ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ TLS
ຄູ່ມືການສອນ
ການຮັບປະກັນຈຸດສິ້ນສຸດ IP ຂອງ Algo:
TLS ແລະການກວດສອບເຊິ່ງກັນແລະກັນ
ຕ້ອງການຄວາມຊ່ວຍເຫຼືອບໍ?
604-454-3792 or support@algosolutions.com
ແນະນຳ TLS
TLS (Transport Layer Security) ເປັນໂປຣໂຕຄໍການເຂົ້າລະຫັດລັບທີ່ໃຫ້ການກວດສອບຄວາມຖືກຕ້ອງ, ຄວາມເປັນສ່ວນຕົວ ແລະຄວາມປອດໄພຂອງຂໍ້ມູນທີ່ສົ່ງລະຫວ່າງແອັບພລິເຄຊັນ ຫຼືອຸປະກອນຜ່ານອິນເຕີເນັດ. ເນື່ອງຈາກເວທີການໂທລະສັບທີ່ເປັນເຈົ້າພາບໄດ້ກາຍເປັນເລື່ອງທົ່ວໄປ, ຄວາມຕ້ອງການສໍາລັບ TLS ເພື່ອສະຫນອງການສື່ສານທີ່ປອດໄພຜ່ານອິນເຕີເນັດສາທາລະນະໄດ້ເພີ່ມຂຶ້ນ. ອຸປະກອນ Algo ທີ່ຮອງຮັບເຟີມແວ 1.6.4 ຫຼືໃໝ່ກວ່ານັ້ນ ຮອງຮັບ Transport Layer Security (TLS) ສຳລັບທັງການສະໜອງ ແລະ SIP Signaling.
ໝາຍເຫດ: ຈຸດສິ້ນສຸດຕໍ່ໄປນີ້ບໍ່ຮອງຮັບ TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.
ການເຂົ້າລະຫັດທຽບກັບການກວດສອບຕົວຕົນ
ໃນຂະນະທີ່ການຈາລະຈອນ TLS ຖືກເຂົ້າລະຫັດໄວ້ສະເໝີ ແລະປອດໄພຈາກການລັກຟັງ ຫຼືການດັດແກ້ຂອງພາກສ່ວນທີສາມ, ຄວາມປອດໄພເພີ່ມເຕີມສາມາດສະໜອງໄດ້ໂດຍການໃຊ້ໃບຮັບຮອງເພື່ອຢັ້ງຢືນຕົວຕົນຂອງບຸກຄົນອື່ນ. ອັນນີ້ອະນຸຍາດໃຫ້ເຊີບເວີກວດສອບຕົວຕົນຂອງອຸປະກອນ IP Endpoint, ແລະໃນທາງກັບກັນ.
ເພື່ອປະຕິບັດການກວດສອບຕົວຕົນ, ໃບຢັ້ງຢືນ file ຕ້ອງໄດ້ຮັບການເຊັນໂດຍອົງການໃບຢັ້ງຢືນ (CA). ຈາກນັ້ນອຸປະກອນອື່ນຈະກວດສອບລາຍເຊັນນີ້, ໂດຍໃຊ້ໃບຢັ້ງຢືນສາທາລະນະ (ທີ່ເຊື່ອຖືໄດ້) ຈາກ CA ນີ້.
