Usalama wa Tabaka la Usafiri wa TLS
Mwongozo wa Maagizo

Kulinda Vituo vya Mwisho vya Algo IP:
TLS na Uthibitishaji wa Pamoja

Je, unahitaji Msaada?
604-454-3792 or msaada@algosolutions.com 

Utangulizi wa TLS

TLS (Usalama wa Tabaka la Usafiri) ni itifaki ya siri ambayo hutoa uthibitishaji, faragha, na usalama wa mwisho hadi mwisho wa data inayotumwa kati ya programu au vifaa kwenye Mtandao. Kwa vile majukwaa ya simu yaliyopangishwa yamekuwa ya kawaida zaidi, hitaji la TLS kutoa mawasiliano salama kwenye mtandao wa umma limeongezeka. Vifaa vya Algo vinavyotumia programu dhibiti ya 1.6.4 au baadaye vinaweza kutumia Usalama wa Tabaka la Usafiri (TLS) kwa Utoaji na Uwekaji Mawimbi wa SIP.
Kumbuka: ncha zifuatazo hazitumii TLS: 8180 IP Audio Alerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Alerter (G1), 8061 IP Relay Controller.

Usimbaji fiche dhidi ya Uthibitishaji wa Kitambulisho

Ingawa trafiki ya TLS inasimbwa kwa njia fiche kila wakati na ni salama kutokana na kutekwa au kubadilishwa na watu wengine, safu ya ziada ya usalama inaweza kutolewa kwa kutumia Vyeti ili kuthibitisha utambulisho wa mtu mwingine. Hii inaruhusu Seva kuthibitisha utambulisho wa kifaa cha IP Endpoint, na kinyume chake.
Ili kufanya ukaguzi wa utambulisho, Cheti file lazima isainiwe na Mamlaka ya Cheti (CA). Kisha kifaa kingine hukagua sahihi hii, kwa kutumia Cheti cha Umma (Kinachoaminiwa) kutoka kwa CA hii.

Vyeti vya TLS

Algo IP Endpoints huja ikiwa imesakinishwa awali na seti ya vyeti vya umma kutoka kwa Mamlaka za Cheti za wahusika wengine (CAs), ikiwa ni pamoja na Comodo, Verisign, Symantec, DigiCert, n.k. Mamlaka za Cheti hutoa vyeti vilivyotiwa saini kwa biashara ili kuruhusu biashara hizi kuthibitisha hilo. seva zao au webtovuti kwa kweli ni nani wanasema wao. Vifaa vya Algo vinaweza kuthibitisha kuwa inawasiliana na seva halisi kwa kuthibitisha vyeti vilivyotiwa saini vya seva dhidi ya vyeti vya umma kutoka kwa CA iliyotia saini. Vyeti vya ziada vya umma vinaweza pia kupakiwa, ili kuruhusu kifaa cha Algo kuamini na kuthibitisha seva za ziada ambazo haziwezi kujumuishwa kwenye vyeti vilivyosakinishwa awali (kwa mfano.ample, vyeti vya kujiandikisha).

Uthibitishaji wa Pamoja

Uthibitishaji wa Kuheshimiana huongeza safu moja ya ziada ya usalama kwa kuhitaji seva pia kuthibitisha na kuamini kifaa cha mwisho, pamoja na mwelekeo tofauti wa sehemu ya mwisho inayoidhinisha seva. Hii inatekelezwa kwa kutumia Cheti cha kipekee cha Kifaa, kilichosakinishwa kwenye kila sehemu ya mwisho ya Algo SIP wakati wa utengenezaji. Kwa vile anwani ya IP ya kifaa cha Algo haijarekebishwa (inabainishwa na mtandao wa mteja), Algo haiwezi kuchapisha maelezo haya mapema na CA zinazoaminika, na badala yake, Vyeti hivi vya Kifaa lazima visainiwe na CA ya Algo mwenyewe.
Ili seva iamini kifaa cha Algo, msimamizi wa mfumo atahitaji kusakinisha msururu wa cheti cha umma cha Algo CA kwenye seva yao (kwa mfanoample Mfumo wa Simu wa SIP au seva yake ya utoaji) ili seva hii iweze kuthibitisha kwamba Cheti cha Kifaa kwenye kifaa cha Algo ni cha kweli.

