ALGO TLS 傳輸層安全說明

TLS（傳輸層安全性）是一種加密協議，可為透過 Internet 在應用程式或裝置之間傳送的資料提供身分驗證、隱私和端對端安全性。隨著託管電話平台變得越來越普遍，對 TLS 透過公共互聯網提供安全通訊的需求也隨之增加。支援韌體 1.6.4 或更高版本的 Algo 裝置支援配置和 SIP 訊號的傳輸層安全性 (TLS)。
筆記： 以下端點不支援 TLS：8180 IP 音訊警報器 (G1)、8028 IP 閘電話 (G1)、8128 IP 視覺警報器 (G1)、8061 IP 中繼控制器。

加密與身份驗證

雖然 TLS 流量始終是加密的並且不會被第三方竊聽或修改，但可以透過使用憑證來驗證另一方的身分來提供額外的安全層。這允許伺服器驗證 IP 端點設備的身份，反之亦然。
為了執行身份檢查，證書 file 必須由憑證授權單位 (CA) 簽署。然後，其他裝置使用來自該 CA 的公共（受信任）憑證來檢查該簽章。

TLS 證書

Algo IP 端點預先安裝了一組來自受信任的第三方憑證授權單位 (CA) 的公共證書，包括 Comodo、Verisign、Symantec、DigiCert 等。的伺服器或 web網站其實就是他們所說的那樣。 Algo 裝置可以透過根據簽署 CA 的公共憑證驗證伺服器的簽章憑證來確認它正在與可信任伺服器通訊。還可以上傳其他公共證書，以允許 Algo 裝置信任和驗證可能未包含在預安裝證書中的其他伺服器（例如ample，自簽名憑證）。

相互認證

除了端點驗證伺服器的相反方向之外，相互驗證還要求伺服器驗證和信任端點設備，增加了一層額外的安全性。這是使用在製造時安裝在每個 Algo SIP 端點上的唯一設備憑證來實現的。由於 Algo 裝置的 IP 位址不固定（由客戶的網路決定），Algo 無法提前向受信任的 CA 發布此訊息，而這些裝置憑證必須由 Algo 自己的 CA 簽署。
為了使伺服器信任 Algo 設備，系統管理員需要將公共 Algo CA 憑證鏈安裝到其伺服器上（例如amp檔案 SIP 電話系統或其設定伺服器），以便該伺服器可以驗證 Algo 裝置上的裝置憑證確實是真實的。

筆記： 2019 年製造的 Algo IP 端點（從韌體 1.7.1 開始）或更高版本已在工廠安裝設備證書。
若要驗證是否安裝了證書，請導航至“系統”->“關於”標籤。請參閱製造商證書。如果證書未安裝，請發送電子郵件至 support@algosolutions.com.

密碼套房飯店

密碼套件是 TLS 會話期間使用的演算法集。每個套件都包含用於身份驗證、加密和訊息身份驗證的演算法。 Algo裝置支援許多常用的加密演算法（例如AES256）和訊息認證碼演算法（例如SHA-2）。

Algo 設備證書

自 2019 年起，從韌體 1.7.1 開始，由 Algo 根 CA 簽署的設備證書已在工廠安裝在 Algo 設備上。憑證是在裝置製造時產生的，憑證中的通用名稱欄位包含每個裝置的 MAC 位址。
設備憑證的有效期為 30 年，並且駐留在單獨的分區中，因此即使在出廠重置 Algo 端點後也不會被刪除。
Algo 設備還支援上傳您自己的設備證書來取代工廠安裝的設備證書。可以透過上傳 PEM 來安裝 file 包含裝置憑證和私鑰，將其儲存到系統中的“certs”目錄（而不是“certs/trusted”目錄！） -> File 經理選項卡。這 file 需要稱為“sip” 客戶端.pem'。

將公用 CA 憑證上傳到 Algo SIP 端點

如果您使用的韌體版本低於 3.1.X，請升級裝置。
若要在執行韌體 v3.1 及更高版本的 Algo 裝置上安裝證書，請依照下列步驟操作：

從憑證授權單位取得公共憑證（可以接受任何有效的 X.509 格式憑證）。沒有特定的格式要求 file姓名。
在 web Algo 裝置介面，導航至系統 -> File 經理選項卡。

