ALGO - និមិត្តសញ្ញាសុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន TLS
សៀវភៅណែនាំ

ការធានាសុវត្ថិភាព Algo IP Endpoints៖
TLS និងការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក

ត្រូវការជំនួយ?
៨៦៦-៤៤៧-២១៩៤ or support@algosolutions.com 

មាតិកា លាក់
1 ការណែនាំអំពី TLS
2 ការអ៊ិនគ្រីបធៀបនឹងការផ្ទៀងផ្ទាត់អត្តសញ្ញាណ
3 វិញ្ញាបនបត្រ TLS
4 ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក
5 ឈុត Cipher
6 វិញ្ញាបនប័ត្រឧបករណ៍ Algo
7 កំពុងបង្ហោះវិញ្ញាបនបត្រ CA សាធារណៈទៅកាន់ Algo SIP Endpoints
8 Web ជម្រើសចំណុចប្រទាក់
9 សញ្ញា SIP (និង RTP Audio)
10 ទាញយកវិញ្ញាបនបត្រ Algo
11 ការដោះស្រាយបញ្ហា
12 ឯកសារ/ធនធាន
12.1 ឯកសារយោង
13 ប្រកាសដែលពាក់ព័ន្ធ

ការណែនាំអំពី TLS

TLS (Transport Layer Security) គឺជាពិធីការគ្រីបគ្រីបដែលផ្តល់នូវការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ភាពឯកជន និងសុវត្ថិភាពពីចុងបញ្ចប់នៃទិន្នន័យដែលបានផ្ញើរវាងកម្មវិធី ឬឧបករណ៍តាមអ៊ីនធឺណិត។ ដោយសារវេទិកាទូរស័ព្ទដែលរៀបចំឡើងបានក្លាយជារឿងធម្មតា តម្រូវការសម្រាប់ TLS ដើម្បីផ្តល់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពតាមអ៊ីនធឺណិតសាធារណៈបានកើនឡើង។ ឧបករណ៍ Algo ដែលគាំទ្រកម្មវិធីបង្កប់ 1.6.4 ឬក្រោយនេះគាំទ្រ Transport Layer Security (TLS) សម្រាប់ទាំងការផ្តល់ និង SIP Signaling។
ចំណាំ៖ ចំណុចបញ្ចប់ខាងក្រោមមិនគាំទ្រ TLS៖ 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller។

ការអ៊ិនគ្រីបធៀបនឹងការផ្ទៀងផ្ទាត់អត្តសញ្ញាណ

ខណៈពេលដែលចរាចរណ៍ TLS តែងតែត្រូវបានអ៊ិនគ្រីប និងមានសុវត្ថិភាពពីការលួចស្តាប់ ឬការកែប្រែភាគីទីបី ស្រទាប់សុវត្ថិភាពបន្ថែមអាចត្រូវបានផ្តល់ជូនដោយប្រើវិញ្ញាបនបត្រ ដើម្បីផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់ភាគីផ្សេងទៀត។ នេះអនុញ្ញាតឱ្យម៉ាស៊ីនមេផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់ឧបករណ៍ IP Endpoint និងច្រាសមកវិញ។
ដើម្បីអនុវត្តការត្រួតពិនិត្យអត្តសញ្ញាណ វិញ្ញាបនបត្រ file ត្រូវតែចុះហត្ថលេខាដោយអាជ្ញាធរវិញ្ញាបនប័ត្រ (CA) ។ បន្ទាប់មកឧបករណ៍ផ្សេងទៀតពិនិត្យហត្ថលេខានេះ ដោយប្រើវិញ្ញាបនបត្រសាធារណៈ (ដែលអាចទុកចិត្តបាន) ពី CA នេះ។