ໃບຢັ້ງຢືນ TLS
Algo IP Endpoints ໄດ້ຖືກຕິດຕັ້ງໄວ້ລ່ວງໜ້າດ້ວຍຊຸດຂອງໃບຢັ້ງຢືນສາທາລະນະຈາກອົງການໃບຢັ້ງຢືນພາກສ່ວນທີສາມທີ່ເຊື່ອຖືໄດ້ (CAs), ລວມທັງ Comodo, Verisign, Symantec, DigiCert, ແລະອື່ນໆ. ເຈົ້າຫນ້າທີ່ໃບຢັ້ງຢືນໃຫ້ໃບຢັ້ງຢືນທີ່ລົງນາມໃຫ້ກັບທຸລະກິດເພື່ອໃຫ້ທຸລະກິດເຫຼົ່ານີ້ພິສູດໄດ້ວ່າ. ເຄື່ອງແມ່ຂ່າຍຂອງພວກເຂົາຫຼື webໃນຄວາມເປັນຈິງ, ເວັບໄຊທ໌ແມ່ນຜູ້ທີ່ພວກເຂົາເວົ້າວ່າພວກເຂົາເປັນ. ອຸປະກອນ Algo ສາມາດຢືນຢັນວ່າມັນກໍາລັງຕິດຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍທີ່ແທ້ຈິງໂດຍການຢືນຢັນໃບຢັ້ງຢືນທີ່ເຊັນຊື່ຂອງເຄື່ອງແມ່ຂ່າຍຕໍ່ກັບໃບຢັ້ງຢືນສາທາລະນະຈາກ CA ທີ່ເຊັນມັນ. ສາມາດອັບໂຫລດໃບຮັບຮອງສາທາລະນະເພີ່ມເຕີມໄດ້, ເພື່ອອະນຸຍາດໃຫ້ອຸປະກອນ Algo ເຊື່ອຖື ແລະກວດສອບເຊີບເວີເພີ່ມເຕີມທີ່ອາດຈະບໍ່ລວມຢູ່ໃນໃບຮັບຮອງທີ່ຕິດຕັ້ງໄວ້ລ່ວງໜ້າ (ສຳລັບຕົວຢ່າງເຊັ່ນample, ໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ).
ການພິສູດຢືນຢັນເຊິ່ງກັນແລະກັນ
Mutual Authentication ເພີ້ມຄວາມປອດໄພອີກຊັ້ນໜຶ່ງໂດຍການກຳນົດໃຫ້ເຊີບເວີກວດສອບ ແລະໄວ້ໃຈອຸປະກອນປາຍທາງ, ນອກເໜືອໄປຈາກທິດທາງກົງກັນຂ້າມຂອງຈຸດສິ້ນສຸດທີ່ກວດສອບເຊີບເວີ. ນີ້ແມ່ນປະຕິບັດໂດຍໃຊ້ໃບຢັ້ງຢືນອຸປະກອນທີ່ເປັນເອກະລັກ, ຕິດຕັ້ງຢູ່ໃນແຕ່ລະ Algo SIP Endpoint ໃນເວລາຜະລິດ. ເນື່ອງຈາກທີ່ຢູ່ IP ຂອງອຸປະກອນ Algo ບໍ່ໄດ້ຖືກແກ້ໄຂ (ມັນຖືກກໍານົດໂດຍເຄືອຂ່າຍຂອງລູກຄ້າ), Algo ບໍ່ສາມາດເຜີຍແຜ່ຂໍ້ມູນນີ້ລ່ວງຫນ້າກັບ CAs ທີ່ເຊື່ອຖືໄດ້, ແລະແທນທີ່ຈະ, ໃບຢັ້ງຢືນອຸປະກອນເຫຼົ່ານີ້ຕ້ອງໄດ້ຮັບການເຊັນໂດຍ CA ຂອງ Algo ຂອງຕົນເອງ.
ເພື່ອໃຫ້ເຊີບເວີເຊື່ອໃຈອຸປະກອນ Algo, ຜູ້ເບິ່ງແຍງລະບົບຈະຕ້ອງຕິດຕັ້ງລະບົບຕ່ອງໂສ້ໃບຮັບຮອງ Algo CA ສາທາລະນະໃສ່ເຊີບເວີຂອງພວກເຂົາ (ສໍາລັບຕົວຢ່າງ.ample ລະບົບໂທລະສັບ SIP ຫຼືເຄື່ອງແມ່ຂ່າຍການສະຫນອງຂອງພວກເຂົາ) ເພື່ອໃຫ້ເຄື່ອງແມ່ຂ່າຍນີ້ສາມາດກວດສອບວ່າໃບຢັ້ງຢືນອຸປະກອນໃນອຸປະກອນ Algo ແມ່ນແທ້ຈິງ.