Kumbuka: Vituo vya mwisho vya IP vya Algo vilitengenezwa mnamo 2019 (kuanzia na programu dhibiti 1.7.1) au baadaye cheti cha kifaa kimesakinishwa kutoka kiwandani.
Ili kuthibitisha ikiwa cheti kimesakinishwa, nenda kwenye Mfumo -> kichupo cha Kuhusu. Tazama Cheti cha Mtengenezaji. Ikiwa cheti hakijasakinishwa, tafadhali tuma barua pepe msaada@algosolutions.com.

Cipher Suites

Cipher suites ni seti za algoriti zinazotumiwa wakati wa kipindi cha TLS. Kila safu inajumuisha kanuni za uthibitishaji, usimbaji fiche na uthibitishaji wa ujumbe. Vifaa vya Algo vinaauni algoriti nyingi za usimbaji fiche zinazotumika sana kama vile AES256 na algoriti za msimbo wa uthibitishaji kama vile SHA-2.

Vyeti vya Kifaa cha Algo

Vyeti vya Kifaa vilivyotiwa saini na Algo Root CA vimesakinishwa kiwandani kwenye vifaa vya Algo tangu 2019, kuanzia na programu dhibiti 1.7.1. Cheti huzalishwa wakati kifaa kinapotengenezwa, na sehemu ya jina la kawaida katika cheti kilicho na anwani ya MAC kwa kila kifaa.
Cheti cha kifaa ni halali kwa miaka 30 na kiko katika sehemu tofauti, kwa hivyo hakitafuta hata baada ya kuweka upya kituo cha mwisho cha Algo ambacho kilitoka kwa kiwandani.
Vifaa vya Algo pia vinaauni kupakia cheti cha kifaa chako cha kutumia badala ya cheti cha kifaa kilichosakinishwa kiwandani. Hii inaweza kusakinishwa kwa kupakia PEM file iliyo na cheti cha kifaa na ufunguo wa kibinafsi kwa saraka ya 'certs' (sio saraka ya 'certs/trusted'!) katika Mfumo -> File Kichupo cha msimamizi. Hii file inahitaji kuitwa 'sip mteja.pem'.

Inapakia Vyeti vya CA vya Umma kwenye Vituo vya Mwisho vya Algo SIP

Ikiwa unatumia programu dhibiti iliyo chini ya 3.1.X, tafadhali pata toleo jipya la kifaa.
Ili kusakinisha cheti kwenye kifaa cha Algo kinachoendesha programu dhibiti v3.1 na hapo juu, fuata hatua zilizo hapa chini:

1. Pata cheti cha umma kutoka kwa Mamlaka ya Cheti chako (cheti chochote halali cha umbizo la X.509 kinaweza kukubaliwa). Hakuna umbizo maalum linalohitajika kwa faili ya filejina.
2. Katika web interface ya kifaa cha Algo, nenda kwenye Mfumo -> File Kichupo cha msimamizi.
3. Pakia cheti files kwenye saraka ya 'certs/trusted'. Bofya kitufe cha Pakia kwenye kona ya juu kushoto ya faili ya file meneja na uvinjari hadi cheti.

Web Chaguzi za Kiolesura

Utoaji wa HTTPS
Utoaji unaweza kulindwa kwa kuweka 'Njia ya Kupakua' hadi 'HTTPS' (chini ya Mipangilio ya Kina > kichupo cha Utoaji). Hii inazuia usanidi files kutokana na kusomwa na mtu wa tatu asiyetakikana. Hili hutatua hatari inayoweza kutokea ya kuibiwa data nyeti, kama vile manenosiri ya msimamizi na vitambulisho vya SIP.

Ili kutekeleza uthibitishaji wa utambulisho kwenye Seva ya Utoaji, pia weka 'Thibitisha Cheti cha Seva' kuwa 'Imewashwa'. Ikiwa Cheti cha seva ya utoaji kimetiwa saini na mojawapo ya CA za kawaida za kibiashara, basi kifaa cha Algo kinapaswa kuwa na cheti cha umma cha CA hii na kiweze kutekeleza uthibitishaji.
Pakia vyeti vya ziada (Cheti cha X.64 kilichosimbwa cha Base509 file katika umbizo la .pem, .cer, au .crt) kwa kuelekea kwenye “Mfumo > File Meneja” kwenye folda ya 'certs/trusted'.
KUMBUKA: Kigezo cha 'Thibitisha Cheti cha Seva' kinaweza pia kuwashwa kupitia utoaji: cheti.cha.kupakua = 1

HTTPS Web Itifaki ya Maingiliano
Utaratibu wa kupakia cheti cha umma cha HTTPS web kuvinjari ni sawa na ilivyoelezwa katika sehemu hapo juu. httpd.pem file ni cheti cha kifaa ambacho kinaombwa na kivinjari cha kompyuta yako unapoenda kwenye IP ya kifaa. Kupakia mtu maalum kunaweza kukuruhusu kuondoa ujumbe wa onyo ikiwa utafikia WebUI kwa kutumia HTTPS. Sio cheti cha CA cha umma. Cheti lazima kipakiwe kwenye 'vyeti'.

