ALGO TLS тээврийн давхаргын аюулгүй байдлын заавар

TLS (Transport Layer Security) нь интернетээр дамжуулан программууд эсвэл төхөөрөмжүүдийн хооронд илгээсэн өгөгдлийн баталгаажуулалт, нууцлал, төгсгөлийн аюулгүй байдлыг хангадаг криптографийн протокол юм. Байршсан утасны платформууд түгээмэл болсон тул нийтийн интернетээр аюулгүй харилцаа холбоог хангах TLS-ийн хэрэгцээ нэмэгдэж байна. Програм хангамжийн 1.6.4 буюу түүнээс хойшхи хувилбарыг дэмждэг Algo төхөөрөмжүүд нь Provisioning болон SIP дохиоллын аль алинд нь Transport Layer Security (TLS)-ийг дэмждэг.
Жич: дараах төгсгөлийн цэгүүд TLS-ийг дэмждэггүй: 8180 IP аудио дохиолол (G1), 8028 IP хаалганы утас (G1), 8128 IP харааны дохиолол (G1), 8061 IP реле хянагч.

Шифрлэлт ба Identity Баталгаажуулалт

TLS траффик нь үргэлж шифрлэгдсэн бөгөөд гуравдагч этгээдийн чагналт, өөрчлөлтөөс хамгаалагдсан байдаг ч нөгөө талын хэн болохыг баталгаажуулахын тулд Сертификат ашиглан нэмэлт хамгаалалтын давхаргыг хангаж болно. Энэ нь серверт IP Endpoint төхөөрөмжийн таних тэмдэгийг шалгах боломжийг олгодог ба эсрэгээр.
Иргэний үнэмлэхийг шалгахын тулд гэрчилгээ file Гэрчилгээний газар (CA) гарын үсэг зурсан байх ёстой. Дараа нь нөгөө төхөөрөмж нь энэ CA-ийн Нийтийн (Итгэмжлэгдсэн) гэрчилгээг ашиглан энэ гарын үсгийг шалгана.

TLS гэрчилгээ

Algo IP Endpoints нь Comodo, Verisign, Symantec, DigiCert гэх мэт итгэмжлэгдсэн гуравдагч талын гэрчилгээжүүлэлтийн байгууллагуудаас (CAs) олон нийтийн гэрчилгээг урьдчилан суулгаж өгдөг. Гэрчилгээний албаныхан эдгээр бизнесүүдэд үүнийг нотлохыг зөвшөөрөхийн тулд гарын үсэг зурсан гэрчилгээ олгодог. тэдний серверүүд эсвэл webсайтууд нь үнэндээ тэдний хэлсэн хүмүүс юм. Algo төхөөрөмжүүд нь серверийн гарын үсэг зурсан гэрчилгээг түүнд гарын үсэг зурсан CA-ийн нийтийн гэрчилгээтэй тулгаснаар жинхэнэ сервертэй холбогдож байгаа эсэхийг баталгаажуулах боломжтой. Урьдчилан суулгасан гэрчилгээнд (жишээ нь) ороогүй байж болох нэмэлт серверүүдэд итгэж, баталгаажуулах боломжийг Algo төхөөрөмжид олгохын тулд олон нийтийн нэмэлт гэрчилгээг мөн байршуулж болно.ample, өөрөө гарын үсэг зурсан гэрчилгээ).

Харилцан баталгаажуулалт

Харилцан баталгаажуулалт нь серверийг баталгаажуулах төгсгөлийн цэгийн эсрэг чиглэлээс гадна төгсгөлийн төхөөрөмжийг баталгаажуулах, итгэхийг серверээс шаардах замаар аюулгүй байдлын нэг давхаргыг нэмж өгдөг. Үүнийг үйлдвэрлэх үед Algo SIP төгсгөлийн цэг бүр дээр суулгасан өвөрмөц төхөөрөмжийн гэрчилгээг ашиглан хэрэгжүүлдэг. Algo төхөөрөмжийн IP хаяг тогтоогдоогүй тул (энэ нь хэрэглэгчийн сүлжээгээр тодорхойлогддог) Algo нь энэ мэдээллийг итгэмжлэгдсэн CA-д урьдчилан нийтлэх боломжгүй бөгөөд үүний оронд эдгээр төхөөрөмжийн гэрчилгээнд Algo-ийн өөрийн CA гарын үсэг зурсан байх ёстой.
Серверийг Algo төхөөрөмжид итгэхийн тулд системийн админ нь нийтийн Algo CA сертификатын сүлжээг сервер дээрээ суулгах шаардлагатай болно (жишээ нь:ample SIP утасны систем эсвэл тэдгээрийн хангамжийн сервер) энэ сервер нь Algo төхөөрөмж дээрх Төхөөрөмжийн гэрчилгээ нь жинхэнэ эсэхийг шалгах боломжтой.