វិញ្ញាបនបត្រ TLS

Algo IP Endpoints ត្រូវបានដំឡើងជាមុនជាមួយនឹងសំណុំនៃវិញ្ញាបនបត្រសាធារណៈពីអាជ្ញាធរវិញ្ញាបនបត្រភាគីទីបីដែលគួរឱ្យទុកចិត្ត (CAs) រួមទាំង Comodo, Verisign, Symantec, DigiCert ជាដើម។ អាជ្ញាធរវិញ្ញាបនបត្រផ្តល់វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដល់អាជីវកម្ម ដើម្បីអនុញ្ញាតឱ្យអាជីវកម្មទាំងនេះបង្ហាញថា ម៉ាស៊ីនមេរបស់ពួកគេឬ webតាមពិតគេហទំព័រគឺជាអ្នកណាដែលពួកគេនិយាយថាពួកគេជា។ ឧបករណ៍ Algo អាចបញ្ជាក់ថាវាកំពុងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេពិតប្រាកដដោយផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រដែលបានចុះហត្ថលេខារបស់ម៉ាស៊ីនមេប្រឆាំងនឹងវិញ្ញាបនបត្រសាធារណៈពី CA ដែលបានចុះហត្ថលេខាវា។ វិញ្ញាបនបត្រសាធារណៈបន្ថែមក៏អាចត្រូវបានដាក់បញ្ចូលផងដែរ ដើម្បីអនុញ្ញាតឱ្យឧបករណ៍ Algo ទុកចិត្ត និងផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេបន្ថែម ដែលអាចនឹងមិនរួមបញ្ចូលនៅក្នុងវិញ្ញាបនបត្រដែលបានដំឡើងជាមុន (សម្រាប់ឧ។ample, វិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង) ។

ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក

Mutual Authentication បន្ថែមស្រទាប់សុវត្ថិភាពមួយបន្ថែមទៀតដោយតម្រូវឱ្យម៉ាស៊ីនមេធ្វើឱ្យមានសុពលភាព និងជឿជាក់លើឧបករណ៍បញ្ចប់ផងដែរ បន្ថែមពីលើទិសដៅផ្ទុយនៃចំណុចបញ្ចប់ធ្វើឱ្យម៉ាស៊ីនមេមានសុពលភាព។ វាត្រូវបានអនុវត្តដោយប្រើវិញ្ញាបនបត្រឧបករណ៍តែមួយគត់ដែលបានដំឡើងនៅលើចំណុចបញ្ចប់ Algo SIP នីមួយៗនៅពេលផលិត។ ដោយសារអាសយដ្ឋាន IP របស់ឧបករណ៍ Algo មិនត្រូវបានជួសជុល (វាត្រូវបានកំណត់ដោយបណ្តាញរបស់អតិថិជន) Algo មិនអាចផ្សព្វផ្សាយព័ត៌មាននេះជាមុនជាមួយ CAs ដែលជឿទុកចិត្តបានទេ ហើយផ្ទុយទៅវិញ វិញ្ញាបនប័ត្រឧបករណ៍ទាំងនេះត្រូវតែចុះហត្ថលេខាដោយ CA ផ្ទាល់របស់ Algo ។
ដើម្បីឱ្យម៉ាស៊ីនមេជឿជាក់លើឧបករណ៍ Algo អ្នកគ្រប់គ្រងប្រព័ន្ធនឹងត្រូវដំឡើងខ្សែសង្វាក់វិញ្ញាបនបត្រ Algo CA សាធារណៈនៅលើម៉ាស៊ីនមេរបស់ពួកគេ (សម្រាប់ឧ។ampប្រព័ន្ធទូរស័ព្ទ SIP ឬម៉ាស៊ីនមេផ្តល់សេវារបស់ពួកគេ) ដូច្នេះម៉ាស៊ីនមេនេះអាចផ្ទៀងផ្ទាត់ថាវិញ្ញាបនបត្រឧបករណ៍នៅលើឧបករណ៍ Algo គឺជាការពិត។

