ALGO - logoTLS Transport Layer Security
Boky torolalana

Fiarovana ny Algo IP Endpoints:
TLS sy Mutual Authentication

Mila fanampiana?
604-454-3792 or support@algosolutions.com 

Hevitra ato Anatiny afeno ny
1 Fampidirana ny TLS
2 Encryption vs Identity Verification
3 Taratasy fanamarinana TLS
4 Fanamarinana iombonana
5 Cipher Suites
6 Algo Device Certificates
7 Mampiakatra Certificat Public CA mankany amin'ny Algo SIP Endpoints
8 Web Safidy Interface
9 SIP Signaling (sy RTP Audio)
10 Algo Certificates Download
11 Fanamboarana
12 Documents / Loharano
12.1 References
13 Lahatsoratra mifandraika

Fampidirana ny TLS

TLS (Transport Layer Security) dia protocole kriptografika izay manome fanamarinana, fiainana manokana, ary fiarovana farany amin'ny angona alefa eo anelanelan'ny fampiharana na fitaovana amin'ny Internet. Satria nanjary mahazatra kokoa ny sehatra telefaona fampiantranoana, dia nitombo ny filana ny TLS hanome fifandraisana azo antoka amin'ny aterineto ho an'ny daholobe. Ny fitaovana Algo izay manohana firmware 1.6.4 na aoriana dia manohana ny Transport Layer Security (TLS) ho an'ny Provisioning sy SIP Signaling.
Fanamarihana: ireto teboka farany ireto dia tsy mahazaka TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Encryption vs Identity Verification

Raha voafehin'ny TLS foana ny fifamoivoizana ary azo antoka amin'ny fihainoana na fanovana ataon'ny antoko fahatelo, dia azo atao ny manome sosona fiarovana fanampiny amin'ny alàlan'ny fampiasana Certificates hanamarinana ny maha-izy azy. Izany dia ahafahan'ny Server manamarina ny mombamomba ny fitaovana IP Endpoint, ary ny mifamadika amin'izany.
Mba hanaovana ny fanamarinana ny maha-izy azy, ny Certificate file dia tsy maintsy hosoniavin'ny Manampahefana Certificate (CA). Ny fitaovana hafa dia manamarina ity sonia ity, amin'ny fampiasana ny Taratasy ho an'ny daholobe (Atokisana) avy amin'ity CA ity.

Taratasy fanamarinana TLS

Ny Algo IP Endpoints dia efa napetraka mialoha miaraka amin'ny andiana mari-pankasitrahana ho an'ny daholobe avy amin'ny Antenimieram-pahefana (CA) azo itokisana, anisan'izany ny Comodo, Verisign, Symantec, DigiCert, sns. ny lohamiliny na webNy tranokala dia tena izy ireo no lazainy. Ny fitaovana Algo dia afaka manamafy fa mifandray amin'ny mpizara tena izy amin'ny alàlan'ny fanamarinana ny mari-pankasitrahana nosoniavin'ny mpizara amin'ny fanamarinana ampahibemaso avy amin'ny CA izay nanao sonia azy. Azo ampidirina ihany koa ny mari-pankasitrahana ho an'ny daholobe fanampiny, mba ahafahan'ny fitaovana Algo matoky sy manamarina ireo lohamilina fanampiny izay mety tsy ho tafiditra ao anatin'ny taratasy fanamarinana efa napetraka (ho an'ny ex.ample, taratasy fanamarinana sonia).

Fanamarinana iombonana

Ny Mutual Authentication dia manampy sosona fiarovana fanampiny iray amin'ny fitakiana ny mpizara mba hanamarina sy hatoky ny fitaovana farany, ankoatra ny lalana mifanohitra amin'ny teboka farany manamarina ny lohamilina. Izany dia ampiharina amin'ny alalan'ny fitaovana manokana Certificate, napetraka amin'ny Algo SIP Endpoint tsirairay amin'ny fotoana fanamboarana. Satria tsy raikitra ny adiresy IP an'ny fitaovana Algo (arakaraka ny tambajotran'ny mpanjifa no mamaritra azy), tsy afaka mamoaka an'io fampahalalana io mialoha miaraka amin'ireo CA azo itokisana i Algo, fa tsy maintsy hosoniavin'ny CA an'i Algo manokana ireo Taratasy Fitaovana ireo.
Mba hatoky ny fitaovana Algo ny mpizara dia mila mametraka ny rojo fanamarinana Algo CA ho an'ny daholobe eo amin'ny lohamiliny ny mpitantana ny rafitra (ho an'ny exampny SIP Phone System na ny mpizara provisionany) mba ahafahan'ity mpizara ity hanamarina fa tena marina ny Certificate Device amin'ny fitaovana Algo.

