերը չեն աջակցում TLS. 8180 IP ձայնային ազդանշան (G1), 8028 IP դռան հեռախոս (G1), 8128 IP տեսողական ազդանշան (G1), 8061 IP ռելե կարգավորիչ:

Կոդավորումն ընդդեմ ինքնության հաստատման

Թեև TLS տրաֆիկը միշտ գաղտնագրված է և պաշտպանված է երրորդ կողմի գաղտնալսումից կամ փոփոխությունից, անվտանգության լրացուցիչ շերտ կարող է տրամադրվել՝ օգտագործելով Վկայագրերը՝ մյուս կողմի ինքնությունը հաստատելու համար: Սա թույլ է տալիս Սերվերին ստուգել IP Endpoint սարքի ինքնությունը և հակառակը:
Ինքնությունը ստուգելու համար Վկայականը file պետք է ստորագրված լինի Վկայագրման մարմնի (CA) կողմից: Այնուհետև մյուս սարքը ստուգում է այս ստորագրությունը՝ օգտագործելով այս CA-ի հանրային (վստահելի) վկայականը:

TLS վկայագրեր

Algo IP-ի վերջնական կետերը նախապես տեղադրված են մի շարք հանրային վկայագրերի հետ վստահելի երրորդ կողմի Վկայական մարմիններից (CA), ներառյալ Comodo, Verisign, Symantec, DigiCert և այլն։ նրանց սերվերները կամ webկայքերն իրականում այնպիսին են, ինչպիսին իրենք են ասում: Algo սարքերը կարող են հաստատել, որ այն շփվում է իսկական սերվերի հետ՝ ստուգելով սերվերի ստորագրված վկայագրերը այն ստորագրած CA-ի հանրային վկայագրերի հետ: Լրացուցիչ հանրային վկայագրերը կարող են նաև վերբեռնվել, որպեսզի Algo սարքը վստահի և հաստատի լրացուցիչ սերվերներ, որոնք կարող են ներառված չլինել նախապես տեղադրված վկայագրերում (օրինակ՝ample, ինքնաստորագրված վկայականներ):

Փոխադարձ նույնականացում

Փոխադարձ նույնականացումն ավելացնում է անվտանգության ևս մեկ շերտ՝ պահանջելով, որ սերվերը նաև վավերացնի և վստահի վերջնական կետի սարքին՝ ի լրումն սերվերի վավերացման վերջնակետի հակառակ ուղղությամբ: Սա իրականացվում է եզակի Սարքի վկայագրի միջոցով, որը տեղադրված է արտադրության պահին յուրաքանչյուր Algo SIP վերջնակետում: Քանի որ Algo սարքի IP հասցեն ֆիքսված չէ (այն որոշվում է հաճախորդի ցանցի կողմից), Algo-ն չի կարող նախապես հրապարակել այս տեղեկատվությունը վստահելի CA-ների հետ, և փոխարենը այս Սարքի վկայագրերը պետք է ստորագրվեն Algo-ի սեփական CA-ի կողմից:
Որպեսզի սերվերն այնուհետև վստահի Algo սարքին, համակարգի ադմինիստրատորը պետք է իր սերվերի վրա տեղադրի հանրային Algo CA վկայագրի շղթան (օրինակ՝ampSIP հեռախոսային համակարգը կամ դրանց մատակարարման սերվերը), որպեսզի այս սերվերը կարողանա ստուգել, ​​որ Algo սարքի Սարքի վկայականն իրականում իսկական է:

Նշում. 2019 թվականին արտադրված Algo IP վերջնակետերը (սկսած որոնվածը 1.7.1) կամ ավելի ուշ ունեն սարքի վկայականը տեղադրված գործարանից։
Ստուգելու համար, թե արդյոք սերտիֆիկատը տեղադրված է, անցեք «Համակարգ» -> «Մոտ» ներդիր: Տես Արտադրողի վկայականը: Եթե ​​սերտիֆիկատը տեղադրված չէ, խնդրում ենք էլ support@algosolutions.com. ALGO TLS Transport Layer Security - Նկար 1

Սիֆեր Սյուիթներ

Գաղտնագրման հավաքածուները ալգորիթմների մի շարք են, որոնք օգտագործվում են TLS նիստի ընթացքում: Յուրաքանչյուր փաթեթ ներառում է նույնականացման, գաղտնագրման և հաղորդագրությունների նույնականացման ալգորիթմներ: Algo սարքերը աջակցում են շատ հաճախ օգտագործվող գաղտնագրման ալգորիթմներին, ինչպիսիք են AES256-ը և հաղորդագրությունների նույնականացման կոդերի ալգորիթմները, ինչպիսիք են SHA-2-ը:

