Certificats

Date de la dernière mise à jour : Apr 26, 2024 |

Informations supplémentaires sur la configuration

Pour plus d'informations sur les certificats, consultez Gestion des certificats.

Les services entre le système et les applications peuvent, en fonction des paramètres du service utilisé pour la connexion, nécessiter l'échange de certificats de sécurité. Le système peut créer un certificat auto-signé ou bien utiliser des certificats chargés auprès d'une source de confiance.

Certificat d'identité

Ces paramètres se rapportent au certificat X.509v3 que le système utilise pour s'identifier lors de la connexion d'un autre périphérique à l'aide de TLS. Par exemple, un PC exécutant est IP Office Manager défini sur Communications sécurisées.

Le certificat du système est annoncé (utilisé) par les services dont le paramètre Niveau de sécurité du service est défini sur une valeur autre que Non sécurisé uniquement.

Par défaut, chaque serveur IP Office fournit un certificat auto-généré, créé au moment de l'installation initiale du système. Cependant, le certificat peut également provenir d'autres sources :

  • Un certificat d'identité alternatif pour le système a été ajouté à l'aide du bouton Définir.

    • Pour les serveurs secondaires, d'expansion et d'application, il peut s'agir d'un certificat d'identité généré pour ce serveur à partir des menus de contrôle Web du serveur principal.

  • Pour les systèmes en mode d'abonnement, Gestion automatique des certificats peut être sélectionné. COM fournit ensuite automatiquement au système un certificat d'identité approprié et des mises à jour de certificat.

Champ

Description

Présenter un certificat

Par défaut = Activée.

Il s'agit d'une valeur fixe à titre indicatif uniquement. Permet de définir si le système offre un certificat dans l'échange TLS.

Présenter une chaîne de certificats d'identité

Par défaut = Activé

Lorsque ce paramètre est activé, IP Office annonce une chaîne de certificats pendant l'établissement de la session TLS.

  • La chaîne de certificats commence par le certificat d'identité du système.

  • Il ajoute ensuite tous les certificats trouvés dans son magasin de certificats approuvés avec le même Common Name dans le champ Subject Distinguished Name « Émis par ».

  • Si le certificat AC racine se trouve dans le magasin de certificats approuvés, il est également inclus dans la chaîne de certificats.

  • Au maximum, six certificats peuvent être supportés dans la chaîne de certificats.

Émis pour

Par défaut : certificat d'identité IP Office.

Pour information uniquement. Le nom commun de l'émetteur dans le certificat.

Avertissement de prochaine expiration du certificat (en jours)

Par défaut = 60, Plage = 30 à 180

IP Office Manager peut afficher un avertissement lorsque le certificat de sécurité du système est sur le point d'arriver à expiration. Ce paramètre est utilisé pour définir le déclencheur relatif aux avertissements de certificats.

Les paramètres suivants s'affichent uniquement pour les systèmes en mode d'abonnement. Ils permettent au service COM de fournir au système son certificat d'identité et de mettre automatiquement à jour le certificat si nécessaire.

Champ

Description

Gestion automatique des certificats

Par défaut = Désactivé.

Pris en charge pour les systèmes en mode d'abonnement uniquement. Lorsque ce paramètre est activé, le système utilise un certificat d'identité fourni par COM avec une copie du certificat racine COM. La maintenance et le renouvellement de l'identité du certificat et de sa chaîne de confiance sont effectués automatiquement.

Origine des détails du réseau de stockage (SAN)

Si le certificat d'identité émis au système par COM doit inclure des valeurs de nom alternatif d'objet spécifiques à un emplacement, ce champ peut être utilisé pour définir ces valeurs.

  • Migrer à partir du certificat d'identité existant - Lors de la génération d'un nouveau certificat pour le système, utilisez les détails SAN de son certificat d'identité existant.

  • Générer à partir de la configuration LAN actuelle - Lors de la génération d'un nouveau certificat, créez les détails SAN à partir des paramètres LAN et SIP existants du système.

Approvisionnement automatique des téléphones

Par défaut = Activé

Cette option supplémentaire est prise en charge lors de l'utilisation de Gestion automatique des certificats. Lorsque ce paramètre est activé, les certificats téléphoniques des téléphones prenant en charge le téléchargement de certificats sont automatiquement mis à jour lorsque le certificat d'identité du système est mis à jour.