Fanamarihana: Algo IP endpoints novokarina tamin'ny taona 2019 (manomboka amin'ny firmware 1.7.1) na aoriana dia manana ny taratasy fanamarinana fitaovana napetraka avy amin'ny orinasa.
Raha te hanamarina raha napetraka ny taratasy fanamarinana dia mandehana mankany amin'ny System -> About tab. Jereo ny Certificate Manufacturer. Raha tsy napetraka ny taratasy fanamarinana dia alefaso mailaka azafady support@algosolutions.com. ALGO TLS Transport Layer Security - Sary 1

Cipher Suites

Cipher suite dia andiana algorithm ampiasaina mandritra ny fivoriana TLS. Ny suite tsirairay dia misy algorithms ho an'ny fanamarinana, fanafenana ary fanamarinana hafatra. Ny fitaovana Algo dia manohana ny algorithm fanafenana fampiasa matetika toy ny AES256 sy ny algorithm code authentication hafatra toy ny SHA-2.

Algo Device Certificates

Ny mari-pamantarana fitaovana nosoniavin'ny Algo Root CA dia natsangana tamin'ny fitaovana Algo nanomboka tamin'ny taona 2019, nanomboka tamin'ny firmware 1.7.1. Ny certificat dia amboarina rehefa amboarina ilay fitaovana, miaraka amin'ny saha anarana mahazatra ao amin'ny taratasy fanamarinana misy ny adiresy MAC ho an'ny fitaovana tsirairay.
Ny taratasy fanamarinana fitaovana dia manan-kery mandritra ny 30 taona ary mipetraka amin'ny fizarazarana misaraka, ka tsy ho voafafa na dia aorian'ny famerenan'ny orinasa ny teboka farany Algo.
Ny fitaovana Algo koa dia manohana ny fampiakarana ny taratasy fanamarinana ny fitaovana ampiasainao fa tsy ny taratasy fanamarinana fitaovana apetraka amin'ny orinasa. Azo apetraka amin'ny fampiakarana PEM file misy taratasy fanamarinana fitaovana sy lakile manokana ho an'ny lahatahiry 'certs' (fa tsy ny lahatahiry 'certs/itokisana'!) ao amin'ny System -> File Tabilao mpitantana. izany file mila antsoina hoe 'sip client.pem'.

Mampiakatra Certificat Public CA mankany amin'ny Algo SIP Endpoints

Raha eo amin'ny firmware ambany noho ny 3.1.X ianao dia amboary azafady ny fitaovana.
Raha hametraka ny taratasy fanamarinana amin'ny fitaovana Algo mandeha firmware v3.1 & ambony, araho ireto dingana manaraka ireto:

  1. Mahazoa mari-pankasitrahana ho an'ny daholobe avy amin'ny Manampahefana Fanamarinana anao (azo ekena izay taratasy fanamarinana endrika X.509 manan-kery). Tsy misy endrika manokana takiana amin'ny fileanarana.
  2. Ao amin'ny web interface tsara amin'ny fitaovana Algo, mandehana mankany amin'ny System -> File Tabilao mpitantana.
  3. Alefaso ny taratasy fanamarinana files ao amin'ny lahatahiry 'certs/trusted'. Tsindrio ny bokotra Upload eo amin'ny zoro ambony havia amin'ny file mpitantana ary jereo ny taratasy fanamarinana.

Web Safidy Interface

HTTPS Provisioning
Ny famatsiana dia azo antoka amin'ny fametrahana ny 'Fomba fampidinana' amin'ny 'HTTPS' (eo ambanin'ny tabilao Advanced Settings > Provisioning). Izany dia manakana ny fanamafisana files avy novakian'ny olon-kafa tsy tiana. Izany dia mamaha ny loza mety hitranga amin'ny angon-drakitra saro-pady, toy ny tenimiafina admin sy ny fahazoan-dàlana SIP. ALGO TLS Transport Layer Security - Sary 2

Raha hanao fanamarinana ny maha-izy azy ao amin'ny Server Provisioning dia apetraho amin'ny 'Enabled' ihany koa ny 'Validate Server Certificate'. Raha soniavin'ny iray amin'ireo CA ara-barotra mahazatra ny Taratasin'ny mpizara mpamatsy, dia tokony efa manana ny taratasy fanamarinana ampahibemaso ho an'ity CA ity ny fitaovana Algo ary afaka manatanteraka ny fanamarinana.
Mampiakara mari-pankasitrahana fanampiny (certificat X.64 voahodina Base509 file amin'ny endrika .pem, .cer, na .crt) amin'ny fandehanana mankany amin'ny “System > File Manager” mankany amin'ny lahatahiry 'certs/trusted'.
FANAMARIHANA: Ny mari-pamantarana 'Validate Server Certificate' dia azo alefa amin'ny alàlan'ny fanomezana: prov.download.cert = 1

ny https Web Interface Protocol
Ny fomba fandefasana taratasy fanamarinana ho an'ny daholobe ho an'ny HTTPS web Ny fitetezana dia mitovy amin'ny voalaza ao amin'ny fizarana etsy ambony. Ny httpd.pem file dia taratasy fanamarinana fitaovana angatahin'ny mpitety ny solosainao rehefa mandeha mankany amin'ny IP an'ilay fitaovana ianao. Mety hamela anao hanaisotra ny hafatra fampitandremana raha miditra amin'ny WebUI mampiasa HTTPS. Tsy taratasy fanamarinana CA ho an'ny daholobe izany. Ny taratasy fanamarinana dia tsy maintsy ampidirina ao amin'ny 'certs'. ALGO TLS Transport Layer Security - Sary 3

