Zertifikate

Zuletzt aktualisiert : Apr 26, 2024 |

Zusätzliche Konfigurationsinformationen

Weitere Informationen zu Zertifikaten finden Sie unter Zertifikatsverwaltung.

Dienste zwischen dem System und Anwendungen können je nach Einstellungen des für die Verbindung genutzten Dienstes den Austausch von Sicherheitszertifikaten erfordern. Das System kann entweder ein selbstsigniertes Zertifikat generieren oder es werden Zertifikate aus einer vertrauenswürdigen Quelle geladen.

Identitätszertifikat

Diese Einstellungen beziehen sich auf das X.509v3-Zertifikat, das vom System beim Verbinden eines anderen Geräts über TLS zur Identifikation verwendet wird. Beispiel: Ein PC, auf dem IP Office Manager ausgeführt wird, ist auf Sichere Kommunikation festgelegt.

Das Systemzertifikat wird von Diensten verwendet, deren Dienstsicherheitsebene auf einen anderen Wert als Nur ungesichert gesetzt ist.

Standardmäßig stellt jeder IP Office-Server ein selbst generiertes Zertifikat zur Verfügung, das bei der ersten Installation des Systems generiert wird. Das Zertifikat kann jedoch auch aus anderen Quellen stammen:

  • Ein alternatives Identitätszertifikat für das System, das über die Schaltfläche Festlegen hinzugefügt wurde.

    • Bei sekundären Servern, Erweiterungsservern und Anwendungsservern kann es sich um ein Identitätszertifikat handeln, das für diesen Server über die Web Control-Menüs des primären Servers generiert wird.

  • Bei Systemen im Abonnementmodus kann Automatische Zertifikatverwaltung ausgewählt werden. COM stellt dem System dann automatisch ein entsprechendes Identitätszertifikat und Zertifikataktualisierungen bereit.

Feld

Beschreibung

Zertifikat senden

Standard = Ein.

Dieser feste Wert dient nur als Angabe. Legt fest, ob das System ein Zertifikat im TLS-Austausch anbietet.

ID-Zertifikatkette senden

Standard = Ein

Wenn diese Option aktiviert ist, weist IP Office das System an, eine Zertifikatkette bei der Erstellung der TLS-Sitzung zu verwenden.

  • Die Zertifikatkette beginnt mit dem Identitätszertifikat des Systems.

  • Anschließend werden alle Zertifikate hinzugefügt, die sich im entsprechenden vertrauenswürdigen Zertifikatspeicher mit demselben Common Name im Subject Distinguished Name-Feld „Ausgestellt von“ befinden.

  • Wenn sich das Stammverzeichnis-CA-Zertifikat im vertrauenswürdigen Zertifikatspeicher befindet, wird es in die Zertifikatkette aufgenommen.

  • In der Zertifikatkette werden maximal sechs Zertifikate unterstützt.

Empfänger

Standardwert = IP Office Identitätszertifikat.

Nur zur Information. Der allgemeine Name des Ausstellers im Zertifikat.

Tage für Warnung über Zertifikatablauf

Standardwert = 60, Bereich = 30 bis 180

IP Office Manager kann eine Warnung anzeigen, wenn ein Sicherheitszertifikat des Systems bald abläuft. Diese Einstellung wird verwendet, um den Auslöser für Zertifikatwarnungen zu setzen.

Die folgenden Einstellungen werden nur für Systeme im Abonnementmodus angezeigt. Sie ermöglichen COM, dem System sein Identitätszertifikat bereitzustellen und das Zertifikat bei Bedarf automatisch zu aktualisieren.

Feld

Beschreibung

Automatische Zertifikatverwaltung

Standard = Deaktiviert

Nur für Systeme im Abonnementmodus unterstützt. Wenn diese Option aktiviert ist, verwendet das System ein von COM bereitgestelltes Identitätszertifikat sowie eine Kopie des COM-Stammzertifikats. Die Wartung und Erneuerung des Identitätszertifikats und seiner Vertrauenskette werden automatisch durchgeführt.

