TLS Transport Layer Security
ינסטראַקשאַנז מאַנואַל
סיקיורינג אַלגאָ IP ענדפּאָינץ:
TLS און קעגנצייַטיק אָטענטאַקיישאַן
דאַרפֿן הילף?
604-454-3792 or support@algosolutions.com
הקדמה צו TLS
TLS (Transport Layer Security) איז אַ קריפּטאָגראַפיק פּראָטאָקאָל וואָס גיט אָטענטאַקיישאַן, פּריוואַטקייט און סוף-צו-סוף זיכערהייט פון דאַטן געשיקט צווישן אַפּלאַקיישאַנז אָדער דעוויסעס איבער דער אינטערנעץ. ווי כאָוסטיד טעלעפאָן פּלאַטפאָרמס האָבן ווערן מער געוויינטלעך, די נויט פֿאַר TLS צו צושטעלן זיכער קאָמוניקאַציע איבער די עפנטלעך אינטערנעט איז געוואקסן. אַלגאָ דעוויסעס וואָס שטיצן פירמוואַרע 1.6.4 אָדער שפּעטער שטיצן טראַנספּאָרט לייַער זיכערהייַט (TLS) פֿאַר ביידע פּראַוויזשאַנז און זופּן סיגנאַלינג.
באַמערקונג: די פאלגענדע ענדפּוינץ שטיצן נישט TLS: 8180 IP אַודיאָ אַלעטער (G1), 8028 IP דאָרפאָנע (G1), 8128 IP וויסואַל אַלעטער (G1), 8061 IP רעלע קאָנטראָללער.
ענקריפּשאַן ווס אידענטיטעט וועראַפאַקיישאַן
בשעת TLS פאַרקער איז שטענדיק ינקריפּטיד און זיכער פון דריט-פּאַרטיי יווזדראַפּינג אָדער מאָדיפיקאַטיאָן, אַן נאָך שיכטע פון זיכערהייט קענען זיין צוגעשטעלט דורך ניצן סערטיפיקאַץ צו באַשטעטיקן די אידענטיטעט פון די אנדערע פּאַרטיי. דאָס אַלאַוז די סערווירער צו באַשטעטיקן די אידענטיטעט פון די IP ענדפּוינט מיטל, און וויצע ווערסאַ.
צו דורכפירן די אידענטיטעט טשעק, די סערטיפיקאַט file מוזן זיין געחתמעט דורך אַ סערטיפיקאַט אויטאָריטעט (CA). די אנדערע מיטל דאַן טשעקס דעם כסימע, ניצן די פּובליק (טראַסטיד) סערטיפיקאַט פון דעם CA.
TLS סערטיפיקאַץ
Algo IP ענדפּאָינץ קומען פאַר-אינסטאַלירן מיט אַ סכום פון עפנטלעך סערטיפיקאַץ פון טראַסטיד דריט-פּאַרטיי סערטיפיקאַט אויטאָריטעטן (CAs), אַרייַנגערעכנט Comodo, Verisign, Symantec, DigiCert, אאז"ו ו. די סערטיפיקאַט אויטאריטעטן צושטעלן געחתמעט סערטיפיקאַץ צו געשעפטן צו לאָזן די געשעפטן צו באַווייַזן אַז זייער סערווערס אָדער webזייטלעך זענען אין פאַקט וואָס זיי זאָגן זיי זענען. אַלגאָ דעוויסעס קענען באַשטעטיקן אַז עס איז קאַמיונאַקייטינג מיט אַן עכט סערווער דורך וועראַפייינג די סערווער ס געחתמעט סערטיפיקאַץ קעגן די עפנטלעך סערטיפיקאַץ פון די CA וואָס האָט עס געחתמעט. נאָך עפנטלעך סערטיפיקאַץ קענען אויך זיין ופּלאָאַדעד, צו לאָזן די אַלגאָ מיטל צו צוטרוי און באַשטעטיקן נאָך סערווערס וואָס קען נישט זיין אַרייַנגערעכנט אין די פּרעינסטאַללעד סערטיפיקאַץ (למשלample, זיך-געחתמעט סערטיפיקאַץ).