  • Les nouveaux téléphones et les téléphones par défaut obtiennent le certificat à l'aide du processus d'approbation normal lors de la première utilisation.

  • Lorsqu'une mise à jour est effectuée, le fichier 46xxsettings.txt est mis à jour pour inclure les détails des deux certificats. Après un redémarrage, les téléphones récupèrent le nouveau certificat en utilisant les détails de l'ancien certificat.

Les paramètres suivants peuvent être utilisés pour gérer le certificat d'identité actuel.

Champ

Description

Définir

L'utilisation de Définir permet de charger un certificat d'identité et sa clé privée associée.

  • Cette commande n'est pas affichée pour les systèmes en mode d'abonnement utilisant Gestion automatique des certificats.

IP Office prend en charge :

  • Touches RSA 1024, 2048 et 4096 bits. L'utilisation de clés RSA de 4 096 peut avoir un impact sur la performance du système.

  • Algorithmes de signature SHA-1, SHA-256, SHA-384 et SHA-512. L'utilisation d'une signature plus volumineuse que SHA-256 peut avoir un impact sur la performance du système.

La source peut être :

  • Magasin de certificats de l'utilisateur actuel.

  • Magasin de certificats de l'ordinateur local.

  • Fichier en format PKCS#12.

    • Collé à partir du presse-papiers au format PEM, comprenant le texte de l'en-tête et du pied de page. Cette méthode doit être utilisée pour les fichiers PEM (.cer) et PEM protégés par mot de passe (.cer). Le certificat d'identité nécessite l'utilisation du certificat et de la clé privée. Le format CER ne contient pas la clé privée. Pour ces types de fichier, sélectionner Coller depuis le Presse-papier puis copier le texte du certificat et de la clé privée dans la fenêtre de saisie du texte du certificat.

Utilisation d'un fichier comme source de certificat

Dans Manager, lorsque vous utilisez l'option de fichier, le fichier importé (.p12, .pfx ou .cer) peut uniquement contenir la clé privée et les données du certificat d'identité. Il ne peut pas contenir d'autres certificats AC intermédiaires ou le certificat AC racine. Les certificats AC intermédiaires ou le certificat AC racine doivent être importés séparément dans le magasin de certificat approuvés IP Office. Cela ne s'applique pas à Web Manager.

Remarque :

Web Manager n'accepte pas le fichier de type CER avec l'extension .cer. Ce type de fichier peut uniquement être utilisé dans Manager.

Afficher

Affiche les détails relatifs au certificat d'identité actuel. Le menu d'affichage du certificat peut également être utilisé pour installer le certificat (mais pas sa clé privée) dans le magasin de certificats local des PC d'affichage. Ceci peut être utilisé par le PC pour une connexion sécurisée au système ou pour exporter le certificat à partir du PC.

Renouveler

Cette commande génère un nouveau certificat d'identité :

  • Pour les systèmes utilisant le certificat d'identité auto-signé généré par le système, cette commande génère un remplacement pour le certificat d'identité actuel.

  • Pour les systèmes en mode d'abonnement, cette commande demande un certificat d'identité de remplacement auprès de COM. Il peut également être utilisé pour demander un certificat d'identité pour un autre serveur.

Important :

  • La régénération peut prendre jusqu'à une minute, au cours de laquelle les performances du système sont affectées. Par conséquent, exécutez cette action uniquement durant une fenêtre de maintenance. Le renouvellement prend effet une fois les paramètres de sécurité enregistrés.

Lorsque vous cliquez dessus, la fenêtre Renouveler le certificat vous invite à entrer les valeurs du tableau suivant :

Paramètre

Description

Signature

Par défaut = SHA256/RSA2048.

Sélectionnez l'algorithme de signature et la longueur de la clé RSA à utiliser pour le nouveau certificat d'identité auto-signé. Les options sont les suivantes : SHA256/RSA2048 ou SHA1/RSA1024.

Nom de l'objet

Par défaut = Aucun

Spécifie le nom usuel pour le sujet de ce certificat. Le sujet est l'entité finale ou le système propriétaire du certificat (clé publique). Exemple : ipoffice-0123456789AB.avaya.com. Si le champ est vide, un nom de sujet généré par le système est utilisé.