Жич: 2019 онд үйлдвэрлэсэн Algo IP төгсгөлийн цэгүүд (програм хангамж 1.7.1-ээс эхлэн) эсвэл түүнээс хойшхи төхөөрөмжийн гэрчилгээг үйлдвэрээс суулгасан.
Сертификат суулгасан эсэхийг шалгахын тулд Систем -> Тухай таб руу очно уу. Үйлдвэрлэгчийн гэрчилгээг үзнэ үү. Хэрэв гэрчилгээ суулгаагүй бол имэйлээр илгээнэ үү support@algosolutions.com.

Cipher Suites

Шифрийн багцууд нь TLS сессийн үед хэрэглэгддэг алгоритмуудын багц юм. Багц бүр нь нэвтрэлт танилт, шифрлэлт, мессежийг баталгаажуулах алгоритмуудыг агуулдаг. Algo төхөөрөмжүүд нь AES256 гэх мэт түгээмэл хэрэглэгддэг шифрлэлтийн алгоритмууд болон SHA-2 зэрэг мессежийн баталгаажуулалтын кодын алгоритмуудыг дэмждэг.

Algo төхөөрөмжийн гэрчилгээ

Algo Root CA-ийн гарын үсэг бүхий төхөөрөмжийн гэрчилгээг 2019 оноос хойш Algo төхөөрөмж дээр суулгасан бөгөөд энэ нь 1.7.1 программ хангамжаас эхэлж байна. Сертификат нь төхөөрөмжийг үйлдвэрлэх үед үүсгэгддэг бөгөөд гэрчилгээний нийтлэг нэрийн талбар нь төхөөрөмж бүрийн MAC хаягийг агуулсан байдаг.
Төхөөрөмжийн гэрчилгээ нь 30 жилийн хугацаанд хүчинтэй бөгөөд тусдаа хуваалтад байрладаг тул Algo төгсгөлийн цэгийг үйлдвэрийн тохиргоонд дахин тохируулсны дараа ч устгагдахгүй.
Algo төхөөрөмжүүд нь үйлдвэрээс суулгасан төхөөрөмжийн гэрчилгээний оронд ашиглахын тулд өөрийн төхөөрөмжийн гэрчилгээг байршуулахыг дэмждэг. Үүнийг PEM байршуулах замаар суулгаж болно file төхөөрөмжийн гэрчилгээ болон хувийн түлхүүрийг хоёуланг нь агуулсан систем дэх 'certs' лавлах ('certs/итгэмжлэгдсэн' лавлах биш!) -> File Менежер таб. Энэ file балга гэж нэрлэх хэрэгтэй үйлчлүүлэгч.pem'.

Algo SIP Endpoints-д нийтийн CA гэрчилгээг байршуулж байна

Хэрэв та 3.1.X-ээс бага программ хангамж ашиглаж байгаа бол төхөөрөмжийг шинэчилнэ үү.
v3.1 ба түүнээс дээш програм хангамжийг ажиллуулж байгаа Algo төхөөрөмж дээр гэрчилгээг суулгахын тулд дараах алхмуудыг дагана уу.

Гэрчилгээний газраасаа нийтийн гэрчилгээ аваарай (Хүчин төгөлдөр X.509 форматын гэрчилгээг хүлээн авах боломжтой). Үүнд тусгай формат шаардлагагүй fileнэр.
-д web Algo төхөөрөмжийн интерфейсээс Систем -> руу очно уу File Менежер таб.

Сертификатыг байршуулна уу files 'certs/trusted' лавлах руу оруулна. Зүүн дээд буланд байрлах Upload товчийг дарна уу file менежерийг сонгоод гэрчилгээ рүү очно уу.

Web Интерфейсийн сонголтууд

HTTPS хангамж
'Татаж авах арга'-ыг 'HTTPS' болгож тохируулснаар нөөцийг баталгаажуулж болно (Нарийвчилсан тохиргоо > Нөөц олгох табын доор). Энэ нь тохиргоо хийхээс сэргийлдэг files нь хүсээгүй гуравдагч этгээдээр уншихаас. Энэ нь админ нууц үг, SIP итгэмжлэл зэрэг нууц мэдээллийг хулгайлах эрсдэлийг арилгадаг.

Нөхцөл байдлын сервер дээр таних баталгаажуулалтыг хийхийн тулд "Серверийн гэрчилгээг баталгаажуулах"-ыг "Идэвхжүүлсэн" болгож тохируулна уу. Хэрэв хангамжийн серверийн гэрчилгээнд арилжааны нийтлэг CA-уудын аль нэгээр гарын үсэг зурсан бол Algo төхөөрөмж нь энэ CA-д зориулсан нийтийн гэрчилгээтэй байх ёстой бөгөөд баталгаажуулалт хийх боломжтой байх ёстой.
Нэмэлт сертификатуудыг байршуулах (Base64 кодлогдсон X.509 сертификат file .pem, .cer, эсвэл .crt форматаар) "Систем >" рүү шилжинэ File Менежер”-ийг 'certs/trusted' хавтас руу оруулна уу.
ТАЙЛБАР: "Серверийн гэрчилгээг баталгаажуулах" параметрийг мөн нөөцийн тусламжтайгаар идэвхжүүлж болно: prov.download.cert = 1

HTTPS Web Интерфейсийн протокол
HTTPS-д зориулсан нийтийн гэрчилгээг байршуулах журам web үзэх нь дээрх хэсэгт тайлбарласантай төстэй юм. httpd.pem file Энэ нь төхөөрөмжийн IP хаяг руу шилжих үед таны компьютерийн хөтөчөөс хүссэн төхөөрөмжийн гэрчилгээ юм. Захиалгатыг байршуулснаар та энэ хаяг руу хандвал анхааруулах мессежээс ангижрах боломжтой WebHTTPS ашиглан UI. Энэ нь нийтийн CA гэрчилгээ биш юм. Гэрчилгээг "сертификат"-д байршуулах ёстой.