קעגנצייַטיק אָטענטאַקיישאַן
קעגנצייַטיק אָטענטאַקיישאַן מוסיף איין נאָך שיכטע פון זיכערהייט דורך ריקוויירינג די סערווער צו וואַלאַדייט און צוטרוי די ענדפּוינט מיטל, אין אַדישאַן צו די פאַרקערט ריכטונג פון די ענדפּוינט וואַלאַדייטינג די סערווער. דאָס איז ימפּלאַמענאַד מיט אַ יינציק מיטל סערטיפיקאַט, אינסטאַלירן אויף יעדער Algo SIP ענדפּוינט אין דער צייט פון פּראָדוצירן. ווי די IP אַדרעס פון אַן אַלגאָ מיטל איז נישט פאַרפעסטיקט (עס איז באשלאסן דורך דער קונה ס נעץ), אַלגאָ קענען נישט אַרויסגעבן דעם אינפֿאָרמאַציע אין שטייַגן מיט די טראַסטיד CA, און אַנשטאָט, די מיטל סערטיפיקאַץ מוזן זיין געחתמעט דורך אַלגאָ ס אייגן CA.
פֿאַר דער סערווער צו צוטרוי די אַלגאָ מיטל, דער סיסטעם אַדמיניסטראַטאָר וועט דאַרפֿן צו ינסטאַלירן די עפנטלעך אַלגאָ CA באַווייַזן קייט אויף זייער סערווער (למשלampדי SIP טעלעפאָן סיסטעם אָדער זייער פּראַוויזשאַנז סערווער) אַזוי אַז דער סערווער קענען באַשטעטיקן אַז די דיווייס סערטיפיקאַט אויף די Algo מיטל איז טאַקע עכט.
באַמערקונג: Algo IP ענדפּאָינץ מאַניאַפאַקטשערד אין 2019 (סטאַרטינג מיט פירמוואַרע 1.7.1) אָדער שפּעטער האָבן די מיטל באַווייַזן אינסטאַלירן פֿון דער פאַבריק.
צו באַשטעטיקן אויב די באַווייַזן איז אינסטאַלירן, נאַוויגירן צו סיסטעם -> וועגן קוויטל. זען די מאַנופאַקטורער סערטיפיקאַט. אויב די באַווייַזן איז נישט אינסטאַלירן, ביטע בליצפּאָסט support@algosolutions.com. 
סיפער סויטעס
סיפער סוויץ זענען סעטאַלז פון אַלגערידאַמז געניצט בעשאַס אַ TLS סעסיע. יעדער סוויט כולל אַלגערידאַמז פֿאַר אָטענטאַקיישאַן, ענקריפּשאַן און אָנזאָג אָטענטאַקיישאַן. אַלגאָ דעוויסעס שטיצן פילע קאַמאַנלי געוויינט ענקריפּשאַן אַלגערידאַמז אַזאַ ווי AES256 און אָנזאָג אָטענטאַקיישאַן קאָד אַלגערידאַמז אַזאַ ווי SHA-2.
אַלגאָ דיווייס סערטיפיקאַץ
דיווייס סערטיפיקאַץ געחתמעט דורך די Algo Root CA האָבן שוין פאַבריק אינסטאַלירן אויף Algo דעוויסעס זינט 2019, סטאַרטינג מיט פירמוואַרע 1.7.1. די באַווייַזן איז דזשענערייטאַד ווען די מיטל איז מאַניאַפאַקטשערד, מיט די פּראָסט נאָמען פעלד אין די באַווייַזן מיט די MAC אַדרעס פֿאַר יעדער מיטל.
די מיטל באַווייַזן איז גילטיק פֿאַר 30 יאָר און ריזיידז אין אַ באַזונדער צעטיילונג, אַזוי עס וועט נישט זיין ירייסט אפילו נאָך די פאַבריק באַשטעטיק די אַלגאָ ענדפּוינט.
אַלגאָ דעוויסעס אויך שטיצן ופּלאָאַדינג דיין אייגענע מיטל באַווייַזן צו נוצן אַנשטאָט פון די פאַבריק-אינסטאַלירן מיטל באַווייַזן. דעם קענען זיין אינסטאַלירן דורך ופּלאָאַדינג אַ PEM file מיט ביידע אַ מיטל באַווייַזן און אַ פּריוואַט שליסל צו די 'סערטס' וועגווייַזער (ניט די 'סערטס / טראַסטיד' וועגווייַזער!) אין די סיסטעם -> File פאַרוואַלטער קוויטל. דאס file דאַרף מען רופֿן 'סיפּ' client.pem'.
ופּלאָאַדינג פובליק CA סערטיפיקאַץ צו Algo SIP ענדפּאָינץ
אויב איר האָבן אַ פירמוואַרע נידעריקער ווי 3.1.קס, ביטע אַפּגרייד די מיטל.
