ALGO TLS రవాణా లేయర్ భద్రతా సూచనలు

TLS (ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ) అనేది క్రిప్టోగ్రాఫిక్ ప్రోటోకాల్, ఇది ఇంటర్నెట్‌లో అప్లికేషన్‌లు లేదా పరికరాల మధ్య పంపబడిన డేటా యొక్క ప్రమాణీకరణ, గోప్యత మరియు ఎండ్-టు-ఎండ్ భద్రతను అందిస్తుంది. హోస్ట్ చేయబడిన టెలిఫోనీ ప్లాట్‌ఫారమ్‌లు సర్వసాధారణం కావడంతో, పబ్లిక్ ఇంటర్నెట్‌లో సురక్షితమైన కమ్యూనికేషన్‌ను అందించడానికి TLS అవసరం పెరిగింది. ఫర్మ్‌వేర్ 1.6.4కు మద్దతిచ్చే ఆల్గో పరికరాలు లేదా ప్రొవిజనింగ్ మరియు SIP సిగ్నలింగ్ రెండింటికీ ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ (TLS)కి మద్దతిస్తుంది.
గమనిక: కింది ముగింపు పాయింట్‌లు TLSకి మద్దతు ఇవ్వవు: 8180 IP ఆడియో అలర్టర్ (G1), 8028 IP డోర్‌ఫోన్ (G1), 8128 IP విజువల్ అలర్టర్ (G1), 8061 IP రిలే కంట్రోలర్.

ఎన్క్రిప్షన్ vs గుర్తింపు ధృవీకరణ

TLS ట్రాఫిక్ ఎల్లప్పుడూ ఎన్‌క్రిప్ట్ చేయబడి, మూడవ పక్షం వినడం లేదా సవరించడం నుండి సురక్షితంగా ఉన్నప్పటికీ, ఇతర పక్షం యొక్క గుర్తింపును ధృవీకరించడానికి సర్టిఫికెట్‌లను ఉపయోగించడం ద్వారా అదనపు భద్రతను అందించవచ్చు. ఇది IP ఎండ్‌పాయింట్ పరికరం యొక్క గుర్తింపును ధృవీకరించడానికి సర్వర్‌ను అనుమతిస్తుంది మరియు వైస్ వెర్సా.
గుర్తింపు తనిఖీని నిర్వహించడానికి, సర్టిఫికేట్ file తప్పనిసరిగా సర్టిఫికేట్ అథారిటీ (CA) సంతకం చేయాలి. ఇతర పరికరం ఈ CA నుండి పబ్లిక్ (విశ్వసనీయ) సర్టిఫికెట్‌ని ఉపయోగించి ఈ సంతకాన్ని తనిఖీ చేస్తుంది.

TLS సర్టిఫికెట్లు

Algo IP ఎండ్‌పాయింట్‌లు Comodo, Verisign, Symantec, DigiCert మొదలైనవాటితో సహా విశ్వసనీయ థర్డ్-పార్టీ సర్టిఫికేట్ అథారిటీల (CAలు) పబ్లిక్ సర్టిఫికేట్‌ల సెట్‌తో ముందే ఇన్‌స్టాల్ చేయబడ్డాయి. ఈ వ్యాపారాలను నిరూపించడానికి వ్యాపారాలకు సర్టిఫికేట్ అధికారులు సంతకం చేసిన ప్రమాణపత్రాలను అందిస్తారు. వారి సర్వర్లు లేదా webసైట్‌లు నిజానికి వారు చెప్పేవి. ఆల్గో పరికరాలు అది సంతకం చేసిన CA నుండి పబ్లిక్ సర్టిఫికేట్‌లకు వ్యతిరేకంగా సర్వర్ సంతకం చేసిన సర్టిఫికేట్‌లను ధృవీకరించడం ద్వారా ప్రామాణికమైన సర్వర్‌తో కమ్యూనికేట్ చేస్తున్నాయని నిర్ధారించగలవు. ప్రీఇన్‌స్టాల్ చేసిన సర్టిఫికెట్‌లలో చేర్చబడని అదనపు సర్వర్‌లను విశ్వసించడానికి మరియు ధృవీకరించడానికి Algo పరికరాన్ని అనుమతించడానికి అదనపు పబ్లిక్ సర్టిఫికేట్‌లను కూడా అప్‌లోడ్ చేయవచ్చు (ఉదా.ample, స్వీయ సంతకం చేసిన ధృవపత్రాలు).

