ALGO - logoTLS Transport Layer Kaamanan
Instruksi Manual

Ngamankeun Algo IP Endpoints:
TLS sareng Mutual Authentication

Butuh Pitulung?
604-454-3792 or support@algosolutions.com 

eusi nyumput
1 Bubuka pikeun TLS
2 Énkripsi vs Verifikasi Idéntitas
3 Sertipikat TLS
4 Auténtikasi silih
5 Cipher Suites
6 Sertipikat Alat Algo
7 Unggah Sértipikat CA Public ka Algo SIP Endpoints
8 Web Pilihan panganteur
9 Sinyal SIP (sareng Audio RTP)
10 Algo Sértipikat Download
11 Pamérésan masalah
12 Dokumén / Sumberdaya
12.1 Rujukan
13 Tulisan patali

Bubuka pikeun TLS

TLS (Transport Layer Security) mangrupikeun protokol kriptografi anu nyayogikeun auténtikasi, privasi, sareng kaamanan tungtung-ka-tungtung data anu dikirim antara aplikasi atanapi alat dina Internét. Kusabab platform teleponi anu di-host janten langkung umum, kabutuhan TLS pikeun nyayogikeun komunikasi anu aman dina internét umum parantos ningkat. Alat Algo anu ngadukung firmware 1.6.4 atanapi engké ngadukung Transport Layer Security (TLS) pikeun Provisioning sareng SIP Signaling.
Catetan: titik tungtung handap teu ngarojong TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay controller.

Énkripsi vs Verifikasi Idéntitas

Samentara patalimarga TLS sok disandikeun sareng aman tina panyadapan atanapi modifikasi pihak katilu, lapisan kaamanan tambahan tiasa disayogikeun ku ngagunakeun Sertipikat pikeun pariksa identitas pihak anu sanés. Hal ieu ngamungkinkeun Server pikeun pariksa idéntitas alat IP Endpoint, sareng sabalikna.
Pikeun ngalaksanakeun pamariksaan identitas, Sertipikat file kudu ditandatanganan ku Otoritas Sertipikat (CA). Alat anu sanés teras pariksa tandatangan ieu, nganggo Sertipikat Umum (Dipercanten) ti CA ieu.

Sertipikat TLS

Algo IP Endpoints tos dipasang sareng sakumpulan sertipikat umum ti Otoritas Sertipikat (CA) pihak katilu anu dipercaya, kalebet Comodo, Verisign, Symantec, DigiCert, jsb. server maranéhanana atawa websitus anu kanyataanana anu maranéhanana nyebutkeun aranjeunna. Alat Algo tiasa ngonfirmasi yén éta komunikasi sareng server otentik ku pariksa sertipikat anu ditandatanganan server ngalawan sertipikat umum ti CA anu nandatanganan éta. Sertipikat publik tambahan ogé bisa diunggah, pikeun ngidinan alat Algo ngandelkeun tur pariksa server tambahan nu bisa jadi teu kaasup kana sertipikat tos dipasang (pikeun ex.ample, sertipikat ditandatanganan sorangan).

Auténtikasi silih

Auténtikasi Silih nambihan hiji lapisan kaamanan tambahan ku meryogikeun pangladén pikeun ogé ngesahkeun sareng ngandelkeun alat titik tungtung, salian ti arah sabalikna tina titik akhir anu ngavalidasi server. Ieu dilaksanakeun nganggo Sertipikat Alat anu unik, dipasang dina unggal Algo SIP Endpoint dina waktos pembuatan. Kusabab alamat IP alat Algo henteu tetep (ditetepkeun ku jaringan palanggan), Algo teu tiasa nyebarkeun inpormasi ieu sateuacanna sareng CA anu dipercaya, sareng gantina, Sertipikat Alat ieu kedah ditandatanganan ku CA Algo sorangan.
Pikeun server teras percanten ka alat Algo, administrator sistem kedah masang ranté sertipikat Algo CA umum kana serverna (pikeun ex.ample System Telepon SIP atawa server provisioning maranéhanana) ku kituna server ieu bisa pariksa yen Sertipikat Alat dina alat Algo sabenerna otentik.

