Certificados

Última actualización : Apr 26, 2024 |

Información adicional sobre la configuración

Para obtener más información sobre los certificados, consulte Administración de certificados.

Los servicios entre el sistema y las aplicaciones pueden, según sean los parámetros del servicio que se utilizan para la conexión, requerir el intercambio de certificados de seguridad. El sistema puede generar un certificado autofirmado o utilizar certificados de una fuente de confianza para cargar.

Certificado de identidad

Estos ajustes se relacionan con el certificado X.509v3 que el sistema utiliza para identificarse cuando conecta otro dispositivo usando TLS. Por ejemplo, una PC que se ejecuta IP Office Manager configurado en Comunicaciones seguras.

El certificado del sistema es publicado (utilizado) por los servicios cuyo Nivel de seguridad de servicio está configurado con un valor distinto a Sólo modo no seguro.

De manera predeterminada, cada servidor IP Office proporciona un certificado autogenerado cuando se lo instala por primera vez. Sin embargo, el certificado también puede provenir de otras fuentes:

  • Un certificado de identidad alternativo para el sistema agregado usando el botón Establecer.

    • Para servidores secundarios, de expansión y de aplicaciones, este puede ser un certificado de identidad generado para ese servidor desde los menús de Web Control del servidor primario.

  • Para sistemas en modo de suscripción, puede seleccionarse Administración automática de certificados. COM entonces proporciona automáticamente al sistema un certificado de identidad y actualizaciones de certificado correspondientes.

Campo

Descripción

Ofrecer certificado

Predeterminado = Activado.

Este es un valor fijo con fines indicativos solamente. Esto establece si el sistema ofrecerá un certificado en el intercambio TLS.

Ofrecer cadena de certificado de Id.

Predeterminado = Activado

Cuando esta opción está habilitada, IP Office anuncia una cadena de certificados durante el establecimiento de la sesión TLS.

  • La cadena de certificados comienza con el certificado de identidad del sistema

  • Luego agrega cualquier certificado que encuentre en su almacén de certificados de confianza con el mismo Common Name en su campo Subject Distinguished Name.

  • Si el certificado CA Root se encuentra en el almacén de certificados de confianza, eso también se incluye en la cadena de certificados.

  • Se admite un máximo de seis certificados en la cadena de certificados.

Emitido para

Predeterminado = Certificado de identidad de IP Office.

Solo para fines informativos. E nombre común del emisor en el certificado.

Días de advertencia de caducidad del certificado

Predeterminado = 60, Rango = 30 a 180

IP Office Manager puede mostrar una advertencia cuando el certificado de seguridad de un sistema está a punto de caducar. Esta configuración se usa para establecer el desencadenante de advertencias de certificado.

La siguiente configuración solo se muestra para sistemas en modo de suscripción. Permiten que COM proporcione al sistema su certificado de identidad y que actualice automáticamente el certificado cuando sea necesario.

Campo

Descripción

Administración automática de certificados

Predeterminado = Desactivado

Compatible únicamente con los sistemas en modo de suscripción. Cuando esta opción está habilitada, el sistema utiliza un certificado de identidad suministrado por COM junto con una copia del certificado raíz COM. El mantenimiento y la renovación de este certificado de identidad y su cadena de confianza se realizan automáticamente.

Origen de detalles SAN

Si el certificado de identidad emitido al sistema por COM necesita incluir cualquier valor de nombre alternativo de asunto específico de la ubicación, este campo puede utilizarse para definir esos valores.

  • Migrar del certificado de Id. existente: cuando genera un nuevo certificado para el sistema, utilice los detalles de SAN de su certificado de identidad existente.

  • Generar a partir de la configuración de LAN actual: cuando genere un certificado nuevo, cree los detalles de SAN a partir de la configuración LAN y SIP existente del sistema.

