Дастурҳои амнияти қабати нақлиёти ALGO TLS

TLS (Transport Layer Security) як протоколи криптографист, ки аутентификатсия, махфият ва амнияти охири маълумотро, ки байни барномаҳо ё дастгоҳҳо тавассути Интернет фиристода мешаванд, таъмин мекунад. Азбаски платформаҳои телефонии ҷойгиршуда бештар маъмул гаштанд, зарурати TLS барои таъмини иртиботи бехатар тавассути интернети ҷамъиятӣ афзоиш ёфт. Дастгоҳҳои Algo, ки нармафзори 1.6.4 ё дертарро дастгирӣ мекунанд, амнияти қабати нақлиётро (TLS) ҳам барои таъминот ва ҳам сигнали SIP дастгирӣ мекунанд.
Шарҳ: нуқтаҳои поёнии зерин TLS-ро дастгирӣ намекунанд: 8180 IP Audio Allerter (G1), 8028 IP Doorphone (G1), 8128 IP Visual Allerter (G1), 8061 IP Relay Controller.

Рамзгузорӣ ва тасдиқи шахсият

Дар ҳоле, ки трафики TLS ҳамеша рамзгузоришуда ва аз гӯш кардан ё тағир додани тарафи сеюм бехатар аст, бо истифода аз Сертификатҳо барои тасдиқи шахсияти тарафи дигар як қабати иловагии амниятро таъмин кардан мумкин аст. Ин ба Сервер имкон медиҳад, ки шахсияти дастгоҳи IP Endpoint-ро тафтиш кунад ва баръакс.
Барои иҷрои санҷиши шахсият, Шаҳодатнома file бояд аз ҷониби мақомоти сертификатсия (CA) имзо карда шавад. Пас аз он дастгоҳи дигар ин имзоро бо истифода аз Сертификати ҷамъиятии (Эътимоднок) ин CA тафтиш мекунад.

Шаҳодатномаҳои TLS

Algo IP Endpoints бо маҷмӯи шаҳодатномаҳои ҷамъиятии мақомоти боэътимоди сертификатсия (CA)-и сеюм, аз ҷумла Comodo, Verisign, Symantec, DigiCert ва ғайра пешакӣ насб карда мешаванд. Мақомотҳои сертификатсия ба корхонаҳо шаҳодатномаҳои имзошударо пешниҳод мекунанд, то ба ин корхонаҳо исбот кунанд, ки серверҳои онҳо ё webсайтҳо дар асл касоне ҳастанд, ки онҳо мегӯянд. Дастгоҳҳои Algo метавонанд тасдиқ кунанд, ки он бо сервери аслӣ иртибот дорад, тавассути тасдиқи сертификатҳои имзошудаи сервер дар муқобили сертификатҳои ҷамъиятии CA, ки онро имзо кардааст. Шаҳодатномаҳои ҷамъиятии иловагиро низ бор кардан мумкин аст, то ба дастгоҳи Algo имкон диҳад, ки ба серверҳои иловагие, ки ба сертификатҳои пешакӣ насбшуда дохил карда нашудаанд, эътимод ва тафтиш кунад (масаланample, шаҳодатномаҳои худ имзошуда).

Аутентификатсияи мутақобила

Аутентификатсияи мутақобила як қабати иловагии амниятро илова мекунад, ки тавассути сервер талаб мекунад, ки дастгоҳи ниҳоиро тасдиқ ва эътимод кунад, ба ғайр аз самти муқобили нуқтаи ниҳоӣ, ки серверро тасдиқ мекунад. Ин бо истифода аз Шаҳодатномаи беназири дастгоҳ, ки дар ҳар як Endpoint Algo SIP дар вақти истеҳсол насб шудааст, амалӣ карда мешавад. Азбаски суроғаи IP-и дастгоҳи Algo собит нест (он аз ҷониби шабакаи муштарӣ муайян карда мешавад), Algo наметавонад ин маълумотро пешакӣ бо CA-ҳои боэътимод нашр кунад ва ба ҷои ин, ин Шаҳодатномаҳои дастгоҳ бояд аз ҷониби CA-и худи Algo имзо карда шаванд.
Барои он ки сервер ба дастгоҳи Algo эътимод кунад, мудири система бояд занҷири сертификати ҷамъиятии Algo CA-ро дар сервери худ насб кунад (масалан,ampсистемаи телефони SIP ё сервери таъминкунандаи онҳо), то ин сервер тавонад тасдиқ кунад, ки Сертификати дастгоҳ дар дастгоҳи Algo воқеан аслӣ аст.

Шарҳ: Нуқтаҳои охири Algo IP, ки соли 2019 истеҳсол шудаанд (аз нармафзори нармафзори 1.7.1 сар карда) ё дертар сертификати дастгоҳро аз завод насб кардаанд.
Барои санҷидани он, ки сертификат насб шудааст, ба ҷадвали Система -> Дар бораи он гузаред. Ба шаҳодатномаи истеҳсолкунанда нигаред. Агар сертификат насб нашуда бошад, лутфан ба почтаи электронӣ ирсол кунед support@algosolutions.com.