Catetan: Titik akhir Algo IP diproduksi taun 2019 (dimimitian ku firmware 1.7.1) atanapi engké gaduh sertipikat alat dipasang ti pabrik.
Pikeun pariksa naha sertipikat dipasang, arahkeun ka System -> tab Ngeunaan. Tingali bijil Produsén. Mun sertipikat teu dipasang, mangga surélék support@algosolutions.com. ALGO TLS Transport Layer Security - Gambar 1

Cipher Suites

Cipher suites mangrupikeun set algoritma anu dianggo salami sési TLS. Unggal suite kalebet algoritma pikeun auténtikasi, enkripsi, sareng auténtikasi pesen. Alat Algo ngadukung seueur algoritma enkripsi anu biasa dianggo sapertos AES256 sareng algoritma kode auténtikasi pesen sapertos SHA-2.

Sertipikat Alat Algo

Sertipikat Alat anu ditandatanganan ku Algo Root CA parantos dipasang di pabrik dina alat Algo ti saprak 2019, dimimitian ku firmware 1.7.1. Sertipikat dibangkitkeun nalika alat didamel, kalayan widang nami umum dina sertipikat anu ngandung alamat MAC pikeun unggal alat.
Sertipikat alat valid pikeun 30 taun sareng cicing dina partisi anu misah, ku kituna moal dipupus sanajan saatos pabrik ngareset titik ahir Algo.
Alat Algo ogé ngadukung unggah sertipikat alat anjeun nyalira pikeun dianggo tibatan sertipikat alat anu dipasang pabrik. Ieu tiasa dipasang ku ngamuat PEM file ngandung duanana sertipikat alat sareng konci pribadi kana diréktori 'sertipikat' (sanés diréktori 'sertipikat / dipercaya'!) dina Sistem -> File Tab Manajer. Ieu file kudu disebut 'sip klien.pem'.

Unggah Sértipikat CA Public ka Algo SIP Endpoints

Mun anjeun dina firmware leuwih handap 3.1.X, mangga ningkatkeun alat.
Pikeun masang sertipikat dina alat Algo anu ngajalankeun firmware v3.1 & di luhur, tuturkeun léngkah-léngkah ieu di handap:

  1. Kéngingkeun sertipikat umum ti Otoritas Sertipikat anjeun (sakur sertipikat format X.509 anu valid tiasa ditampi). Aya henteu format husus diperlukeun pikeun filengaran.
  2. Dina web panganteur alat Algo, arahkeun ka System -> File Tab Manajer.
  3. Unggah sertipikat files kana diréktori 'certs / dipercaya'. Pencét kana tombol Unggah di belah kénca juru luhur file manajer tur kotektak ka sertipikat.

Web Pilihan panganteur

Provisioning HTTPS
Provisioning bisa diamankeun ku nyetel 'Metode Ngundeur' ka 'HTTPS' (dina tab Advanced Settings > Provisioning). Ieu nyegah konfigurasi files ti dibaca ku pihak katilu nu teu dihoyongkeun. Ieu ngabéréskeun résiko poténsial data sénsitip dipaling, sapertos kecap akses admin sareng kredensial SIP. ALGO TLS Transport Layer Security - Gambar 2

Pikeun ngalakukeun verifikasi idéntitas dina Server Provisioning, setel ogé 'Validasi Sertipikat Server' ka 'Diaktipkeun'. Upami Sertipikat server provisioning ditandatanganan ku salah sahiji CA komérsial umum, alat Algo kedahna gaduh sertipikat umum pikeun CA ieu sareng tiasa ngalaksanakeun verifikasi.
Unggah sertipikat tambahan (sertipikat X.64 disandi Base509 file dina format .pem, .cer, atawa .crt) ku cara napigasi ka “System > File Manager" kana polder 'sertipikat/dipercaya'.
CATETAN: Parameter 'Validate Server Certificate' ogé tiasa diaktipkeun ngaliwatan provisioning: prov.download.cert = 1