Autre nom(s) de l'objet

Par défaut = Aucun

Spécifiez les valeurs du nom alternatif de l'objet (SAN) à inclure dans le certificat.

  • Chaque entrée doit se composer d'un préfixe suivi de deux-points, puis de la valeur. Les préfixes pris en charge sont DNS, URI, IP SRV et email.

  • Des entrées multiples peuvent être ajoutées, chacune séparée par une virgule. Le champ d'entrée peut comporter au maximum 511 caractères.

  • Exemple : DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com

Pour une machine différente

Par défaut = Désactivé

Cette option s'affiche uniquement pour les systèmes en mode d'abonnement utilisant Gestion automatique des certificats.

Lorsque cette option est sélectionnée, les détails de l'adresse de l'autre serveur et la durée du certificat (825 jours maximum) sont requis. Une fois le certificat généré, le navigateur télécharge automatiquement le fichier de certificat.

Vérification du certificat

Champ

Description

Avertissement de prochaine expiration du certificat (en jours)

Par défaut = 60. Plage = 30 à 180 jours.

Définissez le nombre de jours avant l'expiration d'un certificat stocké, au bout duquel IP Office Manager, IP Office Web Manager et System Status Application afficheront des avertissements.

Utiliser un autre certificat pour la téléphonie SIP

Par défaut = Aucun

Les paramètres possibles sont Aucun, Lignes réseau SIP ou Lignes réseau SIP et SM, téléphones SIP.

  • Lorsqu'il est défini sur Aucun, toutes les communications par téléphonie sécurisées utilisent le certificat d'identité et les paramètres par défaut du système.

  • Lorsqu'il est défini sur une autre option, un ensemble d'options supplémentaires semblables à ceux de la section Certificat d'identité s'affiche. Celles-ci peuvent être utilisées pour définir le certificat utilisé pour les communications par téléphonie sécurisées. Le certificat à utiliser est chargé dans le magasin de certificats du système via le bouton Définir.

Vérifications du certificat reçu (interfaces de gestion)

Par défaut = Aucun.

Ce paramètre est utilisé pour les connexions d'administration HTTPS/TLS au système par des applications telles qu'IP Office Manager lorsque le Niveau de sécurité du service du service utilisé est défini sur Haut.

Le certificat reçu est évalué comme suit :

  • Aucun : le certificat doit être à jour. Aucune vérification supplémentaire n'est effectuée.

  • Niveau faible : comme ci-dessus mais également :

    • Vérifiez que la clé publique du certificat est de 1 024 bits ou plus.

  • Moyen : comme ci-dessus, mais également :

    • Vérifiez qu'il existe une chaîne de confiance entre le magasin de certificats approuvés (TCS) et l'autorité de certification (AC) racine.

    • Pour IP Office version 11.1.3 et supérieur :

      • Vérifiez que le certificat a une utilisation de clé définie.

      • Si le certificat a étendu les paramètres d'utilisation des clés, vérifiez qu'ils correspondent à l'objectif pour lequel le certificat est utilisé.

      • Vérifiez que le certificat n'inclut pas de poste inconnu marqué comme critique.

      • Remarque : pour les systèmes mis à niveau vers la version 11.1.3, ces vérifications supplémentaires ne sont utilisées qu'après la modification du paramètre existant. Par exemple, passer de Moyen à Haut puis revenir à Moyen. Avaya recommande de sauvegarder la configuration avant d'effectuer toute modification.

  • Haut : ce paramètre permet la mise en œuvre d'un domaine de confiance strict où seuls les certificats connus sont acceptés. Il s'agit d'une forme d'« épinglage de certificat » qui permet de contourner la limitation de l'infrastructure à clé publique (ICP) à structure arborescente standard, où tous les certificats émis par l'autorité de certification racine sont toujours approuvés. Haut utilise les mêmes vérifications que Moyen plus :

    • Vérifiez que la clé publique du certificat est de 2 048 bits ou plus.

    • Vérifiez que le certificat n'est pas un certificat auto-signé.

    • Non reflété.