Aprovisionamiento automático de teléfono

Predeterminado = Habilitado

Esta opción adicional es compatible cuando se utiliza Administración automática de certificados. Cuando esta opción está habilitada, los certificados de teléfono en teléfonos que admiten la descarga de certificados se actualizan automáticamente cuando se actualiza el certificado de identidad del sistema.

  • Los teléfonos nuevos y predeterminados obtienen el certificado usando la confianza normal en el primer proceso de uso.

  • Cuando ocurre una actualización, el archivo 46xxsettings.txt se actualiza para incluir detalles de ambos certificados. Después de un reinicio, los teléfonos recuperan el certificado nuevo usando los detalles del certificado anterior.

La siguiente configuración puede utilizarse para administrar el certificado de identidad actual.

Campo

Descripción

Establecer

Usar Establecer le permite cargar un certificado de identidad y su clave privada asociada.

  • Este control no se muestra para los sistemas en modo de suscripción que usan Administración automática de certificados.

El IP Office admite lo siguiente:

  • Teclas RSA de 1024, 2048 y 4096 bits. El uso de las claves RSA de 4096 puede afectar el rendimiento del sistema.

  • Algoritmos de firma SHA-1, SHA-256, SHA-384 y SHA-512. El uso de un tamaño de firma mayor que SHA-256 puede afectar el rendimiento del sistema.

El origen puede ser:

  • Depósito actual de certificados de usuario.

  • Depósito de certificados de la máquina local.

  • Archivo en formato PKCS#12.

    • Pegado desde el portapapeles con el formato PEM, incluso texto de encabezado y pie de página. Se debe utilizar este método para archivos PEM (.cer) y archivos PEM (.cer) protegidos por contraseña. El certificado de identidad requiere el certificado y también la clave privada. El formato CER no contiene la clave privada. Para estos tipos de archivos, seleccione Pegar desde portapapeles y luego copie el texto del certificado y el texto de la clave privada en la ventana Captura de texto del certificado.

Uso de un archivo como origen del certificado

En Manager, cuando se utiliza la opción de archivo, el archivo importado (.p12, .pfx o .cer) solo puede contener la clave privada y los datos del certificado de identidad. No puede contener certificados Intermediate CA o el certificado Root CA. Los certificados Intermediate CA o el certificado Root CA se deben importar por separado en el depósito de certificados de confianza de IP Office. Esto no se aplica a Web Manager.

Nota:

Web Manager no acepta el archivo de tipo CER con extensión .cer. Ese tipo de archivo solo puede utilizarse en Manager.

Ver

Muestra detalles del certificado de identidad actual. El menú de vista de certificado también puede utilizarse para instalar el certificado (pero no su clave privada) en el almacén de certificados local de la PC que lo visualiza. Esto puede ser utilizado por la PC para una conexión segura al sistema o para exportar el certificado desde la PC.

Regenerar

Este comando genera un nuevo certificado de identidad:

  • Para los sistemas que utilizan el certificado de identidad autofirmado generado por el propio sistema, este comando genera un reemplazo para el certificado de identidad actual.

  • Para los sistemas en modo de suscripción, este comando solicita un certificado de identidad de reemplazo de COM. De manera alternativa, puede utilizarse para solicitar un certificado de identidad para otro servidor.

Importante:

  • La regeneración toma hasta un minuto, durante el cual el rendimiento del sistema se ve afectado. Por lo tanto, solo realice esta acción solamente durante un período de mantenimiento. La regeneración tiene lugar después de guardar la configuración de seguridad.

Cuando se hace clic, la ventana Regenerar certificado le solicita que ingrese los valores en la siguiente tabla.

Configuración

Descripción

Firma

Predeterminado = SHA256/RSA2048.

Seleccione el algoritmo de firma y la longitud de la clave RSA para utilizar para el nuevo certificado de identidad autofirmado. Las opciones son SHA256/RSA2048 o SHA1/RSA1024.