ចំណាំ៖ ចំណុចបញ្ចប់របស់ Algo IP ដែលផលិតក្នុងឆ្នាំ 2019 (ចាប់ផ្តើមជាមួយកម្មវិធីបង្កប់ 1.7.1) ឬក្រោយមកត្រូវបានដំឡើងវិញ្ញាបនបត្រឧបករណ៍ពីរោងចក្រ។
ដើម្បីផ្ទៀងផ្ទាត់ថាតើវិញ្ញាបនបត្រត្រូវបានដំឡើង សូមចូលទៅកាន់ System -> About tab។ សូមមើលវិញ្ញាបនបត្រអ្នកផលិត។ ប្រសិនបើវិញ្ញាបនបត្រមិនត្រូវបានដំឡើង សូមផ្ញើអ៊ីមែល support@algosolutions.com. ALGO TLS Transport Layer Security - រូបភាពទី 1

ឈុត Cipher

ឈុត Cipher គឺជាសំណុំនៃក្បួនដោះស្រាយដែលប្រើក្នុងអំឡុងពេលវគ្គ TLS ។ ឈុតនីមួយៗរួមមានក្បួនដោះស្រាយសម្រាប់ការផ្ទៀងផ្ទាត់ ការអ៊ិនគ្រីប និងការផ្ទៀងផ្ទាត់សារ។ ឧបករណ៍ Algo គាំទ្រក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលប្រើជាទូទៅជាច្រើនដូចជា AES256 និងក្បួនដោះស្រាយកូដផ្ទៀងផ្ទាត់សារដូចជា SHA-2 ជាដើម។

វិញ្ញាបនប័ត្រឧបករណ៍ Algo

វិញ្ញាបនបត្រឧបករណ៍ដែលបានចុះហត្ថលេខាដោយ Algo Root CA ត្រូវបានដំឡើងចេញពីរោងចក្រនៅលើឧបករណ៍ Algo តាំងពីឆ្នាំ 2019 ដោយចាប់ផ្តើមជាមួយកម្មវិធីបង្កប់ 1.7.1។ វិញ្ញាបនបត្រត្រូវបានបង្កើតនៅពេលដែលឧបករណ៍ត្រូវបានផលិតដោយមានវាលឈ្មោះទូទៅនៅក្នុងវិញ្ញាបនបត្រដែលមានអាសយដ្ឋាន MAC សម្រាប់ឧបករណ៍នីមួយៗ។
វិញ្ញាបនបត្រឧបករណ៍មានសុពលភាពរយៈពេល 30 ឆ្នាំ ហើយរស់នៅក្នុងភាគថាសដាច់ដោយឡែក ដូច្នេះវានឹងមិនត្រូវបានលុបចោលទេ សូម្បីតែបន្ទាប់ពីកំណត់ឡើងវិញនូវចំណុចបញ្ចប់ Algo ពីរោងចក្រក៏ដោយ។
ឧបករណ៍ Algo ក៏គាំទ្រការបង្ហោះវិញ្ញាបនបត្រឧបករណ៍ផ្ទាល់ខ្លួនរបស់អ្នក ដើម្បីប្រើជំនួសឱ្យវិញ្ញាបនបត្រឧបករណ៍ដែលបានដំឡើងដោយរោងចក្រ។ វាអាចត្រូវបានដំឡើងដោយការបង្ហោះ PEM file មានទាំងវិញ្ញាបនបត្រឧបករណ៍ និងសោឯកជនវាទៅថត 'certs' (មិនមែនថត 'certs/trusted'!) នៅក្នុងប្រព័ន្ធ -> File ផ្ទាំងអ្នកគ្រប់គ្រង។ នេះ។ file ចាំបាច់ត្រូវហៅថា 'sip client.pem'

កំពុងបង្ហោះវិញ្ញាបនបត្រ CA សាធារណៈទៅកាន់ Algo SIP Endpoints

ប្រសិនបើអ្នកប្រើកម្មវិធីបង្កប់ទាបជាង 3.1.X សូមដំឡើងកំណែឧបករណ៍។
ដើម្បីដំឡើងវិញ្ញាបនបត្រនៅលើឧបករណ៍ Algo ដែលដំណើរការកម្មវិធីបង្កប់ v3.1 និងខាងលើ សូមអនុវត្តតាមជំហានខាងក្រោម៖