צו ינסטאַלירן די באַווייַזן אויף אַ Algo מיטל מיט פירמוואַרע וו3.1 און העכער, נאָכגיין די סטעפּס אונטן:
- קריגן אַ עפנטלעך באַווייַזן פון דיין סערטיפיקאַט אויטאָריטעט (קיין גילטיק X.509 פֿאָרמאַט באַווייַזן קענען זיין אנגענומען). עס איז קיין ספּעציפיש פֿאָרמאַט פארלאנגט פֿאַר די fileנאָמען.
- אין די web צובינד פון די Algo מיטל, נאַוויגירן צו די סיסטעם -> File פאַרוואַלטער קוויטל.
- צופֿעליקער די באַווייַזן files אין די 'סערטס / טראַסטיד' וועגווייַזער. דריקט דעם צופֿעליקער קנעפּל אין די שפּיץ לינקס ווינקל פון די בילדל file פאַרוואַלטער און בלעטער צו די באַווייַזן.
Web צובינד אָפּציעס
הטטפּס פּראַוויזשאַנז
פּראָוויסיאָן קענען זיין סיקיורד דורך באַשטעטיקן די 'Download מעטאַד' צו 'HTTPS' (אונטער די Advanced Settings> Provisioning קוויטל). דעם פּריווענץ קאַנפיגיעריישאַן fileס פון זיין לייענען דורך אַ אַנוואָנטיד דריט פּאַרטיי. דאָס ריזאַלווז די פּאָטענציעל ריזיקירן פון סטאָלען שפּירעוודיק דאַטן, אַזאַ ווי אַדמין פּאַסווערדז און SIP קראַדענטשאַלז. 
צו דורכפירן אידענטיטעט וועראַפאַקיישאַן אויף די פּראַוויזשאַנז סערווירער, אויך שטעלן 'וואַלאַדייט סערווירער סערטיפיקאַט' צו 'ענאַבלעד'. אויב די סערטיפיקאַט פון די פּראַוויידינג סערווער איז געחתמעט דורך איינער פון די פּראָסט געשעפט CA, די אַלגאָ מיטל זאָל שוין האָבן די עפנטלעך באַווייַזן פֿאַר דעם CA און קענען דורכפירן די וועראַפאַקיישאַן.
צופֿעליקער נאָך סערטיפיקאַץ (Base64 ענקאָודיד X.509 באַווייַזן file אין .pem, .cer, אָדער .crt פֿאָרמאַט) דורך נאַוואַגייטינג צו "סיסטעם > File מאַנאַגער" צו די 'סערטס / טראַסטיד' טעקע.
נאטיץ: דער פּאַראַמעטער 'וואַלאַדייט סערווירער סערטיפיקאַט' קענען אויך זיין ענייבאַלד דורך פּראַוויזשאַנז: prov.download.cert = 1
הטטפּס Web צובינד פּראָטאָקאָל
דער פּראָצעדור צו צופֿעליקער אַ עפנטלעך באַווייַזן פֿאַר הטטפּס web בראַוזינג איז ענלעך ווי וואָס איז דיסקרייבד אין די אָפּטיילונג אויבן. די httpd.pem file איז אַ מיטל באַווייַזן וואָס איז פארלאנגט דורך דיין קאָמפּיוטער ס בלעטערער ווען איר נאַוויגירן צו די IP פון די מיטל. ופּלאָאַדינג אַ מנהג איינער קען לאָזן איר באַקומען באַפרייַען פון די ווארענונג אָנזאָג אויב איר אַקסעס די WebUI ניצן HTTPS. עס איז נישט אַ עפנטלעך CA באַווייַזן. די באַווייַזן מוזן זיין ופּלאָאַדעד צו די 'סערטס'. 
זופּן סיגנאַלינג (און RTP אַודיאָ)
SIP סיגנאַלינג איז סיקיורד דורך באַשטעטיקן 'SIP טראַנספּאָרטאַטיאָן' צו 'TLS' (אונטער די Advanced Settings> Advanced SIP קוויטל).
- עס ינשורז אַז די SIP פאַרקער וועט זיין ינקריפּטיד.
- די SIP סיגנאַלינג איז פאַראַנטוואָרטלעך פֿאַר גרינדן די רופן (די קאָנטראָל סיגנאַלז צו אָנהייבן און ענדיקן די רופן מיט די אנדערע פּאַרטיי), אָבער עס כּולל קיין אַודיאָ.