ໝາຍເຫດ: Algo IP endpoints ຜະລິດໃນປີ 2019 (ເລີ່ມຕົ້ນດ້ວຍເຟີມແວ 1.7.1) ຫຼືຫຼັງຈາກນັ້ນມີໃບຮັບຮອງອຸປະກອນຕິດຕັ້ງຈາກໂຮງງານ.
ເພື່ອກວດສອບວ່າໃບຮັບຮອງຖືກຕິດຕັ້ງ, ໃຫ້ໄປທີ່ລະບົບ -> ກ່ຽວກັບແຖບ. ເບິ່ງໃບຢັ້ງຢືນຜູ້ຜະລິດ. ຖ້າໃບຢັ້ງຢືນບໍ່ໄດ້ຕິດຕັ້ງ, ກະລຸນາສົ່ງອີເມວ support@algosolutions.com. 
Cipher Suites
ຊຸດ Cipher ແມ່ນຊຸດຂອງສູດການຄິດໄລ່ທີ່ໃຊ້ໃນລະຫວ່າງກອງປະຊຸມ TLS. ແຕ່ລະຊຸດປະກອບມີສູດການຄິດໄລ່ສໍາລັບການພິສູດຢືນຢັນ, ການເຂົ້າລະຫັດ, ແລະການກວດສອບຂໍ້ຄວາມ. ອຸປະກອນ Algo ຮອງຮັບລະບົບການເຂົ້າລະຫັດທີ່ໃຊ້ທົ່ວໄປຫຼາຍອັນເຊັ່ນ: AES256 ແລະລະບົບການພິສູດລະຫັດຂໍ້ຄວາມເຊັ່ນ SHA-2.
ໃບຢັ້ງຢືນອຸປະກອນ Algo
ໃບຢັ້ງຢືນອຸປະກອນທີ່ເຊັນໂດຍ Algo Root CA ໄດ້ຖືກຕິດຕັ້ງຈາກໂຮງງານຢູ່ໃນອຸປະກອນ Algo ຕັ້ງແຕ່ປີ 2019, ເລີ່ມຕົ້ນດ້ວຍເຟີມແວ 1.7.1. ໃບຢັ້ງຢືນແມ່ນຖືກສ້າງຂຶ້ນເມື່ອອຸປະກອນຖືກຜະລິດ, ໂດຍມີຊ່ອງໃສ່ຊື່ທົ່ວໄປໃນໃບຢັ້ງຢືນທີ່ມີທີ່ຢູ່ MAC ສໍາລັບແຕ່ລະອຸປະກອນ.
ໃບຢັ້ງຢືນອຸປະກອນແມ່ນໃຊ້ໄດ້ເປັນເວລາ 30 ປີ ແລະອາໄສຢູ່ໃນພາທິຊັນແຍກຕ່າງຫາກ, ດັ່ງນັ້ນມັນຈະບໍ່ຖືກລຶບລ້າງເຖິງແມ່ນວ່າຫຼັງຈາກຕັ້ງຈຸດສິ້ນສຸດ Algo ຄືນໃໝ່.
ອຸປະກອນ Algo ຍັງຮອງຮັບການອັບໂຫຼດໃບຢັ້ງຢືນອຸປະກອນຂອງທ່ານເອງເພື່ອໃຊ້ແທນໃບຢັ້ງຢືນອຸປະກອນທີ່ຕິດຕັ້ງໂດຍໂຮງງານ. ນີ້ສາມາດຕິດຕັ້ງໄດ້ໂດຍການອັບໂຫລດ PEM file ມີທັງໃບຮັບຮອງອຸປະກອນ ແລະກະແຈສ່ວນຕົວໃສ່ໃນໄດເລກະທໍລີ 'certs' (ບໍ່ແມ່ນ 'certs/trusted' directory!) ໃນລະບົບ -> File ແຖບຜູ້ຈັດການ. ນີ້ file ຈໍາເປັນຕ້ອງເອີ້ນວ່າ 'sip client.pem'.