Suites Cipher

Сюитҳои шифрҳо маҷмӯи алгоритмҳо мебошанд, ки дар сессияи TLS истифода мешаванд. Ҳар як пакет алгоритмҳои аутентификатсия, рамзгузорӣ ва тасдиқи паёмро дар бар мегирад. Дастгоҳҳои Algo бисёр алгоритмҳои рамзгузории маъмулан истифодашавандаро, аз қабили AES256 ва алгоритмҳои рамзи аутентификатсияи паёмҳо, ба монанди SHA-2, дастгирӣ мекунанд.

Шаҳодатномаҳои дастгоҳи Algo

Шаҳодатномаҳои дастгоҳ, ки аз ҷониби Algo Root CA имзо шудааст, аз соли 2019 дар дастгоҳҳои Algo дар завод насб карда шудаанд, ки аз нармафзори 1.7.1 оғоз мешавад. Шаҳодатнома ҳангоми истеҳсоли дастгоҳ бо майдони номи умумӣ дар сертификат бо суроғаи MAC барои ҳар як дастгоҳ тавлид мешавад.
Шаҳодатномаи дастгоҳ барои 30 сол эътибор дорад ва дар қисмати алоҳида ҷойгир аст, аз ин рӯ, ҳатто пас аз аз нав танзимкунии нуқтаи ниҳоии Algo, он тоза карда намешавад.
Дастгоҳҳои Algo инчунин боргузории сертификати дастгоҳи шахсии шуморо барои истифода ба ҷои шаҳодатномаи дастгоҳи дар завод насбшуда дастгирӣ мекунанд. Инро тавассути боркунии PEM насб кардан мумкин аст file дорои ҳам сертификати дастгоҳ ва ҳам калиди махфии он ба директорияи 'certs' (на директорияи 'certs/trusted'!) дар Система -> File Ҷадвали менеҷер. Ин file «сип» номидан лозим аст client.pem'.

Боркунии шаҳодатномаҳои ҷамъиятии CA ба Algo SIP Endpoints

Агар шумо дар нармафзори пасттар аз 3.1.X бошед, лутфан дастгоҳро навсозӣ кунед.
Барои насб кардани сертификат дар дастгоҳи Algo, ки нармафзори v3.1 ва болотарро иҷро мекунад, қадамҳои зеринро иҷро кунед:

Аз мақомоти сертификатсияи худ шаҳодатномаи оммавӣ гиред (ҳар гуна шаҳодатномаи формати X.509-ро қабул кардан мумкин аст). Ягон формати мушаххас барои ин талаб карда намешавад fileном.
Дар web интерфейси дастгоҳи Algo, ба система гузаред -> File Ҷадвали менеҷер.

Сертификатро бор кунед fileс ба директорияи 'certs/trusted'. Тугмаи Боргириро дар кунҷи чапи болоии он пахш кунед file мудир ва ба сертификат нигаред.

Web Имконоти интерфейс

Таъмини HTTPS
Таъминкуниро бо гузоштани 'Усули боргирӣ' ба 'HTTPS' таъмин кардан мумкин аст (дар зери Танзимоти пешрафта > Ҷадвали Таъминкунӣ). Ин конфигуратсияро пешгирӣ мекунад fileс аз хондани тарафи сеюми номатлуб. Ин хатари эҳтимолии дуздида шудани маълумоти ҳассос, аз қабили паролҳои администратор ва эътимодномаҳои SIP-ро ҳал мекунад.

Барои анҷом додани санҷиши шахсият дар сервери таъминкунӣ, инчунин "Тасдиқи сертификати сервер" -ро ба "Фаъол" таъин кунед. Агар Сертификати сервери таъминкунанда аз ҷониби яке аз CA-ҳои маъмули тиҷоратӣ имзо шуда бошад, он гоҳ дастгоҳи Algo бояд аллакай сертификати оммавии ин CA дошта бошад ва қодир ба анҷом додани санҷиш бошад.
Сертификати иловагиро бор кунед (шаҳодатномаи Base64 рамзгузоришудаи X.509 file дар формати .pem, .cer ё .crt) тавассути гузариш ба "Система > File Менеҷер»-ро ба ҷузвдони 'certs/trusted'.
ЭЗОҲ: Параметри "Шаҳодатномаи серверро тасдиқ кардан" инчунин метавонад тавассути таъминот фаъол карда шавад: prov.download.cert = 1

HTTPS Web Протоколи интерфейс
Тартиби бор кардани сертификати ҷамъиятӣ барои HTTPS web дидан ба он чизе ки дар боби боло тавсиф шудааст, монанд аст. httpd.pem file сертификати дастгоҳест, ки ҳангоми гузаштан ба IP-и дастгоҳ аз ҷониби браузери компютери шумо талаб карда мешавад. Боркунии як фармоишӣ метавонад ба шумо имкон диҳад, ки агар шумо ба он дастрасӣ пайдо кунед, аз паёми огоҳкунанда халос шавед WebUI бо истифода аз HTTPS. Ин шаҳодатномаи ҷамъиятии CA нест. Шаҳодатнома бояд ба "сертҳо" бор карда шавад.