- פֿאַר די אַודיאָ (קול) דרך, נוצן די באַשטעטיקן 'SDP SRTP Offer'.
- באַשטעטיקן דעם צו 'אָפּטיאָנאַל' מיטל די RTP אַודיאָ דאַטן פון די SIP רופן וועט זיין ינקריפּטיד (ניצן SRTP) אויב די אנדערע פּאַרטיי אויך שטיצט אַודיאָ ענקריפּשאַן.
- אויב די אנדערע פּאַרטיי טוט נישט שטיצן SRTP, דער רוף וועט נאָך פאָרזעצן, אָבער מיט אַנענקריפּטיד אַודיאָ. צו מאַכן אַודיאָ ענקריפּשאַן מאַנדאַטאָרי פֿאַר אַלע קאַללס, שטעלן 'SDP SRTP Offer' צו 'סטאַנדאַרד'. אין דעם פאַל, אויב די אנדערע פּאַרטיי טוט נישט שטיצן אַודיאָ ענקריפּשאַן, די רופן פּרווון וועט זיין פארווארפן.
- צו דורכפירן אידענטיטעט וועראַפאַקיישאַן אויף די זופּן סערווירער, אויך שטעלן 'וואַלאַדייט סערווירער סערטיפיקאַט' צו 'ענאַבלעד'.
- אויב די SIP סערווער ס סערטיפיקאַט איז געחתמעט דורך איינער פון די פּראָסט געשעפט CA, די אַלגאָ מיטל זאָל שוין האָבן די עפנטלעך באַווייַזן פֿאַר דעם CA און קענען דורכפירן די וועראַפאַקיישאַן. אויב נישט (למשלampמיט זיך-געחתמעט סערטיפיקאַץ), די צונעמען ציבור באַווייַזן קענען זיין ופּלאָאַדעד צו די Algo מיטל ווי דיסקרייבד פריער אין דעם דאָקומענט.
TLS ווערסיע 1.2
אַלגאָ דעוויסעס מיט פירמוואַרע וו 3.1 און העכער שטיצן TLS וו 1.1 און וו 1.2. 'צווינגען זיכער TLS
ווערסיע 'אָפּציע קען זיין געוויינט צו דאַרפן TLS קאַנעקשאַנז צו נוצן TLSv1.2. צו געבן דעם שטריך:
- גיין צו אַוואַנסירטע סעטטינגס> Advanced SIP
- באַשטעטיק די 'צווינגען זיכער TLS ווערסיע' ווי ענייבאַלד און ראַטעווען.
נאטיץ: די אָפּציע איז אַוועקגענומען אין וו4.0+ זינט TLS v1.2 איז געניצט דורך פעליקייַט
אַלגאָ סערטיפיקאַץ אראפקאפיע
ונטער זענען אַ סכום פון לינקס צו אָפּלאָדירן די אַלגאָ CA באַווייַזן קייט. די fileס קענען זיין אינסטאַלירן אויף די זופּן סערווירער אָדער פּראָוויסיאָן סערווירער אין סדר פֿאַר די סערווערס צו אָטענטאַקייט די מיטל סערטיפיקאַץ אויף אַלגאָ זופּן ענדפּאָינץ, און אַזוי לאָזן קעגנצייַטיק אָטענטאַקיישאַן:
אַלגאָ וואָרצל CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
אַלגאָ ינטערמידייט CA: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
אַלגאָ פּובליק סערטיפיקאַט: הttp://firmware.algosolutions.com/pub/certs/algo_ca.crt
טראָובלעשאָאָטינג
אויב די TLS כאַנדשייק איז נישט געענדיקט, ביטע שיקן אַ פּאַקאַט כאַפּן צו אַלגאָ שטיצן פֿאַר אַנאַליסיס. צו טאָן דאָס, איר דאַרפֿן צו שפּיגל די פאַרקער, פֿון די פּאָרט וואָס די Algo ענדפּוינט איז קאָננעקטעד צו אויף די נעץ באַשטימען, צוריק צו אַ קאָמפּיוטער.
Algo Communication Products Ltd.
4500 בעעדיע סט בערנאַבי בק קאַנאַדע וו 5 דזש 5 ל 2
www.algosolutions.com
604-454-3792
support@algosolutions.com
דאָקומענטן / רעסאָורסעס
 |
ALGO TLS Transport Layer Security [pdf] אינסטרוקציעס TLS, Transport Layer Security, Layer Security, TLS, Transport Layer |