HTTPS Web Protokol panganteur
Prosedur pikeun unggah sertipikat umum pikeun HTTPS web browsing sami sareng anu dijelaskeun dina bagian di luhur. httpd.pem file mangrupakeun sertipikat alat anu dipénta ku browser komputer anjeun nalika anjeun napigasi ka IP alat. Unggah hiji adat tiasa ngantep anjeun nyingkirkeun pesen peringatan upami anjeun ngaksés éta WebUI ngagunakeun HTTPS. Éta sanés sertipikat CA umum. Sertipikat kedah diunggah ka 'sertipikat'. ALGO TLS Transport Layer Security - Gambar 3

Sinyal SIP (sareng Audio RTP)

Sinyal SIP diamankeun ku netepkeun 'SIP Transportation' ka 'TLS' (dina tab Advanced Settings > Advanced SIP).

  • Éta mastikeun yén lalu lintas SIP bakal énkripsi.
  • Sinyal SIP tanggung jawab pikeun netepkeun sauran (sinyal kontrol pikeun ngamimitian sareng ngeureunkeun telepon sareng pihak anu sanés), tapi henteu ngandung audio.
  • Pikeun jalur audio (sora), paké setelan 'SDP SRTP Offer'.
  • Nyetél ieu ka 'Opsional' hartina data audio RTP telepon SIP bakal énkripsi (ngagunakeun SRTP) lamun pihak séjén ogé ngarojong enkripsi audio.
  • Upami pihak séjén henteu ngadukung SRTP, maka sauran éta bakal diteruskeun, tapi nganggo audio anu teu énkripsi. Pikeun ngawajibkeun énkripsi audio pikeun sadaya telepon, setel 'Tawaran SDP SRTP' ka 'Standar'. Dina hal ieu, lamun pihak séjén teu ngarojong enkripsi audio, usaha nelepon bakal ditolak.
  • Pikeun ngalakukeun verifikasi idéntitas dina SIP Server, setel ogé 'Validate Server Certificate' ka 'Enabled'.
  • Upami Sertipikat server SIP ditandatanganan ku salah sahiji CA komérsial umum, maka alat Algo kedah gaduh sertipikat umum pikeun CA ieu sareng tiasa ngalaksanakeun verifikasi. Lamun henteu (pikeun example kalawan sertipikat timer ditandatanganan), mangka sertipikat publik luyu bisa diunggah ka alat Algo sakumaha ditétélakeun saméméhna dina dokumen ieu.

ALGO TLS Transport Layer Security - Gambar 4

TLS Vérsi 1.2
Alat Algo ngajalankeun firmware v3.1 & di luhur ngarojong TLS v1.1 jeung v1.2. 'Force Secure TLS
Pilihan Vérsi 'bisa dipaké pikeun merlukeun sambungan TLS ngagunakeun TLSv1.2. Pikeun ngaktipkeun fitur ieu:

  • Pindah ka Setélan Advanced> SIP Lanjutan
  • Setel 'Force secure TLS Version' jadi diaktipkeun jeung simpen.
    CATETAN: Pilihan ieu geus dihapus dina v4.0+ saprak TLS v1.2 dipaké sacara standar

Algo Sértipikat Download

Di handap ieu sakumpulan tautan pikeun ngaunduh ranté sertipikat Algo CA. The files tiasa dipasang dina Server SIP atanapi Server Provisioning supados server ieu ngabuktoskeun kaaslianana Sertipikat Alat dina Algo SIP Endpoints, sahingga ngamungkinkeun Mutual Authentication:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo panengah CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Sertipikat Umum Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Pamérésan masalah

Upami sasalaman TLS teu acan réngsé, punten kirimkeun pakét pakét ka dukungan Algo pikeun dianalisis. Jang ngalampahkeun éta anjeun bakal kudu eunteung lalulintas, ti port titik ahir Algo disambungkeun kana switch jaringan, balik deui ka komputer.

Algo Komunikasi Produk Ltd.
4500 Beedie St Burnaby SM Kanada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumén / Sumberdaya

ALGO TLS Transport Layer Security [pdf] Parentah
TLS, Kaamanan Lapisan Angkutan, Kaamanan Lapisan, TLS, Lapisan Angkutan

Rujukan

Tulisan patali

Ninggalkeun komentar

alamat surélék anjeun moal diterbitkeun. Widang diperlukeun ditandaan *