పరస్పర ప్రమాణీకరణ

మ్యూచువల్ అథెంటికేషన్ అనేది సర్వర్‌ని ధృవీకరించే ఎండ్‌పాయింట్ యొక్క వ్యతిరేక దిశతో పాటు, ఎండ్‌పాయింట్ పరికరాన్ని ధృవీకరించడం మరియు విశ్వసించడం కూడా సర్వర్‌ని కోరడం ద్వారా భద్రత యొక్క ఒక అదనపు పొరను జోడిస్తుంది. తయారీ సమయంలో ప్రతి ఆల్గో SIP ఎండ్‌పాయింట్‌లో ఇన్‌స్టాల్ చేయబడిన ప్రత్యేకమైన పరికర ప్రమాణపత్రాన్ని ఉపయోగించి ఇది అమలు చేయబడుతుంది. Algo పరికరం యొక్క IP చిరునామా స్థిరంగా లేనందున (ఇది కస్టమర్ యొక్క నెట్‌వర్క్ ద్వారా నిర్ణయించబడుతుంది), Algo ఈ సమాచారాన్ని విశ్వసనీయ CAలతో ముందుగానే ప్రచురించదు మరియు బదులుగా, ఈ పరికర ధృవపత్రాలపై Algo యొక్క స్వంత CA ద్వారా సంతకం చేయబడాలి.
సర్వర్ ఆల్గో పరికరాన్ని విశ్వసించాలంటే, సిస్టమ్ అడ్మినిస్ట్రేటర్ తమ సర్వర్‌లో పబ్లిక్ ఆల్గో CA సర్టిఫికెట్ చైన్‌ను ఇన్‌స్టాల్ చేయాలి (ఉదా.ample SIP ఫోన్ సిస్టమ్ లేదా వాటి ప్రొవిజనింగ్ సర్వర్) తద్వారా ఈ సర్వర్ ఆల్గో పరికరంలోని పరికర సర్టిఫికేట్ వాస్తవానికి ప్రామాణికమైనదని ధృవీకరించగలదు.

గమనిక: ఆల్గో IP ఎండ్‌పాయింట్‌లు 2019లో తయారు చేయబడ్డాయి (ఫర్మ్‌వేర్ 1.7.1తో మొదలవుతాయి) లేదా ఆ తర్వాత ఫ్యాక్టరీ నుండి డివైజ్ సర్టిఫికేట్ ఇన్‌స్టాల్ చేయబడ్డాయి.
సర్టిఫికేట్ ఇన్‌స్టాల్ చేయబడిందో లేదో ధృవీకరించడానికి, సిస్టమ్ -> టాబ్ గురించి నావిగేట్ చేయండి. తయారీదారు సర్టిఫికేట్ చూడండి. సర్టిఫికేట్ ఇన్‌స్టాల్ చేయకపోతే, దయచేసి ఇమెయిల్ చేయండి support@algosolutions.com.

సాంకేతికలిపి సూట్లు

సైఫర్ సూట్‌లు TLS సెషన్‌లో ఉపయోగించే అల్గారిథమ్‌ల సెట్‌లు. ప్రతి సూట్ ప్రమాణీకరణ, గుప్తీకరణ మరియు సందేశ ప్రమాణీకరణ కోసం అల్గారిథమ్‌లను కలిగి ఉంటుంది. ఆల్గో పరికరాలు AES256 వంటి సాధారణంగా ఉపయోగించే అనేక ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లు మరియు SHA-2 వంటి సందేశ ప్రమాణీకరణ కోడ్ అల్గారిథమ్‌లకు మద్దతు ఇస్తాయి.