SAN-Details Ursprung

Wenn das Identitätszertifikat, das vom COM an das System ausgegeben wird, alle standortspezifischen alternativen Namenswerte des Antragstellers enthalten muss, kann dieses Feld verwendet werden, um diese Werte zu definieren.

  • Von vorhandenem ID-Zertifikat migrieren – Wenn Sie ein neues Zertifikat für das System generieren, verwenden Sie die SAN-Details aus dem vorhandenen Identitätszertifikat.

  • Aus aktueller LAN-Konfiguration generieren – Wenn Sie ein neues Zertifikat generieren, erstellen Sie die SAN-Details aus den vorhandenen LAN- und SIP-Einstellungen des Systems.

Automatische Telefonbereitstellung

Standard = Aktiviert

Diese zusätzliche Option wird bei der Verwendung von Automatische Zertifikatverwaltung unterstützt. Wenn diese Option aktiviert ist, werden Telefonzertifikate auf Telefonen, die das Herunterladen von Zertifikaten unterstützen, automatisch aktualisiert, wenn das Systemidentitätszertifikat aktualisiert wird.

  • Neue und Standardtelefone rufen das Zertifikat bei der ersten Verwendung mithilfe der normalen Vertrauensstellung ab.

  • Während einer Aktualisierung wird die 46xxsettings.txt-Datei aktualisiert, sodass sie die Details zu beiden Zertifikaten enthält. Nach einem Neustart rufen die Telefone das neue Zertifikat mithilfe der alten Zertifikatdetails ab.

Die folgenden Einstellungen können zur Verwaltung des aktuellen Identitätszertifikats verwendet werden.

Feld

Beschreibung

Festlegen

Mit Festlegen können Sie ein Identitätszertifikat und den zugehörigen privaten Schlüssel laden.

  • Dieses Steuerelement wird nicht für Systeme im Abonnementmodus angezeigt, die Automatische Zertifikatverwaltung verwenden.

IP Office unterstützt:

  • 1024-, 2048- und 4096-Bit-RSA-Schlüssel. Die Verwendung der RSA-Schlüsselgröße 4096 kann die Systemleistung beeinflussen.

  • Signatur-Algorithmen SHA-1, SHA-256, SHA-384 und SHA-512. Die Verwendung eines Schlüssels, der größer als SHA-256 ist, kann die Systemleistung beeinflussen.

Folgende Quellen sind zulässig:

  • Zertifikatspeicher des aktuellen Benutzers.

  • Zertifikatspeicher des lokalen Computers.

  • Datei im PKCS#12-Format.

    • Aus der Zwischenablage im PEM-Format einschließlich Kopf- und Fußzeilentext kopiert. Diese Methode muss für PEM (.cer)- und kennwortgeschützte PEM (.cer)-Dateien verwendet werden. Das Identitätszertifikat erfordert das Zertifikat und den privaten Schlüssel. Das CER-Format enthält nicht den privaten Schlüssel. Wählen Sie für diese Dateitypen Aus Zwischenablage einfügen und kopieren Sie dann den Zertifikatstext und den privaten Schlüsseltext in das Fenster zum Erfassen des Zertifikatstexts.

Verwenden einer Datei als Zertifikatquelle

Bei der Verwendung der Dateioption kann die importierte Datei (.p12, .pfx oder .cer) in Manager nur den privaten Schlüssel und die Identitätszertifikatdaten enthalten. Es kann keine zusätzlichen Zwischen-CA-Zertifikate oder die Stammverzeichnis-CA-Zertifikate enthalten. Die Zwischen-CA-Zertifikate oder das Stammverzeichnis-CA-Zertifikat müssen separat in den vertrauenswürdigen Zertifikatspeicher von IP Office importiert werden. Das gilt jedoch nicht für Web Manager.

Hinweis:

Web Manager akzeptiert die Datei des Typs CER mit der Erweiterung .cer nicht. Dieser Dateityp kann nur in Manager verwendet werden.

Ansicht

Zeigt die Details zum aktuellen Identitätszertifikat an. Das Menü zum Anzeigen des Zertifikats kann auch verwendet werden, um das Zertifikat (nicht aber seinen privaten Schlüssel) im lokalen Zertifikatspeicher des anzuzeigenden PCs zu installieren. Dies kann anschließend vom PC für eine sichere Verbindung mit dem System oder zum Exportieren des Zertifikats vom PC verwendet werden.