Nombre del asunto

Predeterminado = Ninguno

Especifica el nombre común para el asunto de este certificado. El asunto es la entidad final o el sistema que tiene la propiedad del certificado (clave pública). Ejemplo: ipoffice-0123456789AB.avaya.com. Si el campo está vacío, se utiliza un nombre de asunto generado por el sistema.

Nombre(s) alternativo(s) del asunto

Predeterminado = Ninguno

Especifique cualquier valor de Nombre alternativo del asunto (SAN) que deba incluirse en el certificado.

  • Cada entrada consiste en un prefijo, seguido de dos puntos y luego el valor. Los prefijos compatibles son DNS, URI, IP, SRV y email.

  • Pueden agregarse múltiples entradas, cada una separada por coma. El campo de entrada tiene un límite de tamaño máximo de 511 caracteres.

  • Ejemplo: DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com

Para máquina diferente

Predeterminado = Desactivado

Esta opción solo se muestra para sistemas en modo de suscripción que utilizan Administración automática de certificados.

Cuando se selecciona, se solicitan los detalles de dirección del otro servidor y la duración del certificado (máximo 825 días). Después de generar el certificado, el navegador descarga automáticamente el archivo del certificado.

Verificaciones de certificado

Campo

Descripción

Días de advertencia de caducidad del certificado

Predeterminado = 60. Rango = 30 a 180 días.

Establezca el número de días antes del vencimiento de cualquier certificado almacenado, momento en el cual IP Office Manager, IP Office Web Manager y System Status Application mostrarán advertencias.

Utilizar un certificado diferente para telefonía SIP

Predeterminado = Ninguno

La configuración posible es Ninguno/a, Líneas troncales SIP o Líneas troncales SIP y SM, teléfonos SIP.

  • Cuando se establece a Ninguno/a, todas las comunicaciones de telefonía seguras utilizan el certificado de identidad y las configuraciones predeterminadas del sistema.

  • Cuando se configura en cualquier otra opción, se muestra un conjunto adicional de opciones similares a las que se muestran para la sección Certificado de identidad. Estas pueden utilizarse para definir el certificado que se utiliza para comunicaciones de telefonía seguras. El certificado que se debe usar se carga al almacén de certificados del sistema usando el botón Establecer.

Verificaciones de certificados recibidas (Interfaces de administración)

Predeterminado = Ninguna.

Esta configuración se utiliza para conexiones de administración HTTPS/TLS al sistema por aplicaciones como IP Office Manager cuando el Nivel de seguridad de servicio del servicio que se utiliza está configurado en Alto.

El certificado recibido es comprobado de la siguiente manera:

  • Ninguno/a: el certificado debe estar en fecha. No se realizan verificaciones adicionales.

  • Bajo: como se mencionó anteriormente, pero también:

    • Verifique que la clave pública del certificado sea de 1024 bits o superior.

  • Medio: como se mencionó anteriormente, pero también:

    • Verifique que haya una cadena de confianza desde el depósito de certificados de confianza (TCS) hasta la autoridad de certificación (CA) raíz.

    • Para IP Office R11.1.3 y versiones posteriores:

      • Verifique que el certificado tenga un uso clave definido.

      • Si el certificado tiene una configuración de uso clave extendida, verifique que coincida con el propósito para el cual se utiliza el certificado.

      • Verifique que el certificado no incluya extensiones desconocidas marcadas como críticas.

      • Nota: Para sistemas actualizados a R11.1.3, estas verificaciones adicionales solo se utilizan después de cambiar la configuración existente. Por ejemplo, cambió de Medio a Alto y luego volvió a Medio. Avaya se recomienda realizar un respaldo de la configuración antes de realizar cualquier cambio.

  • Alto: esta configuración permite la implementación de un dominio de confianza estricto donde solo se aceptan certificados conocidos. Esta es una forma de “anclaje de certificados” y supera la limitación de los PKI de estructura de árbol estándar donde cualquier certificado emitido por la CA raíz siempre es de confianza. Alto utiliza las mismas verificaciones que Medio, más:

    • Verifique que la clave pública del certificado sea de 2048 bits o superior

    • Verifique que el certificado no sea un certificado autofirmado.