ఆల్గో పరికర సర్టిఫికెట్లు

ఆల్గో రూట్ CA ద్వారా సంతకం చేయబడిన పరికర సర్టిఫికెట్లు 2019 నుండి ఆల్గో పరికరాలలో ఫర్మ్‌వేర్ 1.7.1తో ప్రారంభించి ఫ్యాక్టరీ ఇన్‌స్టాల్ చేయబడ్డాయి. ప్రతి పరికరం కోసం MAC చిరునామాను కలిగి ఉన్న సర్టిఫికేట్‌లోని సాధారణ పేరు ఫీల్డ్‌తో పరికరం తయారు చేయబడినప్పుడు ప్రమాణపత్రం రూపొందించబడుతుంది.
పరికర ప్రమాణపత్రం 30 సంవత్సరాల పాటు చెల్లుబాటులో ఉంటుంది మరియు ప్రత్యేక విభజనలో నివసిస్తుంది, కాబట్టి ఆల్గో ఎండ్‌పాయింట్‌ని ఫ్యాక్టరీ రీసెట్ చేసిన తర్వాత కూడా ఇది తొలగించబడదు.
ఆల్గో పరికరాలు ఫ్యాక్టరీ-ఇన్‌స్టాల్ చేసిన పరికర ప్రమాణపత్రానికి బదులుగా ఉపయోగించడానికి మీ స్వంత పరికర ప్రమాణపత్రాన్ని అప్‌లోడ్ చేయడానికి కూడా మద్దతు ఇస్తాయి. PEMని అప్‌లోడ్ చేయడం ద్వారా దీన్ని ఇన్‌స్టాల్ చేయవచ్చు file సిస్టమ్‌లోని 'సర్ట్స్' డైరెక్టరీకి ('సర్ట్స్/విశ్వసనీయ' డైరెక్టరీ కాదు!) పరికర ప్రమాణపత్రం మరియు ప్రైవేట్ కీ రెండింటినీ కలిగి ఉంటుంది -> File మేనేజర్ ట్యాబ్. ఈ file సిప్ అని పిలవాలి క్లయింట్.పెమ్'.

ఆల్గో SIP ఎండ్‌పాయింట్‌లకు పబ్లిక్ CA సర్టిఫికెట్‌లను అప్‌లోడ్ చేస్తోంది

మీరు 3.1.X కంటే తక్కువ ఫర్మ్‌వేర్‌లో ఉన్నట్లయితే, దయచేసి పరికరాన్ని అప్‌గ్రేడ్ చేయండి.
ఫర్మ్‌వేర్ v3.1 & అంతకంటే ఎక్కువ నడుస్తున్న ఆల్గో పరికరంలో ప్రమాణపత్రాన్ని ఇన్‌స్టాల్ చేయడానికి, దిగువ దశలను అనుసరించండి:

మీ సర్టిఫికేట్ అథారిటీ నుండి పబ్లిక్ సర్టిఫికేట్ పొందండి (ఏదైనా చెల్లుబాటు అయ్యే X.509 ఫార్మాట్ సర్టిఫికేట్ ఆమోదించబడుతుంది). కోసం నిర్దిష్ట ఫార్మాట్ అవసరం లేదు fileపేరు.
లో web ఆల్గో పరికరం యొక్క ఇంటర్‌ఫేస్, సిస్టమ్ ->కి నావిగేట్ చేయండి File మేనేజర్ ట్యాబ్.

ప్రమాణపత్రాన్ని అప్‌లోడ్ చేయండి file'సర్ట్‌లు/విశ్వసనీయ' డైరెక్టరీలోకి లు. యొక్క ఎగువ ఎడమ మూలలో ఉన్న అప్‌లోడ్ బటన్‌ను క్లిక్ చేయండి file మేనేజర్ మరియు సర్టిఫికేట్‌కు బ్రౌజ్ చేయండి.

Web ఇంటర్ఫేస్ ఎంపికలు

HTTPS ప్రొవిజనింగ్
'డౌన్‌లోడ్ పద్ధతి'ని 'HTTPS'కి సెట్ చేయడం ద్వారా ప్రొవిజనింగ్‌ను సురక్షితం చేయవచ్చు (అధునాతన సెట్టింగ్‌లు > ప్రొవిజనింగ్ ట్యాబ్ కింద). ఇది కాన్ఫిగరేషన్‌ను నిరోధిస్తుంది fileఅవాంఛిత మూడవ పక్షం చదవడం వలన లు. ఇది అడ్మిన్ పాస్‌వర్డ్‌లు మరియు SIP ఆధారాల వంటి సున్నితమైన డేటా దొంగిలించబడిన సంభావ్య ప్రమాదాన్ని పరిష్కరిస్తుంది.