SIP Signaling (sy RTP Audio)

Ny famantarana SIP dia azo antoka amin'ny fametrahana ny 'SIP Transportation' amin'ny 'TLS' (eo ambanin'ny tabilao Advanced Settings > Advanced SIP).

  • Izy io dia miantoka fa ny fifamoivoizana SIP dia ho encryption.
  • Ny famantarana SIP dia tompon'andraikitra amin'ny fametrahana ny antso (ireo famantarana fanaraha-maso hanombohana sy hamarana ny antso miaraka amin'ny ankilany), saingy tsy misy feo izany.
  • Ho an'ny lalan'ny feo (feo), ampiasao ny fandaharana 'SDP SRTP Offer'.
  • Ny fametrahana izany ho 'tsy azo atao' dia midika fa ny angon-drakitra feo RTP an'ny SIP dia ho voarakotra (mampiasa SRTP) raha toa ka manohana ny fanafenana feo koa ny ankilany.
  • Raha tsy manohana ny SRTP ny ankilany, dia mbola hitohy ny antso, fa miaraka amin'ny feo tsy voafehy. Raha te hanao fanafenana feo ho an'ny antso rehetra dia apetraho amin'ny 'Standard' ny 'SDP SRTP Offer'. Amin'ity tranga ity, raha tsy manohana ny fanafenana feo ny antoko hafa, dia ho lavina ny andrana antso.
  • Raha hanao fanamarinana ny maha-izy azy amin'ny SIP Server, dia apetraho amin'ny 'Enabled' koa ny 'Validate Server Certificate'.
  • Raha toa ka nosoniavin'ny iray amin'ireo CA ara-barotra mahazatra ny Taratasin'ny mpizara SIP, dia tokony efa manana ny taratasy fanamarinana ho an'ny daholobe ho an'ity CA ity ny fitaovana Algo ary afaka manao ny fanamarinana. Raha tsy izany (ohatraample miaraka amin'ny mari-pankasitrahana nosoniavin'ny tena), dia azo ampidirina ao amin'ny fitaovana Algo ny taratasy fanamarinana ho an'ny daholobe araka ny voalaza teo aloha ato amin'ity antontan-taratasy ity.

ALGO TLS Transport Layer Security - Sary 4

TLS Version 1.2
Ny fitaovana Algo mandeha firmware v3.1 & ambony dia manohana ny TLS v1.1 sy v1.2. 'Force Secure TLS
Ny safidy 'version' dia azo ampiasaina hitakiana fifandraisana TLS hampiasaina TLSv1.2. Mba hahafahan'ity endri-javatra ity:

  • Mandehana any amin'ny Advanced Settings> Advanced SIP
  • Ataovy ny 'Force secure TLS Version' ho alefa ary tehirizo.
    FANAMARIHANA: Ity safidy ity dia nesorina tamin'ny v4.0+ satria TLS v1.2 no ampiasaina amin'ny alàlan'ny default

Algo Certificates Download

Ireto ambany ireto ny andiana rohy hisintonana ny rojo fanamarinana Algo CA. ny files dia azo apetraka ao amin'ny SIP Server na Provisioning Server mba hanamarinan'ireo mpizara ireo ny mari-pamantarana fitaovana amin'ny Algo SIP Endpoints, ary noho izany dia mamela ny Fanamarinana Mifanandrify:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo Public Certificate: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Fanamboarana

Raha tsy vita ny fifampikasohan-tanana TLS dia alefaso azafady amin'ny fanohanan'i Algo ny fakàna fonosana mba hanaovana fanadihadiana. Mba hanaovana izany dia tsy maintsy manara-maso ny fifamoivoizana ianao, avy amin'ny seranan-tsambo dia mifandray amin'ny fiafaran'ny Algo eo amin'ny switch tambajotra, miverina amin'ny solosaina.

Algo Communication Products Ltd
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Documents / Loharano

ALGO TLS Transport Layer Security [pdf] Toromarika
TLS, Fitaterana Layer Security, Layer Security, TLS, Transport Layer

References

Lahatsoratra mifandraika

Mametraha hevitra

Tsy havoaka ny adiresy mailakao. Voamarika ireo saha ilaina *