SIP Signaling (ва RTP Audio)

Сигналгузории SIP тавассути танзими "SIP Transportation" ба "TLS" таъмин карда мешавад (дар зери Танзимоти пешрафта > ҷадвали SIP Advanced).

Он кафолат медиҳад, ки трафики SIP рамзгузорӣ мешавад.

Сигнали SIP барои таъсиси занг масъул аст (сигналҳои идоракунӣ барои оғоз ва анҷом додани занг бо тарафи дигар), аммо он дорои аудио нест.
Барои роҳи аудио (овоз), танзимоти 'SDP SRTP Offer' -ро истифода баред.

Танзими ин ба "Ихтиёрӣ" маънои онро дорад, ки маълумоти аудиоии RTP занги SIP рамзгузорӣ мешавад (бо истифода аз SRTP), агар тарафи дигар низ рамзгузории аудиоиро дастгирӣ кунад.
Агар тарафи дигар SRTP-ро дастгирӣ накунад, он гоҳ занг идома хоҳад дод, аммо бо аудиои рамзнашуда. Барои ҳатмӣ кардани рамзгузории аудио барои ҳама зангҳо, "SDP SRTP Offer" -ро ба "Стандарт" таъин кунед. Дар ин ҳолат, агар тарафи дигар рамзгузории аудиоиро дастгирӣ накунад, кӯшиши занг рад карда мешавад.

Барои анҷом додани санҷиши шахсият дар сервери SIP, инчунин "Тасдиқи Сервер Сертификат" -ро ба "Фаъол" таъин кунед.
Агар Сертификати сервери SIP аз ҷониби яке аз CA-ҳои маъмули тиҷоратӣ имзо шуда бошад, он гоҳ дастгоҳи Algo бояд аллакай шаҳодатномаи оммавии ин CA дошта бошад ва қодир ба анҷом додани санҷиш бошад. Агар не (барои мисолample бо шаҳодатномаҳои худ имзошуда), пас шаҳодатномаи ҷамъиятии мувофиқро тавре, ки қаблан дар ин ҳуҷҷат тавсиф шудааст, ба дастгоҳи Algo бор кардан мумкин аст.

Версияи TLS 1.2
Дастгоҳҳои Algo, ки бо нармафзори v3.1 ва болотар кор мекунанд, TLS v1.1 ва v1.2-ро дастгирӣ мекунанд. "TLS-ро маҷбур кунед
Опсияи Version' метавонад барои талаб кардани пайвастҳои TLS барои истифодаи TLSv1.2 истифода шавад. Барои фаъол кардани ин хусусият:

Ба Танзимоти Advanced > SIP Advanced гузаред
"Маҷбури бехатарии версияи TLS" -ро ҳамчун фаъол насб кунед ва захира кунед.
ШАРҲ: Ин хосият дар v4.0+ хориҷ карда шудааст, зеро TLS v1.2 ба таври нобаёнӣ истифода мешавад

Зеркашӣ кардани шаҳодатномаҳои Algo

Дар зер маҷмӯи истинодҳо барои зеркашии занҷири шаҳодатномаи Algo CA мавҷуданд. Дар files-ро дар сервери SIP ё сервери таъминкунӣ насб кардан мумкин аст, то ин серверҳо сертификатҳои дастгоҳро дар Algo SIP Endpoints тасдиқ кунанд ва ба ин васила имкони аутентификатсияи мутақобиланро фароҳам оваранд:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo Intermediate CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Шаҳодатномаи ҷамъиятии Algo: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Мушкилкушо

Агар дастфишори TLS анҷом наёбад, лутфан сабти бастаро барои таҳлил ба дастгирии Algo фиристед. Барои ин, шумо бояд трафикро инъикос кунед, аз бандаре, ки нуқтаи ниҳоии Algo ба коммутатори шабака пайваст аст, ба компютер бармегардад.

Ширкати Algo Communication Products Ltd
4500 Beedie St Burnaby BC BC V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Ҳуҷҷатҳо / Сарчашмаҳо

Амнияти қабати нақлиёти ALGO TLS [pdf] Дастурҳо
TLS, амнияти қабати нақлиёт, амнияти қабат, TLS, қабати нақлиёт

Иқтибосҳо

Дастури корбар

Муқаддима ба TLS