  1. ទទួលបានវិញ្ញាបនបត្រសាធារណៈពីអាជ្ញាធរវិញ្ញាបនបត្ររបស់អ្នក (វិញ្ញាបនបត្រទ្រង់ទ្រាយ X.509 ដែលមានសុពលភាពណាមួយអាចទទួលយកបាន)។ មិនមានទម្រង់ជាក់លាក់ណាមួយដែលត្រូវការសម្រាប់ fileឈ្មោះ។
  2. នៅក្នុង web ចំណុចប្រទាក់នៃឧបករណ៍ Algo រុករកទៅប្រព័ន្ធ -> File ផ្ទាំងអ្នកគ្រប់គ្រង។
  3. បង្ហោះវិញ្ញាបនបត្រ fileចូលទៅក្នុងថត 'certs/trusted' ។ ចុចប៊ូតុង ផ្ទុកឡើង នៅជ្រុងខាងឆ្វេងខាងលើនៃ file អ្នកគ្រប់គ្រង និងរកមើលវិញ្ញាបនបត្រ។

Web ជម្រើសចំណុចប្រទាក់

ការផ្តល់ HTTPS
ការផ្តល់អាចត្រូវបានធានាដោយការកំណត់ 'វិធីសាស្រ្តទាញយក' ទៅ 'HTTPS' (នៅក្រោមការកំណត់កម្រិតខ្ពស់ > ផ្ទាំងការផ្តល់)។ នេះរារាំងការកំណត់រចនាសម្ព័ន្ធ files ពីការអានដោយភាគីទីបីដែលមិនចង់បាន។ វាដោះស្រាយហានិភ័យដែលអាចកើតមាននៃការលួចទិន្នន័យរសើប ដូចជាពាក្យសម្ងាត់អ្នកគ្រប់គ្រង និងព័ត៌មានសម្ងាត់ SIP ជាដើម។ ALGO TLS Transport Layer Security - រូបភាពទី 2

ដើម្បីអនុវត្តការផ្ទៀងផ្ទាត់អត្តសញ្ញាណនៅលើម៉ាស៊ីនមេរៀបចំ សូមកំណត់ផងដែរ 'ធ្វើឱ្យវិញ្ញាបនបត្រម៉ាស៊ីនមេមានសុពលភាព' ទៅ 'បានបើកដំណើរការ'។ ប្រសិនបើវិញ្ញាបនបត្ររបស់ម៉ាស៊ីនមេដែលផ្តល់ត្រូវបានចុះហត្ថលេខាដោយ CA ពាណិជ្ជកម្មទូទៅមួយ នោះឧបករណ៍ Algo គួរតែមានវិញ្ញាបនបត្រសាធារណៈសម្រាប់ CA នេះរួចហើយ ហើយអាចធ្វើការផ្ទៀងផ្ទាត់បាន។
ផ្ទុកឡើងវិញ្ញាបនបត្របន្ថែម (វិញ្ញាបនបត្រ X.64 ដែលបានអ៊ិនកូដ Base509 file ក្នុងទម្រង់ .pem, .cer ឬ .crt) ដោយចូលទៅកាន់ “System > File អ្នកគ្រប់គ្រង” ទៅថត 'certs/trusted'។
ចំណាំ៖ ប៉ារ៉ាម៉ែត្រ 'ធ្វើឱ្យមានសុពលភាពវិញ្ញាបនបត្រម៉ាស៊ីនមេ' ក៏អាចត្រូវបានបើកតាមរយៈការផ្ដល់ជូន៖ prov.download.cert = 1