ప్రొవిజనింగ్ సర్వర్‌లో గుర్తింపు ధృవీకరణను నిర్వహించడానికి, 'ప్రామాణిక సర్వర్ సర్టిఫికేట్'ని కూడా 'ప్రారంభించబడింది'కి సెట్ చేయండి. ప్రొవిజనింగ్ సర్వర్ సర్టిఫికేట్‌పై సాధారణ వాణిజ్య CAలు సంతకం చేసినట్లయితే, ఆల్గో పరికరం ఇప్పటికే ఈ CA కోసం పబ్లిక్ సర్టిఫికేట్‌ను కలిగి ఉండాలి మరియు ధృవీకరణను నిర్వహించగలగాలి.
అదనపు ప్రమాణపత్రాలను అప్‌లోడ్ చేయండి (Base64 ఎన్‌కోడ్ చేయబడిన X.509 ప్రమాణపత్రం file .pem, .cer, లేదా .crt ఆకృతిలో) “సిస్టమ్ >కి నావిగేట్ చేయడం ద్వారా File 'సర్ట్‌లు/విశ్వసనీయ' ఫోల్డర్‌కు మేనేజర్”.
గమనిక: ప్రొవిజనింగ్ ద్వారా 'వాలిడేట్ సర్వర్ సర్టిఫికేట్' పరామితిని కూడా ప్రారంభించవచ్చు: prov.download.cert = 1

HTTPS Web ఇంటర్ఫేస్ ప్రోటోకాల్
HTTPS కోసం పబ్లిక్ సర్టిఫికెట్‌ని అప్‌లోడ్ చేసే విధానం web బ్రౌజింగ్ పై విభాగంలో వివరించిన విధంగానే ఉంటుంది. httpd.pem file మీరు పరికరం యొక్క IPకి నావిగేట్ చేసినప్పుడు మీ కంప్యూటర్ బ్రౌజర్ ద్వారా అభ్యర్థించిన పరికర ప్రమాణపత్రం. కస్టమ్‌ను అప్‌లోడ్ చేయడం వలన మీరు దాన్ని యాక్సెస్ చేస్తే హెచ్చరిక సందేశాన్ని వదిలించుకోవచ్చు WebHTTPSని ఉపయోగించే UI. ఇది పబ్లిక్ CA సర్టిఫికేట్ కాదు. సర్టిఫికేట్ తప్పనిసరిగా 'సర్ట్'లకు అప్‌లోడ్ చేయాలి.

SIP సిగ్నలింగ్ (మరియు RTP ఆడియో)

'SIP ట్రాన్స్‌పోర్టేషన్'ని 'TLS'కి సెట్ చేయడం ద్వారా SIP సిగ్నలింగ్ సురక్షితం చేయబడుతుంది (అధునాతన సెట్టింగ్‌లు > అధునాతన SIP ట్యాబ్ కింద).

ఇది SIP ట్రాఫిక్ గుప్తీకరించబడుతుందని నిర్ధారిస్తుంది.

SIP సిగ్నలింగ్ కాల్‌ని స్థాపించడానికి బాధ్యత వహిస్తుంది (ఇతర పక్షంతో కాల్‌ను ప్రారంభించడం మరియు ముగించడం కోసం నియంత్రణ సంకేతాలు), కానీ అది ఆడియోను కలిగి ఉండదు.
ఆడియో (వాయిస్) మార్గం కోసం, 'SDP SRTP ఆఫర్' సెట్టింగ్‌ని ఉపయోగించండి.

దీన్ని 'ఐచ్ఛికం'కి సెట్ చేయడం అంటే అవతలి పక్షం కూడా ఆడియో ఎన్‌క్రిప్షన్‌కు మద్దతిస్తే SIP కాల్ RTP ఆడియో డేటా గుప్తీకరించబడుతుంది (SRTPని ఉపయోగించి).
అవతలి పక్షం SRTPకి మద్దతు ఇవ్వకుంటే, కాల్ ఇప్పటికీ కొనసాగుతుంది, కానీ ఎన్‌క్రిప్ట్ చేయని ఆడియోతో. అన్ని కాల్‌లకు ఆడియో ఎన్‌క్రిప్షన్ తప్పనిసరి చేయడానికి, 'SDP SRTP ఆఫర్'ని 'స్టాండర్డ్'కి సెట్ చేయండి. ఈ సందర్భంలో, ఇతర పక్షం ఆడియో గుప్తీకరణకు మద్దతు ఇవ్వకపోతే, కాల్ ప్రయత్నం తిరస్కరించబడుతుంది.