Erneut generieren

Mit diesem Befehl wird ein neues Identitätszertifikat generiert:

  • Bei Systemen, die selbst generierte Identitätszertifikate verwenden, generiert dieser Befehl einen Ersatz für das aktuelle Identitätszertifikat.

  • Bei Systemen im Abonnementmodus fordert dieser Befehl ein Ersatzidentitätszertifikat von COM an. Alternativ kann mit diesem Befehl ein Identitätszertifikat für einen anderen Server angefordert werden.

Wichtig:

  • Die erneute Generierung dauert bis zu einer Minute. In diesem Zeitraum ist die Systemleistung beeinträchtigt. Daher wird empfohlen, diese Aktion nur während einem Wartungsfenster durchzuführen. Die erneute Generierung wird vorgenommen, nachdem die Änderungen an den Sicherheitseinstellungen gespeichert wurden.

Wenn Sie darauf klicken, werden Sie im Fenster Zertifikat erneut generieren aufgefordert, die Werte in die folgende Tabelle einzugeben.

Einstellung

Beschreibung

Signatur

Standard = SHA256/RSA2048.

Wählen Sie den Signaturalgorithmus und die RSA-Schlüssellänge für das neue selbstsignierte Identitätszertifikat aus. Die Optionen sind SHA256/RSA2048 oder SHA1/RSA1024.

Name des Antragstellers

Standard = Keine

Diese Einstellung legt den allgemeinen Antragstellernamen für dieses Zertifikats fest. Der Antragsteller ist der Endanwender oder das System, zu dem das Zertifikat gehört (öffentlicher Schlüssel). Beispiel: ipoffice-0123456789AB.avaya.com. Wenn das Feld leer ist, wird ein vom System generierter Antragstellername verwendet.

Alternative Name(n) des Antragsteller

Standard = Keine

Geben Sie alle Werte für den alternativen Antragstellernamen (SAN) an, die in das Zertifikat aufgenommen werden sollen.

  • Jeder Eintrag besteht aus einem Präfix, gefolgt vom Doppelpunkt und dann dem Wert. Unterstützte Präfixe sind DNS, URI, IP, SRV und email.

  • Es können mehrere Einträge hinzugefügt werden, die jeweils durch ein Komma voneinander getrennt sind. Das Eingabefeld kann maximal 511 Zeichen lang sein.

  • Beispiel: DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com.

Für anderes Gerät

Standard = Aus

Diese Option wird nur für Systeme im Abonnementmodus angezeigt, die Automatische Zertifikatverwaltung verwenden.

Wenn diese Option ausgewählt ist, werden die Adressdetails des anderen Servers und die Dauer des Zertifikats (maximal 825 Tage) angefordert. Nach dem Generieren des Zertifikats lädt der Browser die Zertifikatdatei automatisch herunter.

Zertifikat-Prüfungen

Feld

Beschreibung

Tage für Warnung über Zertifikatablauf

Standardwert = 60. Bereich = 30 bis 180 Tage.

Legen Sie die Anzahl der Tage vor Ablauf eines gespeicherten Zertifikats fest, an denen IP Office Manager, IP Office Web Managerund System Status Application Warnungen anzeigen.

Anderes Zertifikat für SIP-Telefonie verwenden

Standard = Keine

Mögliche Einstellungen sind Keine, SIP-Amtsleitungen oder SIP- und SM-Amtsleitungen, SIP-Telefone.

  • Ist für diese Einstellung Keine ausgewählt, verwenden alle sicheren Telefonie-Kommunikationen das Standard-Identitätszertifikat und die Standardeinstellungen des Systems.

  • Wenn eine andere Option ausgewählt ist, werden zusätzliche Optionen angezeigt, die denen des Abschnitts Identitätszertifikat ähneln. Diese können dazu genutzt werden, das für die sicheren Telefonie-Kommunikationen verwendete Zertifikat zu definieren. Das zu verwendende Zertifikat wird über die Schaltfläche Festlegen in den Zertifikatspeicher des Systems hochgeladen.