    • No se refleja.

    • Verifique que haya una copia del certificado en el depósito de certificados de confianza del IP Office sistema.

  • Medio y verificaciones remotas: utilice las mismas verificaciones que Medio, más lo siguiente:

    • Para realizar la validación del nombre de host, verifique que una de las entradas SAN coincida con el FQDN de la conexión. Si es necesario, la entrada SAN utilizada puede ser una dirección IP.

    • Para SIP, verifique que el origen del certificado sea autorizado para el dominio SIP según RFC5922.

  • Alto y verificaciones remotas: utilice las mismas verificaciones que Alto, más las mismas verificaciones adicionales que Medio y verificaciones remotas.

Verificaciones de certificados recibidas (Terminales de telefonía)

Predeterminado = Ninguna.

Esta configuración establece cómo IP Office valida el certificado de identidad que recibe para las conexiones de telefonía TLS.

  • No se instala un certificado de identidad en todos los teléfonos SIP. Por lo tanto, para SIP, IP Office no solicita un certificado de cliente de teléfonos SIP; únicamente de líneas troncales SIP y SM.

El certificado recibido es comprobado de la siguiente manera:

  • Ninguno/a: el certificado debe estar en fecha. No se realizan verificaciones adicionales.

  • Bajo: como se mencionó anteriormente, pero también:

    • Verifique que la clave pública del certificado sea de 1024 bits o superior.

  • Medio: como se mencionó anteriormente, pero también:

    • Verifique que haya una cadena de confianza desde el depósito de certificados de confianza (TCS) hasta la autoridad de certificación (CA) raíz.

    • Para IP Office R11.1.3 y versiones posteriores:

      • Verifique que el certificado tenga un uso clave definido.

      • Si el certificado tiene una configuración de uso clave extendida, verifique que coincida con el propósito para el cual se utiliza el certificado.

      • Verifique que el certificado no incluya extensiones desconocidas marcadas como críticas.

      • Nota: Para sistemas actualizados a R11.1.3, estas verificaciones adicionales solo se utilizan después de cambiar la configuración existente. Por ejemplo, cambió de Medio a Alto y luego volvió a Medio. Avaya se recomienda realizar un respaldo de la configuración antes de realizar cualquier cambio.

  • Alto: esta configuración permite la implementación de un dominio de confianza estricto donde solo se aceptan certificados conocidos. Esta es una forma de “anclaje de certificados” y supera la limitación de los PKI de estructura de árbol estándar donde cualquier certificado emitido por la CA raíz siempre es de confianza. Alto utiliza las mismas verificaciones que Medio, más:

    • Verifique que la clave pública del certificado sea de 2048 bits o superior

    • Verifique que el certificado no sea un certificado autofirmado.

    • No se refleja.

    • Verifique que haya una copia del certificado en el depósito de certificados de confianza del IP Office sistema.

  • Medio y verificaciones remotas: utilice las mismas verificaciones que Medio, más lo siguiente:

    • Para realizar la validación del nombre de host, verifique que una de las entradas SAN coincida con el FQDN de la conexión. Si es necesario, la entrada SAN utilizada puede ser una dirección IP.

    • Para SIP, verifique que el origen del certificado sea autorizado para el dominio SIP según RFC5922.

  • Alto y verificaciones remotas: utilice las mismas verificaciones que Alto, más las mismas verificaciones adicionales que Medio y verificaciones remotas.

Nivel de seguridad H.323

Predeterminado = Alto (Medio para sistemas IP500 y actualización de sistemas a R11.1.3 o versiones posteriores).

Establece la potencia de cifrado mínima que IP Office acepta en conexiones TLS para teléfonos y líneas troncales H.323. No se utiliza para clientes donde los cifrados están habilitados y se eligen según la oferta del servidor TLS.