ກຳລັງອັບໂຫລດໃບຮັບຮອງສາທາລະນະ CA ໄປທີ່ຈຸດສິ້ນສຸດຂອງ Algo SIP
ຖ້າທ່ານຢູ່ໃນເຟີມແວຕ່ໍາກວ່າ 3.1.X, ກະລຸນາອັບເກຣດອຸປະກອນ.
ເພື່ອຕິດຕັ້ງໃບຮັບຮອງໃນອຸປະກອນ Algo ທີ່ໃຊ້ເຟີມແວ v3.1 ແລະຂ້າງເທິງ, ໃຫ້ເຮັດຕາມຂັ້ນຕອນຂ້າງລຸ່ມນີ້:
- ໄດ້ຮັບໃບຢັ້ງຢືນສາທາລະນະຈາກອົງການໃບຢັ້ງຢືນຂອງທ່ານ (ໃບຮັບຮອງຮູບແບບ X.509 ທີ່ຖືກຕ້ອງສາມາດຍອມຮັບໄດ້). ບໍ່ມີຮູບແບບສະເພາະທີ່ຕ້ອງການສໍາລັບການ fileຊື່.
- ໃນ web ການໂຕ້ຕອບຂອງອຸປະກອນ Algo, ໄປຫາລະບົບ -> File ແຖບຜູ້ຈັດການ.
- ອັບໂຫລດໃບຮັບຮອງ files ເຂົ້າໄປໃນໄດເລກະທໍລີ 'certs/trusted'. ກົດປຸ່ມອັບໂຫລດໃນແຈເບື້ອງຊ້າຍດ້ານເທິງຂອງ file ຜູ້ຈັດການແລະຊອກຫາໃບຢັ້ງຢືນ.
Web ທາງເລືອກໃນການໂຕ້ຕອບ
ການຈັດຫາ HTTPS
ການຈັດສັນສາມາດຮັບປະກັນໄດ້ໂດຍການຕັ້ງ 'ວິທີການດາວໂຫຼດ' ເປັນ 'HTTPS' (ພາຍໃຕ້ການຕັ້ງຄ່າຂັ້ນສູງ > ແຖບການຈັດຫາ). ນີ້ປ້ອງກັນການຕັ້ງຄ່າ files ຈາກການອ່ານໂດຍພາກສ່ວນທີສາມທີ່ບໍ່ຕ້ອງການ. ອັນນີ້ແກ້ໄຂຄວາມສ່ຽງທີ່ອາດຈະຖືກລັກຂໍ້ມູນລະອຽດອ່ອນ ເຊັ່ນ: ລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງລະບົບ ແລະຂໍ້ມູນປະຈໍາຕົວ SIP. 
ເພື່ອເຮັດການຢືນຢັນຕົວຕົນຢູ່ໃນເຊີບເວີການສະໜອງ, ໃຫ້ຕັ້ງ 'ກວດສອບໃບຢັ້ງຢືນເຊີບເວີ' ເປັນ 'ເປີດໃຊ້ແລ້ວ'. ຖ້າໃບຢັ້ງຢືນການສະໜອງຂອງເຊີບເວີຖືກເຊັນໂດຍໜຶ່ງໃນ CA ການຄ້າທົ່ວໄປ, ອຸປະກອນ Algo ຄວນມີໃບຢັ້ງຢືນສາທາລະນະສໍາລັບ CA ນີ້ຢູ່ກ່ອນແລ້ວ ແລະສາມາດດໍາເນີນການກວດສອບໄດ້.
ອັບໂຫລດໃບຮັບຮອງເພີ່ມເຕີມ (ໃບຮັບຮອງ X.64 ເຂົ້າລະຫັດ Base509 file ໃນຮູບແບບ .pem, .cer, ຫຼື .crt) ໂດຍການໄປທີ່ “ລະບົບ > File Manager” ໄປທີ່ໂຟນເດີ 'certs/trusted'.