Prüfungen empfangener Zertifikate (Verwaltungsschnittstellen)

Standard = Keine.

Diese Einstellung wird für HTTPS/TLS-Administrationsverbindungen zum System durch Anwendungen verwendet, z. B. IP Office Manager wenn der Dienstsicherheitsebene des verwendeten Dienstes auf Hoch eingestellt ist.

Das erhaltene Zertifikat wird wie folgt getestet:

  • Keine: Das Zertifikat muss aktuell sein. Es erfolgen keine gesonderten Prüfungen.

  • Niedrig: Wie oben, aber auch:

    • Überprüfen Sie, ob der öffentliche Schlüssel des Zertifikats 1024 Bit oder mehr hat.

  • Mittel: Wie oben, aber auch:

    • Überprüfen Sie, ob es eine Vertrauenskette vom Trusted Certificate Store (TCS) bis zur Root Certificate Authority (CA) gibt.

    • Für IP Office R11.1.3 und höher:

      • Prüfen Sie, ob für das Zertifikat eine Schlüsselverwendung definiert ist.

      • Wenn das Zertifikat erweiterte Einstellungen für die Schlüsselverwendung hat, überprüfen Sie, ob sie dem Zweck entsprechen, für den das Zertifikat verwendet wird.

      • Stellen Sie sicher, dass das Zertifikat keine unbekannten Nebenstellen enthält, die als kritisch gekennzeichnet sind.

      • Hinweis: Bei Systemen, die auf R11.1.3 aktualisiert wurden, werden diese zusätzlichen Prüfungen erst verwendet, nachdem die vorhandene Einstellung geändert wurde. Beispiel: Änderung von Mittel zu Hoch und dann zurück zu Mittel. Es wird empfohlen, die Konfiguration zu sichern, bevor Änderungen vorgenommen werden.

  • Hoch: Diese Einstellungen ermöglichen die Implementierung einer strengen Vertrauensdomäne, in der nur bekannte Zertifikate akzeptiert werden. Dies ist eine Form des „Zertifikat-Pinnings“ und überwindet die Einschränkung der Standardstruktur-PKI, bei der alle von der Stamm-CA ausgestellten Zertifikate immer vertrauenswürdig sind. Hoch verwendet dieselben Prüfungen wie Mittel sowie zusätzlich:

    • Überprüfen Sie, ob der öffentliche Schlüssel des Zertifikats 2048 Bit oder mehr hat.

    • Überprüfen Sie, ob es sich bei dem Zertifikat um ein selbstsigniertes Zertifikat handelt.

    • Nicht reflektiert.

    • Überprüfen Sie, ob sich eine Kopie des Zertifikats im Speicher für vertrauenswürdige Zertifikate des IP Office-Systems befindet.

  • Mittel + Fernprüfungen: Verwenden Sie dieselben Prüfungen wie Mittel und zusätzlich Folgendes:

    • Führen Sie eine Überprüfung des Hostnamens durch, indem Sie überprüfen, ob einer der SAN-Einträge mit dem FQDN der Verbindung übereinstimmt. Bei Bedarf kann der verwendete SAN-Eintrag eine IP-Adresse sein.

    • Überprüfen Sie bei SIP, ob die Zertifikatquelle gemäß RFC5922 für die SIP-Domäne autoritativ ist.

  • Hoch + Fernprüfungen: Verwenden Sie dieselben Prüfungen wie Hoch und dieselben zusätzlichen Prüfungen wie Mittel + Fernprüfungen.

Prüfungen empfangener Zertifikate (Telefonie-Endpunkte)

Standard = Keine.

Diese Einstellung legt fest, wie IP Office das das Identitätszertifikat überprüft, das es für TLS-Telefonieverbindungen erhält.

  • Ein Identitätszertifikat ist nicht auf allen SIP-Telefonen installiert. Deshalb benötigt IP Office für SIP kein Clientzertifikat von einem SIP-Telefon, sondern nur von SIP- und SM-Amtsleitungen.

Das erhaltene Zertifikat wird wie folgt getestet:

  • Keine: Das Zertifikat muss aktuell sein. Es erfolgen keine gesonderten Prüfungen.