HTTPS Web ពិធីសារចំណុចប្រទាក់
នីតិវិធីផ្ទុកឡើងវិញ្ញាបនបត្រសាធារណៈសម្រាប់ HTTPS web ការរុករកគឺស្រដៀងគ្នាទៅនឹងអ្វីដែលបានពិពណ៌នានៅក្នុងផ្នែកខាងលើ។ httpd.pem file គឺ​ជា​វិញ្ញាបនបត្រ​ឧបករណ៍​ដែល​ត្រូវ​បាន​ស្នើ​ដោយ​កម្មវិធី​រុករក​កុំព្យូទ័រ​របស់​អ្នក​នៅ​ពេល​អ្នក​រុករក​ទៅ IP របស់​ឧបករណ៍។ ការបង្ហោះសារផ្ទាល់ខ្លួនអាចឱ្យអ្នកកម្ចាត់សារព្រមាន ប្រសិនបើអ្នកចូលប្រើ WebUI ដោយប្រើ HTTPS ។ វាមិនមែនជាវិញ្ញាបនបត្រ CA សាធារណៈទេ។ វិញ្ញាបនបត្រត្រូវតែបញ្ចូលទៅក្នុង 'certs'។ ALGO TLS Transport Layer Security - រូបភាពទី 3

សញ្ញា SIP (និង RTP Audio)

ការបញ្ជូនសញ្ញា SIP ត្រូវបានធានាដោយការកំណត់ 'SIP Transportation' ទៅ 'TLS' (នៅក្រោមផ្ទាំង Advanced Settings > Advanced SIP)។

  • វាធានាថាចរាចរណ៍ SIP នឹងត្រូវបានអ៊ិនគ្រីប។
  • សញ្ញា SIP ទទួលខុសត្រូវក្នុងការបង្កើតការហៅទូរសព្ទ (សញ្ញាបញ្ជាដើម្បីចាប់ផ្តើម និងបញ្ចប់ការហៅជាមួយភាគីម្ខាងទៀត) ប៉ុន្តែវាមិនមានសំឡេងទេ។
  • សម្រាប់ផ្លូវអូឌីយ៉ូ (សំឡេង) សូមប្រើការកំណត់ 'SDP SRTP Offer'។
  • ការកំណត់នេះជា 'ស្រេចចិត្ត' មានន័យថា ទិន្នន័យសំឡេង RTP របស់ SIP call នឹងត្រូវបានអ៊ិនគ្រីប (ដោយប្រើ SRTP) ប្រសិនបើភាគីផ្សេងទៀតគាំទ្រការអ៊ិនគ្រីបសំឡេងផងដែរ។
  • ប្រសិនបើភាគីម្ខាងទៀតមិនគាំទ្រ SRTP នោះការហៅទូរសព្ទនឹងនៅតែដំណើរការ ប៉ុន្តែជាមួយនឹងសំឡេងដែលមិនបានអ៊ិនគ្រីប។ ដើម្បីធ្វើការអ៊ិនគ្រីបសំឡេងជាកាតព្វកិច្ចសម្រាប់ការហៅទូរសព្ទទាំងអស់ សូមកំណត់ 'SDP SRTP Offer' ទៅ 'Standard'។ ក្នុងករណីនេះ ប្រសិនបើភាគីម្ខាងទៀតមិនគាំទ្រការអ៊ិនគ្រីបសំឡេងទេ នោះការព្យាយាមហៅទូរសព្ទនឹងត្រូវបដិសេធ។
  • ដើម្បីធ្វើការផ្ទៀងផ្ទាត់អត្តសញ្ញាណនៅលើម៉ាស៊ីនមេ SIP ក៏កំណត់ 'ធ្វើឱ្យវិញ្ញាបនបត្រម៉ាស៊ីនមេមានសុពលភាព' ទៅ 'បានបើកដំណើរការ' ។
  • ប្រសិនបើវិញ្ញាបនបត្ររបស់ម៉ាស៊ីនមេ SIP ត្រូវបានចុះហត្ថលេខាដោយ CA ពាណិជ្ជកម្មទូទៅមួយ នោះឧបករណ៍ Algo គួរតែមានវិញ្ញាបនបត្រសាធារណៈសម្រាប់ CA នេះរួចហើយ ហើយអាចធ្វើការផ្ទៀងផ្ទាត់បាន។ បើមិនដូច្នោះទេ (ឧទាហរណ៍ample ជាមួយវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង) បន្ទាប់មកវិញ្ញាបនបត្រសាធារណៈដែលសមស្របអាចត្រូវបានផ្ទុកឡើងទៅកាន់ឧបករណ៍ Algo ដូចដែលបានពិពណ៌នាពីមុននៅក្នុងឯកសារនេះ។