ໝາຍເຫດ: ພາຣາມິເຕີ 'Validate Server Certificate' ຍັງສາມາດເປີດໃຊ້ໄດ້ຜ່ານການສະໜອງ: prov.download.cert = 1
HTTPS Web ອະນຸສັນຍາໂຕ້ຕອບ
ຂັ້ນຕອນການອັບໂຫລດໃບຢັ້ງຢືນສາທາລະນະສໍາລັບ HTTPS web ການຊອກຫາແມ່ນຄ້າຍຄືກັນກັບສິ່ງທີ່ໄດ້ອະທິບາຍໄວ້ໃນພາກຂ້າງເທິງ. httpd.pem file ແມ່ນໃບຢັ້ງຢືນອຸປະກອນທີ່ຮ້ອງຂໍໂດຍຕົວທ່ອງເວັບຂອງຄອມພິວເຕີຂອງທ່ານເມື່ອທ່ານທ່ອງໄປຫາ IP ຂອງອຸປະກອນ. ການອັບໂຫລດແບບກຳນົດເອງອາດເຮັດໃຫ້ເຈົ້າກໍາຈັດຂໍ້ຄວາມເຕືອນໄດ້ຫາກເຈົ້າເຂົ້າເຖິງ WebUI ໂດຍໃຊ້ HTTPS. ມັນບໍ່ແມ່ນໃບຢັ້ງຢືນ CA ສາທາລະນະ. ໃບຮັບຮອງຕ້ອງຖືກອັບໂຫລດໃສ່ 'certs'. 
ສັນຍານ SIP (ແລະ RTP ສຽງ)
ການສົ່ງສັນຍານ SIP ແມ່ນຮັບປະກັນໂດຍການຕັ້ງຄ່າ 'SIP Transportation' ເປັນ 'TLS' (ພາຍໃຕ້ແຖບ Advanced Settings > Advanced SIP).
- ມັນຮັບປະກັນວ່າການຈະລາຈອນ SIP ຈະຖືກເຂົ້າລະຫັດ.
- ສັນຍານ SIP ຮັບຜິດຊອບສໍາລັບການສ້າງຕັ້ງການໂທ (ສັນຍານການຄວບຄຸມເພື່ອເລີ່ມຕົ້ນແລະສິ້ນສຸດການໂທກັບພາກສ່ວນອື່ນ), ແຕ່ມັນບໍ່ມີສຽງ.
- ສໍາລັບເສັ້ນທາງສຽງ (ສຽງ), ໃຊ້ການຕັ້ງຄ່າ 'SDP SRTP Offer'.
- ການຕັ້ງຄ່ານີ້ເປັນ 'ທາງເລືອກ' ຫມາຍຄວາມວ່າຂໍ້ມູນສຽງ RTP ຂອງການໂທ SIP ຈະຖືກເຂົ້າລະຫັດ (ໂດຍໃຊ້ SRTP) ຖ້າອີກຝ່າຍສະຫນັບສະຫນູນການເຂົ້າລະຫັດສຽງ.
- ຖ້າອີກຝ່າຍບໍ່ຮອງຮັບ SRTP, ການໂທຍັງຈະສືບຕໍ່, ແຕ່ດ້ວຍສຽງທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດ. ເພື່ອເຮັດໃຫ້ການເຂົ້າລະຫັດສຽງບັງຄັບສໍາລັບທຸກການໂທ, ຕັ້ງ 'SDP SRTP Offer' ເປັນ 'ມາດຕະຖານ'. ໃນກໍລະນີນີ້, ຖ້າຫາກວ່າອີກຝ່າຍບໍ່ໄດ້ສະຫນັບສະຫນູນການເຂົ້າລະຫັດສຽງ, ຫຼັງຈາກນັ້ນຄວາມພະຍາຍາມໂທຈະຖືກປະຕິເສດ.
- ເພື່ອປະຕິບັດການຢືນຢັນຕົວຕົນຢູ່ໃນເຊີບເວີ SIP, ໃຫ້ຕັ້ງ 'Validate Server Certificate' ເປັນ 'Enabled'.