  • Esta configuración reemplaza el NUSM CIPHER_LEVELS_H232 que utilizan los sistemas R11.1.2.x.

  • Para obtener más detalles, consulte el manual Avaya Pautas de seguridad de IP Office™ Platform.

  • Bajo (0): acepte cifrados de baja, media y alta potencia. Baja y media en sistemas IP500 V2.

  • Medio (1): acepte cifrados de media y alta potencia. Media en sistemas IP500 V2.

  • Alto (2): acepte cifrados de alta potencia. No compatible con sistemas IP500 V2.

    • Para obtener una lista de cifrados, consulte Avaya Pautas de seguridad de IP Office™ Platform.

    • Los cifrados de alta potencia son cifrados GCM. Estos no son compatibles con ningún modelo del sistema IP500 V2.

Nivel de sesguridad SIP

Predeterminado = Alto (Medio para sistemas IP500 V2 y sistemas actualizados a R11.1.3 o versiones posteriores).

Establece la potencia de cifrado mínima que IP Office acepta en conexiones TLS para líneas troncales y teléfonos SIP. No se utiliza para clientes donde los cifrados están habilitados y se eligen según la oferta del servidor TLS.

  • Esta configuración reemplaza el NUSN CIPHER_LEVELS_SIP que utilizan los sistemas R11.1.2.x.

  • Para obtener más detalles, consulte el manual Avaya Pautas de seguridad de IP Office™ Platform.

  • Bajo (0): acepte cifrados de baja, media y alta potencia. Baja y media en sistemas IP500 V2.

  • Medio (1): acepte cifrados de media y alta potencia. Media en sistemas IP500 V2.

  • Alto (2): acepte cifrados de alta potencia. No compatible con sistemas IP500 V2.

    • Para obtener una lista de cifrados, consulte Avaya Pautas de seguridad de IP Office™ Platform.

    • Los cifrados de alta potencia son cifrados GCM. Estos no son compatibles con ningún modelo del sistema IP500 V2.

Depósito de certificados de confianza

Esta sección muestra una lista de los certificados que se conservan en el almacén de certificados de confianza del sistema y permite la administración de esos certificados. Se pueden colocar hasta 25 certificados X.509v3 en la tienda.

Cuando agrega un certificado, el origen puede ser:

  • Depósito actual de certificados de usuario.

  • Depósito de certificados de la máquina local.

  • Un archivo en alguno de los siguientes formatos:

    • PEM (.cer)

    • PEM (.cer) protegido con contraseña

    • DER (.cer)

    • DER (.cer) protegido con contraseña

  • Pegado desde el portapapeles con el formato PEM, incluso texto de encabezado y pie de página.

    Se debe utilizar este método para archivos PKCS#12 (.pfx). Seleccione Pegar desde portapapeles y luego copie el texto del certificado en la ventana Captura de texto del certificado.

Configuración SCEP

Esta configuración se utiliza para sistemas de sucursales que están bajo administración centralizada a través de SMGR.

El Protocolo simple de inscripción de certificados (SCEP) es un protocolo diseñado para facilitar la emisión de certificados en una red donde numerosos dispositivos están utilizando certificados. En lugar de tener que administrar de forma individual el certificado utilizado por cada dispositivo, los dispositivos pueden ser configurados para solicitar un certificado utilizando SCEP.

Estos ajustes normalmente se establecen durante la configuración inicial del sistema.

Campo

Descripción

Activo

Predeterminado = Desactivado.

Intervalo de solicitud (seg)

Predeterminado = 120 segundos. Intervalo = 5 a 3600 segundos.

Nombre/Dirección IP del servidor de SCEP

Predeterminado = En blanco.

Puerto del servidor de SCEP

Predeterminado = 80 para HTTP y 443 para HTTPS.

URI SCEP

Predeterminado = /ejbca/publicweb/apply/scep/pkiclient.exe

Contraseña SCEP

Predeterminado = En blanco.
Related information
Sistema