Algo սարքի վկայագրեր

Սարքի վկայագրերը, որոնք ստորագրված են Algo Root CA-ի կողմից, գործարանային տեղադրվել են Algo սարքերում 2019 թվականից՝ սկսած որոնվածը 1.7.1-ից: Հավաստագիրը ստեղծվում է սարքի արտադրության ժամանակ՝ վկայագրի ընդհանուր անվան դաշտում, որը պարունակում է յուրաքանչյուր սարքի MAC հասցեն:
Սարքի վկայագիրը վավեր է 30 տարի և գտնվում է առանձին բաժանման մեջ, ուստի այն չի ջնջվի նույնիսկ Algo-ի վերջնական կետը գործարանային վերակայումից հետո:
Algo սարքերը նաև աջակցում են վերբեռնել ձեր սեփական սարքի վկայագիրը՝ գործարանում տեղադրված սարքի վկայագրի փոխարեն օգտագործելու համար: Սա կարող է տեղադրվել՝ վերբեռնելով PEM file որը պարունակում է և՛ սարքի վկայական, և՛ անձնական բանալի այն «certs» գրացուցակում (ոչ թե «certs/trusted» գրացուցակը) System -> File Մենեջերի ներդիր: Սա file պետք է կոչել «սիպ»: client.pem'.

Հանրային CA վկայագրերի վերբեռնում Algo SIP վերջնակետերում

Եթե ​​դուք 3.1.X-ից ցածր որոնվածով եք, խնդրում ենք թարմացնել սարքը:
Վկայագիրը տեղադրելու համար Algo սարքի վրա, որն աշխատում է որոնվածը v3.1 և ավելի բարձր, հետևեք ստորև նշված քայլերին.

  1. Ձեռք բերեք հանրային վկայագիր ձեր Վկայագրման մարմնից (ցանկացած վավեր X.509 ձևաչափի վկայական կարող է ընդունվել): Դրա համար հատուկ ձևաչափ չի պահանջվում fileանունը։
  2. -ում web Algo սարքի ինտերֆեյսը, նավարկեք դեպի Համակարգ -> File Մենեջերի ներդիր:
  3. Վերբեռնեք վկայագիրը files մեջ «certs/trusted» գրացուցակ: Կտտացրեք Վերբեռնման կոճակը վերևի ձախ անկյունում file կառավարիչ և թերթիր վկայականին:

Web Ինտերֆեյսի ընտրանքներ

HTTPS-ի ապահովում
Տրամադրումը կարող է ապահովվել՝ «Ներբեռնման մեթոդը» դնելով «HTTPS» (Ընդլայնված կարգավորումներ > Նախադրում ներդիրում): Սա կանխում է կազմաձևումը files անցանկալի երրորդ կողմի կողմից ընթերցվելուց: Սա լուծում է զգայուն տվյալների գողանալու հավանական ռիսկը, ինչպիսիք են ադմինիստրատորի գաղտնաբառերը և SIP հավատարմագրերը: ALGO TLS Transport Layer Security - Նկար 2

Ապահովող սերվերի վրա ինքնությունը ստուգելու համար սահմանեք նաև «Վավերացնել սերվերի վկայականը» «Միացված է»: Եթե ​​տրամադրող սերվերի վկայականը ստորագրված է սովորական առևտրային CA-ներից մեկի կողմից, ապա Algo սարքն արդեն պետք է ունենա այս CA-ի հանրային վկայականը և կարողանա կատարել ստուգումը:
Վերբեռնեք լրացուցիչ վկայագրեր (Base64 կոդավորված X.509 վկայագիր file .pem, .cer կամ .crt ձևաչափով)՝ անցնելով «Համակարգ > File Manager» «վկայականներ/վստահելի» թղթապանակում:
ԾԱՆՈԹՈՒԹՅՈՒՆ. «Վալիդացնել սերվերի վկայականը» պարամետրը կարող է նաև միացվել՝ տրամադրելով. prov.download.cert = 1

HTTPS Web Միջերեսի արձանագրություն
HTTPS-ի համար հանրային վկայականի վերբեռնման կարգը web զննարկումը նման է այն, ինչ նկարագրված է վերը նշված բաժնում: httpd.pem file սարքի վկայագիր է, որը պահանջվում է ձեր համակարգչի բրաուզերի կողմից, երբ դուք նավարկում եք սարքի IP-ին: Մաքսայինի վերբեռնումը կարող է թույլ տալ ձեզ ազատվել նախազգուշական հաղորդագրությունից, եթե մուտք գործեք WebUI՝ օգտագործելով HTTPS: Դա հանրային CA վկայագիր չէ: Վկայագիրը պետք է վերբեռնվի «վկայագրերում»: ALGO TLS Transport Layer Security - Նկար 3