- ຖ້າໃບຢັ້ງຢືນຂອງເຊີບເວີ SIP ຖືກເຊັນໂດຍຫນຶ່ງໃນ CAs ການຄ້າທົ່ວໄປ, ອຸປະກອນ Algo ຄວນມີໃບຢັ້ງຢືນສາທາລະນະສໍາລັບ CA ນີ້ຢູ່ກ່ອນແລ້ວແລະສາມາດດໍາເນີນການກວດສອບໄດ້. ຖ້າບໍ່ແມ່ນ (ຕົວຢ່າງample ກັບໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ), ຫຼັງຈາກນັ້ນໃບຢັ້ງຢືນສາທາລະນະທີ່ເຫມາະສົມສາມາດຖືກອັບໂຫລດໄປຍັງອຸປະກອນ Algo ດັ່ງທີ່ໄດ້ອະທິບາຍໄວ້ກ່ອນຫນ້ານີ້ໃນເອກະສານນີ້.
TLS ເວີຊັ່ນ 1.2
ອຸປະກອນ Algo ທີ່ໃຊ້ເຟີມແວ v3.1 ຂຶ້ນໄປຮອງຮັບ TLS v1.1 ແລະ v1.2. 'ບັງຄັບ TLS ປອດໄພ
ຕົວເລືອກເວີຊັນອາດຈະຖືກໃຊ້ເພື່ອຕ້ອງການການເຊື່ອມຕໍ່ TLS ເພື່ອໃຊ້ TLSv1.2. ເພື່ອເປີດໃຊ້ຄຸນສົມບັດນີ້:
- ໄປທີ່ການຕັ້ງຄ່າຂັ້ນສູງ > Advanced SIP
- ຕັ້ງ 'Force secure TLS Version' ເປັນເປີດໃຊ້ງານ ແລະບັນທຶກ.
ໝາຍເຫດ: ຕົວເລືອກນີ້ຖືກລຶບອອກໃນ v4.0+ ນັບຕັ້ງແຕ່ TLS v1.2 ຖືກໃຊ້ເປັນຄ່າເລີ່ມຕົ້ນ
ດາວໂຫລດໃບຮັບຮອງ Algo
ຂ້າງລຸ່ມນີ້ແມ່ນຊຸດຂອງລິ້ງເພື່ອດາວໂຫລດລະບົບຕ່ອງໂສ້ໃບຮັບຮອງ Algo CA. ໄດ້ files ສາມາດຕິດຕັ້ງຢູ່ໃນ SIP Server ຫຼື Provisioning Server ເພື່ອໃຫ້ເຊີບເວີເຫຼົ່ານີ້ກວດສອບໃບຢັ້ງຢືນອຸປະກອນໃນ Algo SIP Endpoints, ແລະດັ່ງນັ້ນຈຶ່ງອະນຸຍາດໃຫ້ມີການພິສູດຢືນຢັນຮ່ວມກັນ:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo ໃບຢັ້ງຢືນສາທາລະນະ: http://firmware.algosolutions.com/pub/certs/algo_ca.crt
ການແກ້ໄຂບັນຫາ
ຖ້າການຈັບມື TLS ບໍ່ໄດ້ຮັບການສໍາເລັດ, ກະລຸນາສົ່ງການຈັບແພັກເກັດໄປຫາການສະຫນັບສະຫນູນ Algo ສໍາລັບການວິເຄາະ. ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈະຕ້ອງສະທ້ອນການຈາລະຈອນ, ຈາກພອດຈຸດສິ້ນສຸດຂອງ Algo ແມ່ນເຊື່ອມຕໍ່ຢູ່ໃນສະວິດເຄືອຂ່າຍ, ກັບໄປຫາຄອມພິວເຕີ.
ຜະລິດຕະພັນການສື່ສານ Algo Ltd.
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com
ເອກະສານ / ຊັບພະຍາກອນ
 |
ALGO TLS ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ [pdf] ຄໍາແນະນໍາ TLS, ຄວາມປອດໄພຊັ້ນການຂົນສົ່ງ, ຄວາມປອດໄພຊັ້ນ, TLS, ຊັ້ນການຂົນສົ່ງ |