  • Niedrig: Wie oben, aber auch:

    • Überprüfen Sie, ob der öffentliche Schlüssel des Zertifikats 1024 Bit oder mehr hat.

  • Mittel: Wie oben, aber auch:

    • Überprüfen Sie, ob es eine Vertrauenskette vom Trusted Certificate Store (TCS) bis zur Root Certificate Authority (CA) gibt.

    • Für IP Office R11.1.3 und höher:

      • Prüfen Sie, ob für das Zertifikat eine Schlüsselverwendung definiert ist.

      • Wenn das Zertifikat erweiterte Einstellungen für die Schlüsselverwendung hat, überprüfen Sie, ob sie dem Zweck entsprechen, für den das Zertifikat verwendet wird.

      • Stellen Sie sicher, dass das Zertifikat keine unbekannten Nebenstellen enthält, die als kritisch gekennzeichnet sind.

      • Hinweis: Bei Systemen, die auf R11.1.3 aktualisiert wurden, werden diese zusätzlichen Prüfungen erst verwendet, nachdem die vorhandene Einstellung geändert wurde. Beispiel: Änderung von Mittel zu Hoch und dann zurück zu Mittel. Es wird empfohlen, die Konfiguration zu sichern, bevor Änderungen vorgenommen werden.

  • Hoch: Diese Einstellungen ermöglichen die Implementierung einer strengen Vertrauensdomäne, in der nur bekannte Zertifikate akzeptiert werden. Dies ist eine Form des „Zertifikat-Pinnings“ und überwindet die Einschränkung der Standardstruktur-PKI, bei der alle von der Stamm-CA ausgestellten Zertifikate immer vertrauenswürdig sind. Hoch verwendet dieselben Prüfungen wie Mittel sowie zusätzlich:

    • Überprüfen Sie, ob der öffentliche Schlüssel des Zertifikats 2048 Bit oder mehr hat.

    • Überprüfen Sie, ob es sich bei dem Zertifikat um ein selbstsigniertes Zertifikat handelt.

    • Nicht reflektiert.

    • Überprüfen Sie, ob sich eine Kopie des Zertifikats im Speicher für vertrauenswürdige Zertifikate des IP Office-Systems befindet.

  • Mittel + Fernprüfungen: Verwenden Sie dieselben Prüfungen wie Mittel und zusätzlich Folgendes:

    • Führen Sie eine Überprüfung des Hostnamens durch, indem Sie überprüfen, ob einer der SAN-Einträge mit dem FQDN der Verbindung übereinstimmt. Bei Bedarf kann der verwendete SAN-Eintrag eine IP-Adresse sein.

    • Überprüfen Sie bei SIP, ob die Zertifikatquelle gemäß RFC5922 für die SIP-Domäne autoritativ ist.

  • Hoch + Fernprüfungen: Verwenden Sie dieselben Prüfungen wie Hoch und dieselben zusätzlichen Prüfungen wie Mittel + Fernprüfungen.

Sicherheitsstufe – H.323

Standard = Hoch (Mittel für IP500-Systeme und Systemupgrade auf R11.1.3 oder höher).

Legt die minimale Verschlüsselungsstärke fest, die IP Office bei TLS-Verbindungen für H.323-Telefone und -Querverbindungen akzeptiert. Wird nicht für Clients verwendet, bei denen Verschlüsselung aktiviert und basierend auf den vom TLS-Server angebotenen Verschlüsselungen ausgewählt werden.

  • Diese Einstellung ersetzt die von R11.1.2.x-Systemen verwendete CIPHER_LEVELS_H232 NUSN.

  • Weitere Informationen finden Sie im Avaya IP Office™ Platform Sicherheitsrichtlinien-Handbuch.

  • Niedrig (0) – Akzeptiert Verschlüsselungen mit niedriger, mittlerer und hoher Stärke. Niedrig und mittel auf IP500 V2-Systemen.

  • Mittel (1): - Akzeptiert Verschlüsselungen mit mittlerer und hoher Stärke. Mittel auf IP500 V2-Systemen.

  • Hoch (2): - Akzeptiert Verschlüsselungen mit hoher Stärke. Wird für IP500 V2-Systeme nicht unterstützt.