Uwekaji Saini wa SIP (na Sauti ya RTP)

Uwekaji wa ishara wa SIP unalindwa kwa kuweka 'Usafirishaji wa SIP' hadi 'TLS' (chini ya Mipangilio ya Kina > kichupo cha Advanced SIP).

• Inahakikisha kwamba trafiki ya SIP itasimbwa kwa njia fiche.
• Kuashiria kwa SIP kunawajibika kuanzisha simu (ishara za udhibiti ili kuanza na kumaliza simu na mhusika mwingine), lakini haina sauti.
• Kwa njia ya sauti (sauti), tumia mpangilio wa 'Ofa ya SDP SRTP'.
• Kuweka hii kuwa 'Si lazima' inamaanisha data ya sauti ya RTP ya simu ya SIP itasimbwa kwa njia fiche (kwa kutumia SRTP) ikiwa mhusika mwingine pia anatumia usimbaji fiche wa sauti.
• Ikiwa mhusika mwingine hauauni SRTP, basi simu bado itaendelea, lakini kwa sauti ambayo haijasimbwa. Ili kufanya usimbaji fiche wa sauti kuwa lazima kwa simu zote, weka 'Ofa ya SDP SRTP' iwe 'Kawaida'. Katika kesi hii, ikiwa upande mwingine hauauni usimbaji fiche wa sauti, basi jaribio la kupiga simu litakataliwa.
• Ili kutekeleza uthibitishaji wa utambulisho kwenye Seva ya SIP, pia weka 'Thibitisha Cheti cha Seva' kuwa 'Imewashwa'.
• Ikiwa Cheti cha seva ya SIP kimetiwa saini na mojawapo ya CA za kawaida za kibiashara, basi kifaa cha Algo kinapaswa kuwa na cheti cha umma cha CA hii na kiweze kufanya uthibitishaji. Ikiwa sivyo (kwa mfanoample na vyeti vya kujitia saini), basi cheti kinachofaa cha umma kinaweza kupakiwa kwenye kifaa cha Algo kama ilivyoelezwa awali katika hati hii.

Toleo la TLS 1.2
Vifaa vya Algo vinavyotumia programu dhibiti v3.1 & hapo juu vinaauni TLS v1.1 na v1.2. 'Lazimisha Usalama wa TLS
Chaguo la toleo linaweza kutumika kuhitaji miunganisho ya TLS kutumia TLSv1.2. Ili kuwezesha kipengele hiki:

• Nenda kwa Mipangilio ya Kina > SIP ya Juu
• Weka 'Lazimisha Toleo la TLS salama' kama lilivyowezeshwa na uhifadhi.
  KUMBUKA: Chaguo hili limeondolewa katika v4.0+ kwa kuwa TLS v1.2 inatumiwa kwa chaguomsingi

Pakua Vyeti vya Algo

Ifuatayo ni seti ya viungo vya kupakua msururu wa cheti cha Algo CA. The files inaweza kusakinishwa kwenye Seva ya SIP au Seva ya Utoaji ili seva hizi ziweze kuthibitisha Vyeti vya Kifaa kwenye Mihimilisho ya Algo SIP, na hivyo kuruhusu Uthibitishaji wa Pamoja:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Cheti cha Umma cha Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Kutatua matatizo

Ikiwa kupeana mkono kwa TLS hakukamilishwi, tafadhali tuma picha ya pakiti kwa usaidizi wa Algo kwa uchanganuzi. Ili kufanya hivyo itabidi uangalie trafiki, kutoka kwa bandari mwisho wa Algo umeunganishwa kwenye swichi ya mtandao, kurudi kwenye kompyuta.

Bidhaa za Mawasiliano za Algo Ltd.
4500 Beedie St Burnaby BC Kanada V5J 5L2
www.algosolutions.com
604-454-3792
msaada@algosolutions.com

Nyaraka / Rasilimali

ALGO TLS Usalama wa Tabaka la Usafiri [pdf] Maagizo TLS, Usalama wa Tabaka la Usafiri, Usalama wa Tabaka, TLS, Tabaka la Usafiri

Marejeleo

• Mwongozo wa Mtumiaji