ALGO TLS 传输层安全说明

TLS（传输层安全性）是一种加密协议，可为通过 Internet 在应用程序或设备之间发送的数据提供身份验证、隐私和端到端安全性。随着托管电话平台变得越来越普遍，TLS 在公共互联网上提供安全通信的需求也在增加。支持固件 1.6.4 或更高版本的算法设备支持用于配置和 SIP 信令的传输层安全性 (TLS)。
笔记： 以下端点不支持 TLS：8180 IP Audio Alerter (G1)、8028 IP Doorphone (G1)、8128 IP Visual Alerter (G1)、8061 IP Relay Controller。

加密与身份验证

虽然 TLS 流量始终是加密的，并且可以防止第三方窃听或修改，但可以通过使用证书来验证另一方的身份，从而提供额外的安全层。这允许服务器验证 IP 端点设备的身份，反之亦然。
为了执行身份检查，证书 file 必须由证书颁发机构 (CA) 签署。然后，另一台设备使用来自该 CA 的公共（可信）证书检查此签名。

TLS 证书

Algo IP 端点预装了一组来自受信任的第三方证书颁发机构 (CA) 的公共证书，包括 Comodo、Verisign、Symantec、DigiCert 等。证书颁发机构向企业提供签名证书，以允许这些企业证明他们的服务器或 web网站实际上就是他们所说的。 Algo 设备可以通过验证服务器的签名证书与签名它的 CA 的公共证书来确认它正在与真实服务器通信。还可以上传其他公共证书，以允许 Algo 设备信任和验证可能未包含在预安装证书中的其他服务器（例如ample，自签名证书）。

相互认证

除了端点验证服务器的相反方向之外，相互身份验证还要求服务器验证和信任端点设备，从而增加了一层额外的安全性。这是使用唯一的设备证书实现的，该证书在制造时安装在每个 Algo SIP 端点上。由于 Algo 设备的 IP 地址不是固定的（由客户的网络决定），因此 Algo 无法提前向受信任的 CA 发布此信息，而这些设备证书必须由 Algo 自己的 CA 签名。
为了让服务器信任 Algo 设备，系统管理员需要将公共 Algo CA 证书链安装到他们的服务器上（例如ample SIP 电话系统或其配置服务器），以便此服务器可以验证 Algo 设备上的设备证书实际上是真实的。

笔记： 2019 年制造的 Algo IP 端点（从固件 1.7.1 开始）或更高版本已从工厂安装了设备证书。
要验证是否安装了证书，请导航到系统 -> 关于选项卡。请参阅制造商证书。如果没有安装证书，请发邮件 support@algosolutions.com.

密码套件

密码套件是 TLS 会话期间使用的算法集。每个套件都包括用于身份验证、加密和消息身份验证的算法。 Algo 设备支持多种常用的加密算法如 AES256 和消息认证码算法如 SHA-2。

算法设备证书

自 2019 年以来，由 Algo 根 CA 签名的设备证书已在出厂时安装在 Algo 设备上，从固件 1.7.1 开始。证书在设备制造时生成，证书中的通用名称字段包含每个设备的 MAC 地址。
设备证书有效期为 30 年，并且驻留在单独的分区中，因此即使在出厂重置 Algo 端点后也不会被擦除。
Algo 设备还支持上传您自己的设备证书以代替出厂安装的设备证书使用。这可以通过上传 PEM 来安装 file 包含设备证书和私钥到系统中的“certs”目录（不是“certs/trusted”目录！）-> File 管理器选项卡。这个 file 需要被称为'sip 客户端.pem“”。

将公共 CA 证书上传到 Algo SIP 端点

如果您的固件版本低于 3.1.X，请升级设备。
要在运行固件 v3.1 及更高版本的 Algo 设备上安装证书，请按照以下步骤操作：

从您的证书颁发机构获取公共证书（可以接受任何有效的 X.509 格式证书）。没有特定的格式要求 file姓名。
在 web Algo 设备的界面，导航到 System -> File 经理选项卡。
上传证书 files 进入 'certs/trusted' 目录。点击左上角的上传按钮 file 管理器并浏览到证书。

Web 界面选项

HTTPS 配置
可以通过将“下载方法”设置为“HTTPS”（在“高级设置”>“配置”选项卡下）来保护配置。这可以防止配置 files 被不受欢迎的第三方读取。这解决了敏感数据被盗的潜在风险，例如管理员密码和 SIP 凭证。

要在 Provisioning Server 上执行身份验证，还将“验证服务器证书”设置为“启用”。如果供应服务器的证书由常见的商业 CA 之一签名，则 Algo 设备应该已经拥有该 CA 的公共证书并且能够执行验证。
上传其他证书（Base64 编码的 X.509 证书 file .pem、.cer 或 .crt 格式）通过导航到“系统 > File Manager”到“certs/trusted”文件夹。
注意：“验证服务器证书”参数也可以通过配置启用：省下载证书 = 1

HTTPS Web 接口协议
为 HTTPS 上传公共证书的过程 web 浏览与上一节中描述的类似。 httpd.pem file 是您导航到设备 IP 时计算机浏览器请求的设备证书。如果您访问 Web使用 HTTPS 的用户界面。它不是公共 CA 证书。证书必须上传到“证书”。

SIP 信令（和 RTP 音频）

通过将“SIP 传输”设置为“TLS”（在高级设置 > 高级 SIP 选项卡下）来保护 SIP 信令。

它确保 SIP 流量将被加密。
SIP信令负责建立呼叫（与对方开始和结束通话的控制信号），但不包含音频。
对于音频（语音）路径，使用设置“SDP SRTP Offer”。
将此设置为“可选”意味着如果对方也支持音频加密，则 SIP 呼叫的 RTP 音频数据将被加密（使用 SRTP）。
如果对方不支持 SRTP，则通话仍将继续，但音频未加密。要对所有呼叫强制进行音频加密，请将“SDP SRTP Offer”设置为“Standard”。在这种情况下，如果对方不支持音频加密，则呼叫尝试将被拒绝。
要在 SIP 服务器上执行身份验证，还将“验证服务器证书”设置为“启用”。
如果 SIP 服务器的证书是由常见的商业 CA 之一签名的，那么 Algo 设备应该已经拥有该 CA 的公共证书并且能够执行验证。如果没有（例如amp文件），然后可以将适当的公共证书上传到本文档前面所述的 Algo 设备。

TLS 1.2 版
运行固件 v3.1 及更高版本的算法设备支持 TLS v1.1 和 v1.2。 '强制安全 TLS
Version' 选项可用于要求 TLS 连接以使用 TLSv1.2。要启用此功能：

转到高级设置 > 高级 SIP
将“强制安全 TLS 版本”设置为启用并保存。
笔记： 由于默认使用 TLS v4.0，因此在 v1.2+ 中已删除此选项

算法证书下载

下面是一组下载 Algo CA 证书链的链接。这 files 可以安装在 SIP 服务器或配置服务器上，以便这些服务器对 Algo SIP 端点上的设备证书进行身份验证，从而允许相互身份验证：
算法根 CA： http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
算法中级 CA： http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
算法公共证书：http://firmware.algosolutions.com/pub/certs/algo_ca.crt

故障排除

如果 TLS 握手未完成，请将数据包捕获发送给 Algo 支持进行分析。为此，您必须将流量从 Algo 端点连接到网络交换机上的端口镜像回计算机。

阿尔戈通讯产品有限公司
4500 Beedie St Burnaby BC 加拿大 V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

文件/资源

ALGO TLS 传输层安全性 [pdf] 指示
TLS，传输层安全，层安全，TLS，传输层

参考

用户手册

TLS 简介