SIP సర్వర్‌లో గుర్తింపు ధృవీకరణను నిర్వహించడానికి, 'ప్రామాణిక సర్వర్ సర్టిఫికేట్'ని కూడా 'ప్రారంభించబడింది'కి సెట్ చేయండి.
SIP సర్వర్ సర్టిఫికేట్‌పై సాధారణ వాణిజ్య CAలు సంతకం చేసినట్లయితే, ఆల్గో పరికరం ఇప్పటికే ఈ CA కోసం పబ్లిక్ సర్టిఫికేట్‌ను కలిగి ఉండాలి మరియు ధృవీకరణను నిర్వహించగలగాలి. కాకపోతే (ఉదాampస్వీయ సంతకం చేసిన ప్రమాణపత్రాలతో le), ఆపై ఈ పత్రంలో ముందుగా వివరించిన విధంగా తగిన పబ్లిక్ సర్టిఫికేట్‌ను ఆల్గో పరికరానికి అప్‌లోడ్ చేయవచ్చు.

TLS వెర్షన్ 1.2
ఫర్మ్‌వేర్ v3.1 & అంతకంటే ఎక్కువ ఉన్న ఆల్గో పరికరాలు TLS v1.1 మరియు v1.2కి మద్దతు ఇస్తాయి. 'ఫోర్స్ సెక్యూర్ TLS
TLS కనెక్షన్‌లు TLSv1.2ని ఉపయోగించడానికి సంస్కరణ ఎంపికను ఉపయోగించవచ్చు. ఈ లక్షణాన్ని ప్రారంభించడానికి:

అధునాతన సెట్టింగ్‌లు > అధునాతన SIPకి వెళ్లండి
'ఫోర్స్ సెక్యూర్ TLS వెర్షన్'ని ఎనేబుల్ చేసి, సేవ్ చేయండి.
గమనిక: TLS v4.0 డిఫాల్ట్‌గా ఉపయోగించబడినందున ఈ ఎంపిక v1.2+లో తీసివేయబడింది

ఆల్గో సర్టిఫికెట్లు డౌన్‌లోడ్

ఆల్గో CA సర్టిఫికేట్ చైన్‌ని డౌన్‌లోడ్ చేయడానికి లింక్‌ల సెట్ క్రింద ఉన్నాయి. ది fileఆల్గో SIP ఎండ్‌పాయింట్‌లలో పరికర సర్టిఫికెట్‌లను ప్రమాణీకరించడానికి ఈ సర్వర్‌ల కోసం SIP సర్వర్ లేదా ప్రొవిజనింగ్ సర్వర్‌లో లు ఇన్‌స్టాల్ చేయబడవచ్చు మరియు తద్వారా పరస్పర ప్రమాణీకరణను అనుమతిస్తుంది:
ఆల్గో రూట్ CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
ఆల్గో ఇంటర్మీడియట్ CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
ఆల్గో పబ్లిక్ సర్టిఫికేట్: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

ట్రబుల్షూటింగ్

TLS హ్యాండ్‌షేక్ పూర్తి కాకపోతే, దయచేసి విశ్లేషణ కోసం ఆల్గో సపోర్ట్‌కి ప్యాకెట్ క్యాప్చర్‌ను పంపండి. అలా చేయడానికి మీరు ట్రాఫిక్‌ను ప్రతిబింబించాలి, పోర్ట్ నుండి ఆల్గో ఎండ్‌పాయింట్ నెట్‌వర్క్ స్విచ్‌కు కనెక్ట్ చేయబడి, కంప్యూటర్‌కు తిరిగి వెళ్లాలి.

ఆల్గో కమ్యూనికేషన్ ప్రొడక్ట్స్ లిమిటెడ్
4500 బీడీ సెయింట్ బర్నాబీ BC కెనడా V5J 5L2
www.alloosolutions.com.
604-454-3792
support@algosolutions.com

పత్రాలు / వనరులు

ALGO TLS ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ [pdf] సూచనలు
TLS, ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ, లేయర్ సెక్యూరిటీ, TLS, ట్రాన్స్‌పోర్ట్ లేయర్

సూచనలు

వినియోగదారు మాన్యువల్

TLSకి పరిచయం