    • Eine Liste der Verschlüsselungen finden Sie unter Avaya IP Office™ Platform Sicherheitsrichtlinien.

    • Verschlüsselungen mit hoher Stärke sind GCM-Verschlüsselungen. Diese werden von keinem IP500 V2-Systemmodell unterstützt.

Sicherheitsstufe – SIP

Standard = Hoch (Mittel für IP500 V2-Systeme und Systeme mit Upgrade auf R11.1.3 oder höher).

Legt die minimale Verschlüsselungsstärke fest, die IP Office bei TLS-Verbindungen für SIP-Telefone und Querverbindungen akzeptiert. Wird nicht für Clients verwendet, bei denen Verschlüsselung aktiviert und basierend auf den vom TLS-Server angebotenen Verschlüsselungen ausgewählt werden.

  • Diese Einstellung ersetzt die von R11.1.2.x-Systemen verwendete CIPHER_LEVELS_SIP NUSN.

  • Weitere Informationen finden Sie im Avaya IP Office™ Platform Sicherheitsrichtlinien-Handbuch.

  • Niedrig (0) – Akzeptiert Verschlüsselungen mit niedriger, mittlerer und hoher Stärke. Niedrig und mittel auf IP500 V2-Systemen.

  • Mittel (1): - Akzeptiert Verschlüsselungen mit mittlerer und hoher Stärke. Mittel auf IP500 V2-Systemen.

  • Hoch (2): - Akzeptiert Verschlüsselungen mit hoher Stärke. Wird für IP500 V2-Systeme nicht unterstützt.

    • Eine Liste der Verschlüsselungen finden Sie unter Avaya IP Office™ Platform Sicherheitsrichtlinien.

    • Verschlüsselungen mit hoher Stärke sind GCM-Verschlüsselungen. Diese werden von keinem IP500 V2-Systemmodell unterstützt.

Vertrauenswürdiger Zertifikatspeicher

In diesem Abschnitt wird eine Liste der Zertifikate im Speicher der vertrauenswürdigen Zertifikate des Systems angezeigt. Zudem können diese Zertifikate an dieser Stelle verwaltet werden. Es können bis zu 25 X.509v3-Zertifikate im Speicher platziert werden.

Beim Hinzufügen eines Zertifikats kann die Quelle wie folgt lauten:

  • Zertifikatspeicher des aktuellen Benutzers.

  • Zertifikatspeicher des lokalen Computers.

  • Eine Datei in einem der folgenden Formate:

    • PEM (.cer)

    • kennwortgeschützte PEM (.cer)

    • DER (.cer)

    • kennwortgeschützte DER (.cer)

  • Aus der Zwischenablage im PEM-Format einschließlich Kopf- und Fußzeilentext kopiert.

    Diese Methode muss für PKCS#12 (.pfx)-Dateien verwendet werden. Wählen Sie Aus Zwischenablage einfügen und kopieren Sie dann den Zertifikatstext in das Fenster Zertifikattexterfassung.

SCEP-Einstellungen

Diese Einstellungen werden für Branch-Systeme verwendet, die über SMGR zentral verwaltet werden.

Das SCEP-Protokoll (Simple Certificate Enrollment Protocol) soll die Ausgabe von Zertifikaten in einem Netzwerk mit mehreren Geräten, die Zertifikate benutzen, erleichtern. Die von den Geräten verwendeten Zertifikate müssen nicht einzeln verwaltet werden, sondern die Geräte können so konfiguriert werden, dass sie über SCEP ein Zertifikat anfordern.

Diese Einstellungen werden normalerweise während der Erstkonfiguration des Systems festgelegt.

Feld

Beschreibung

Aktiv

Standard = Aus.

Anforderungsintervall (s)

Standard = 120 Sekunden. Bereich = 5 bis 3600 Sekunden.

IP-Adresse/Name des SCEP-Servers

Standard = Leer.

SCEP Server-Port

Standard = 80 für HTTP und 443 für HTTPS.

SCEP URI

Standard = /ejbca/publicweb/apply/scep/pkiclient.exe

SCEP-Kennwort

Standard = Leer.
Related information
System