SIP дохиолол (болон RTP аудио)

SIP дохиолол нь 'SIP Transportation'-г 'TLS' болгож тохируулснаар хамгаалагдсан (Нарийвчилсан тохиргоо > Нарийвчилсан SIP табын доор).

Энэ нь SIP урсгалыг шифрлэх болно гэдгийг баталгаажуулдаг.

SIP дохиолол нь дуудлагыг бий болгох үүрэгтэй (хяналт нь нөгөө талтай дуудлагыг эхлүүлэх, дуусгах дохио өгдөг) боловч аудиог агуулаагүй болно.
Аудио (дуу хоолой) замын хувьд "SDP SRTP Offer" тохиргоог ашиглана уу.

Үүнийг "Заавал биш" болгож тохируулснаар нөгөө тал аудио шифрлэлтийг дэмждэг бол SIP дуудлагын RTP аудио өгөгдөл шифрлэгдэх болно (SRTP ашиглан).
Хэрэв нөгөө тал нь SRTP-г дэмждэггүй бол дуудлага нь шифрлэгдээгүй дуугаар үргэлжлэх болно. Бүх дуудлагад аудио шифрлэлт заавал байхын тулд 'SDP SRTP санал'-ыг 'Стандарт' болгож тохируулна уу. Энэ тохиолдолд, хэрэв нөгөө тал нь аудио шифрлэлтийг дэмжихгүй бол дуудлага хийх оролдлогоос татгалзана.

SIP сервер дээр таних баталгаажуулалтыг хийхийн тулд "Серверийн гэрчилгээг баталгаажуулах"-ыг "Идэвхжүүлсэн" болгож тохируулна уу.
Хэрэв SIP серверийн Сертификат нь арилжааны нийтлэг CA-уудын аль нэгээр гарын үсэг зурсан бол Algo төхөөрөмж нь энэ CA-д зориулсан нийтийн гэрчилгээтэй байх бөгөөд баталгаажуулалтыг хийх боломжтой байх ёстой. Үгүй бол (жишээлбэлample өөрөө гарын үсэг зурсан гэрчилгээтэй), дараа нь энэ баримт бичгийн өмнө тайлбарласны дагуу зохих нийтийн гэрчилгээг Algo төхөөрөмжид байршуулж болно.

TLS хувилбар 1.2
v3.1 ба түүнээс дээш програм хангамжийг ажиллуулж байгаа Algo төхөөрөмжүүд TLS v1.1 болон v1.2-г дэмждэг. 'Secure TLS-ийг албадах
Хувилбар' сонголтыг TLSv1.2-г ашиглахын тулд TLS холболтыг шаардаж болно. Энэ функцийг идэвхжүүлэхийн тулд:

Нарийвчилсан тохиргоо > Нарийвчилсан SIP руу очно уу
"Хүчээр аюулгүй TLS хувилбар"-ыг идэвхжүүлж, хадгална уу.
ЖИЧ: TLS v4.0 өгөгдмөлөөр ашиглагддаг тул энэ сонголтыг v1.2+ хувилбараас хассан

Algo гэрчилгээг татаж авах

Доорх нь Algo CA сертификатын сүлжээг татаж авах холбоосууд юм. The files-ийг SIP сервер эсвэл хангамжийн сервер дээр суулгаж, эдгээр серверүүд Algo SIP төгсгөлийн цэгүүд дээрх төхөөрөмжийн гэрчилгээг баталгаажуулж, харилцан баталгаажуулалтыг зөвшөөрөх боломжтой.
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Алго нийтийн гэрчилгээ: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Алдааг олж засварлах

Хэрэв TLS-ийн гар барих ажиллагаа дуусаагүй байвал Algo-н дэмжлэг рүү илгээж, дүн шинжилгээ хийнэ үү. Үүнийг хийхийн тулд та сүлжээний шилжүүлэгч дээр Algo-ийн төгсгөлийн цэгийг холбосон портоос компьютер руу буцах урсгалыг тусгах хэрэгтэй.

Algo Communications Products Ltd
4500 Beedie St Burnaby BC Канад V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Баримт бичиг / нөөц

ALGO TLS тээврийн давхаргын аюулгүй байдал [pdf] Заавар
TLS, Тээврийн түвшний хамгаалалт, Давхаргын хамгаалалт, TLS, Тээврийн давхарга

Лавлагаа

Хэрэглэгчийн гарын авлага

TLS-ийн танилцуулга