SIP ազդանշան (և RTP աուդիո)

SIP ազդանշանն ապահովվում է՝ «SIP փոխադրում» դնելով «TLS» (Ընդլայնված կարգավորումներ > Ընդլայնված SIP ներդիրում):

  • Այն ապահովում է, որ SIP-ի տրաֆիկը կոդավորված կլինի:
  • SIP ազդանշանը պատասխանատու է զանգի հաստատման համար (հսկիչ ազդանշաններ՝ զանգը մյուս կողմի հետ սկսելու և ավարտելու համար), բայց այն չի պարունակում ձայնագրություն:
  • Ձայնային (ձայնային) ուղու համար օգտագործեք «SDP SRTP Առաջարկ» կարգավորումը:
  • «Կամընտիր» դնելը նշանակում է, որ SIP զանգի RTP աուդիո տվյալները կգաղտնագրվեն (օգտագործելով SRTP), եթե մյուս կողմը նույնպես աջակցի աուդիո կոդավորումը:
  • Եթե ​​մյուս կողմը չի աջակցում SRTP-ին, ապա զանգը դեռ կշարունակվի, բայց չգաղտնագրված ձայնով: Բոլոր զանգերի համար աուդիո գաղտնագրումը պարտադիր դարձնելու համար «SDP SRTP առաջարկը» դրեք «Ստանդարտ»: Այս դեպքում, եթե մյուս կողմը չի աջակցում աուդիո կոդավորումը, ապա զանգի փորձը կմերժվի:
  • SIP սերվերի վրա ինքնության ստուգում կատարելու համար «Վավերացնել սերվերի վկայականը» նույնպես դրեք «Միացված է»:
  • Եթե ​​SIP սերվերի վկայականը ստորագրված է սովորական առևտրային CA-ներից մեկի կողմից, ապա Algo սարքն արդեն պետք է ունենա այս CA-ի հանրային վկայականը և կարողանա կատարել ստուգումը: Եթե ​​ոչ (օրինակampլե ինքն ստորագրված վկայագրերով), այնուհետև համապատասխան հանրային վկայականը կարող է վերբեռնվել Algo սարքում, ինչպես նկարագրված է ավելի վաղ այս փաստաթղթում:

ALGO TLS Transport Layer Security - Նկար 4

TLS տարբերակ 1.2
Algo սարքերը, որոնք աշխատում են որոնվածը v3.1 և վերևում, աջակցում են TLS v1.1 և v1.2: «Հարկադիր ապահովեք TLS-ը
Տարբերակ» տարբերակը կարող է օգտագործվել՝ պահանջելու TLS կապեր՝ TLSv1.2 օգտագործելու համար: Այս հատկությունը միացնելու համար՝

  • Գնացեք Ընդլայնված կարգավորումներ > Ընդլայնված SIP
  • Սահմանեք «Պարտադրել անվտանգ TLS տարբերակը» որպես միացված և պահեք:
    ԾԱՆՈԹՈՒԹՅՈՒՆ. Այս տարբերակը հեռացվել է v4.0+-ում, քանի որ TLS v1.2-ն օգտագործվում է լռելյայն

Algo վկայագրերի ներբեռնում

Ստորև ներկայացված են Algo CA վկայագրերի շղթան ներբեռնելու մի շարք հղումներ: Այն files-ը կարող է տեղադրվել SIP սերվերի կամ մատակարարման սերվերի վրա, որպեսզի այս սերվերները նույնականացնեն Սարքի վկայագրերը Algo SIP վերջնակետերում և այդպիսով թույլատրեն փոխադարձ նույնականացումը.
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Ալգո հանրային վկայական՝ հttp://firmware.algosolutions.com/pub/certs/algo_ca.crt

Անսարքությունների վերացում

Եթե ​​TLS ձեռքսեղմումը չի ավարտվում, խնդրում ենք ուղարկել փաթեթի հավաքագրում Algo-ի աջակցությանը՝ վերլուծության համար: Դա անելու համար դուք պետք է արտացոլեք երթևեկությունը, այն նավահանգստից, որին միացված է Algo-ի վերջնակետը ցանցի անջատիչի վրա, ետ դեպի համակարգիչ:

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Կանադա V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Փաստաթղթեր / ռեսուրսներ

ALGO TLS տրանսպորտային շերտի անվտանգություն [pdfՀրահանգներ
TLS, Transport Layer Security, Layer Security, TLS, Transport Layer

Հղումներ

Առնչվող գրառումներ

Թողնել մեկնաբանություն

Ձեր էլփոստի հասցեն չի հրապարակվի: Պարտադիր դաշտերը նշված են *