上傳證書 file進入“certs/trusted”目錄。點擊左上角的上傳按鈕 file 管理員並瀏覽到憑證。

Web 介面選項

HTTPS 設定
可以透過將「下載方法」設定為「HTTPS」（在「進階設定」>「配置」標籤下）來保護配置。這會阻止配置 file防止被不受歡迎的第三方閱讀。這解決了敏感資料被盜的潛在風險，例如管理員密碼和 SIP 憑證。

若要在設定伺服器上執行身份驗證，請將「驗證伺服器憑證」設定為「啟用」。如果配置伺服器的憑證是由常見商業 CA 之一簽署的，則 Algo 設備應該已經擁有該 CA 的公共憑證並能夠執行驗證。
上傳其他證書（Base64 編碼的 X.509 證書 file .pem、.cer 或 .crt 格式），方法是導覽至「系統 > File Manager”到“certs/trusted”資料夾。
注意：「驗證伺服器憑證」參數也可以透過設定啟用： prov.download.cert = 1

HTTPS Web 接口協議
上傳 HTTPS 公共憑證的過程 web 瀏覽與上一節中所述的類似。 httpd.pem file 是當您導覽至裝置的 IP 時電腦瀏覽器所要求的裝置憑證。如果您訪問 Web使用 HTTPS 的使用者介面。它不是公共 CA 憑證。證書必須上傳到“certs”。

SIP 訊號（和 RTP 音訊）

透過將「SIP 傳輸」設定為「TLS」（在進階設定 > 進階 SIP 標籤下）來保護 SIP 訊號的安全。

它確保 SIP 流量被加密。

SIP訊號負責建立呼叫（開始和結束與對方的呼叫的控制訊號），但它不包含音訊。
對於音訊（語音）路徑，使用設定“SDP SRTP Offer”。

將此設定為「可選」表示如果對方也支援音訊加密，則 SIP 通話的 RTP 音訊資料將被加密（使用 SRTP）。
如果對方不支援 SRTP，則通話仍將繼續，但音訊未加密。若要強制所有通話進行音訊加密，請將「SDP SRTP Offer」設定為「標準」。在這種情況下，如果對方不支援音訊加密，則呼叫嘗試將被拒絕。

若要在 SIP 伺服器上執行身份驗證，請將「驗證伺服器憑證」設定為「啟用」。
如果 SIP 伺服器的憑證是由常見商業 CA 之一簽署的，則 Algo 裝置應該已經擁有該 CA 的公共憑證並且能夠執行驗證。如果不是（例如amp帶有自簽名憑證的文件），然後可以將適當的公共憑證上傳到 Algo 設備，如本文檔前面所述。

TLS 版本 1.2
運行韌體 v3.1 及更高版本的 Algo 設備支援 TLS v1.1 和 v1.2。 '強制安全 TLS
Version' 選項可用於要求 TLS 連線使用 TLSv1.2。若要啟用此功能：

轉至進階設定 > 進階 SIP
將「強制安全 TLS 版本」設定為啟用並儲存。
筆記： 由於預設使用 TLS v4.0，此選項已在 v1.2+ 中刪除

演算法證書下載

以下是一組下載 Algo CA 憑證鏈的連結。這 file可以安裝在 SIP 伺服器或設定伺服器上，以便這些伺服器對 Algo SIP 端點上的裝置憑證進行驗證，從而允許相互驗證：
演算法根 CA： http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
Algo 中級 CA： http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
演算法公共憑證：http://firmware.algosolutions.com/pub/certs/algo_ca.crt

故障排除

如果 TLS 握手未完成，請將封包擷取傳送給 Algo 支援進行分析。為此，您必須將流量從 Algo 端點連接到網路交換器的連接埠鏡像回電腦。

阿爾戈通訊產品有限公司
4500 Beedie St Burnaby BC 加拿大 V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

文件/資源

ALGO TLS 傳輸層安全 [pdf] 指示
TLS，傳輸層安全，層安全，TLS，傳輸層

參考

使用者手冊

TLS簡介