ALGO TLS Transport Layer Security - រូបភាពទី 4

TLS កំណែ 1.2
ឧបករណ៍ Algo ដែលដំណើរការកម្មវិធីបង្កប់ v3.1 និងខាងលើគាំទ្រ TLS v1.1 និង v1.2 ។ 'បង្ខំ TLS សុវត្ថិភាព
ជម្រើសកំណែអាចត្រូវបានប្រើប្រាស់ដើម្បីទាមទារការតភ្ជាប់ TLS ដើម្បីប្រើ TLSv1.2 ។ ដើម្បីបើកមុខងារនេះ៖

  • ចូលទៅកាន់ការកំណត់កម្រិតខ្ពស់> SIP កម្រិតខ្ពស់
  • កំណត់ 'Force secure TLS Version' ដូចដែលបានបើក និងរក្សាទុក។
    ចំណាំ៖ ជម្រើសនេះត្រូវបានដកចេញនៅក្នុង v4.0+ ចាប់តាំងពី TLS v1.2 ត្រូវបានប្រើតាមលំនាំដើម

ទាញយកវិញ្ញាបនបត្រ Algo

ខាងក្រោមនេះជាបណ្តុំនៃតំណភ្ជាប់ដើម្បីទាញយកខ្សែសង្វាក់វិញ្ញាបនបត្រ Algo CA ។ នេះ។ files អាចត្រូវបានដំឡើងនៅលើ SIP Server ឬ Provisioning Server ដើម្បីឱ្យម៉ាស៊ីនមេទាំងនេះផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃវិញ្ញាបនប័ត្រឧបករណ៍នៅលើ Algo SIP Endpoints ហើយដូច្នេះអនុញ្ញាតឱ្យមានការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក៖
Algo Root CA៖ http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA៖ http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
វិញ្ញាបនប័ត្រសាធារណៈ Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

ការដោះស្រាយបញ្ហា

ប្រសិនបើការចាប់ដៃ TLS មិនត្រូវបានបញ្ចប់ទេ សូមផ្ញើការចាប់យកកញ្ចប់ព័ត៌មានទៅកាន់ជំនួយ Algo សម្រាប់ការវិភាគ។ ដើម្បីធ្វើដូច្នេះ អ្នកនឹងត្រូវឆ្លុះមើលចរាចរណ៍ ពីច្រកដែលចំណុចបញ្ចប់ Algo ត្រូវបានភ្ជាប់ទៅនៅលើបណ្តាញប្តូរ ត្រលប់ទៅកុំព្យូទ័រវិញ។

ផលិតផលទំនាក់ទំនងអាល់ហ្គោ
4500 Beedie St Burnaby BC កាណាដា V5J 5L2
www.algosolutions.com
៨៦៦-៤៤៧-២១៩៤
support@algosolutions.com

ឯកសារ/ធនធាន

សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន ALGO TLS [pdf] សេចក្តីណែនាំ
TLS, សុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន, សុវត្ថិភាពស្រទាប់, TLS, ស្រទាប់ដឹកជញ្ជូន

ឯកសារយោង

ប្រកាសដែលពាក់ព័ន្ធ

ទុកមតិយោបល់

អាសយដ្ឋានអ៊ីមែលរបស់អ្នកនឹងមិនត្រូវបានផ្សព្វផ្សាយទេ។ វាលដែលត្រូវការត្រូវបានសម្គាល់ *