    • Vérifiez qu'il y a une copie du certificat dans le magasin de certificats approuvés du système IP Office.

  • Vérifications moyennes + distantes : utilisez les mêmes vérifications que Moyen plus les éléments suivants :

    • Effectuez la validation du nom d'hôte en vérifiant que l'une des entrées SAN correspond au FQDN de la connexion. Si nécessaire, l'entrée SAN utilisée peut être une adresse IP.

    • Pour SIP, vérifiez que la source du certificat fait autorité pour le domaine SIP, conformément à la norme RFC5922.

  • Vérifications élevées + distantes : utilisez les mêmes vérifications que Haut plus les mêmes vérifications additionnelles que Vérifications moyennes + distantes.

Vérifications du certificat reçu (points d'extrémité téléphoniques)

Par défaut = Aucun.

Ce paramètre définit la manière dont IP Office valide le certificat d'identité qu'il reçoit pour les connexions téléphoniques TLS.

  • Aucun certificat d'identité n'est installé sur tous les téléphones SIP. Par conséquent, pour SIP, IP Office ne nécessite pas de certificat client de la part des téléphones SIP, mais uniquement de la part des lignes réseau SIP et SM.

Le certificat reçu est évalué comme suit :

  • Aucun : le certificat doit être à jour. Aucune vérification supplémentaire n'est effectuée.

  • Niveau faible : comme ci-dessus mais également :

    • Vérifiez que la clé publique du certificat est de 1 024 bits ou plus.

  • Moyen : comme ci-dessus, mais également :

    • Vérifiez qu'il existe une chaîne de confiance entre le magasin de certificats approuvés (TCS) et l'autorité de certification (AC) racine.

    • Pour IP Office version 11.1.3 et supérieur :

      • Vérifiez que le certificat a une utilisation de clé définie.

      • Si le certificat a étendu les paramètres d'utilisation des clés, vérifiez qu'ils correspondent à l'objectif pour lequel le certificat est utilisé.

      • Vérifiez que le certificat n'inclut pas de poste inconnu marqué comme critique.

      • Remarque : pour les systèmes mis à niveau vers la version 11.1.3, ces vérifications supplémentaires ne sont utilisées qu'après la modification du paramètre existant. Par exemple, passer de Moyen à Haut puis revenir à Moyen. Avaya recommande de sauvegarder la configuration avant d'effectuer toute modification.

  • Haut : ce paramètre permet la mise en œuvre d'un domaine de confiance strict où seuls les certificats connus sont acceptés. Il s'agit d'une forme d'« épinglage de certificat » qui permet de contourner la limitation de l'infrastructure à clé publique (ICP) à structure arborescente standard, où tous les certificats émis par l'autorité de certification racine sont toujours approuvés. Haut utilise les mêmes vérifications que Moyen plus :

    • Vérifiez que la clé publique du certificat est de 2 048 bits ou plus.

    • Vérifiez que le certificat n'est pas un certificat auto-signé.

    • Non reflété.

    • Vérifiez qu'il y a une copie du certificat dans le magasin de certificats approuvés du système IP Office.

  • Vérifications moyennes + distantes : utilisez les mêmes vérifications que Moyen plus les éléments suivants :

    • Effectuez la validation du nom d'hôte en vérifiant que l'une des entrées SAN correspond au FQDN de la connexion. Si nécessaire, l'entrée SAN utilisée peut être une adresse IP.

    • Pour SIP, vérifiez que la source du certificat fait autorité pour le domaine SIP, conformément à la norme RFC5922.

  • Vérifications élevées + distantes : utilisez les mêmes vérifications que Haut plus les mêmes vérifications additionnelles que Vérifications moyennes + distantes.

Niveau de sécurité H.323

Par défaut = Haut (Moyen pour les systèmes IP500 et les systèmes mis à niveau vers les versions 11.1.3 ou ultérieures).

Définit la résistance minimale de chiffrement acceptée par IP Office sur les connexions TLS pour les téléphones et lignes réseau H.323. Non utilisé pour les clients où les chiffrements sont activés et choisis en fonction de ceux proposés par le serveur TLS.

  • Ce paramètre remplace le NUSN CIPHER_LEVELS_H232 utilisé par les systèmes 11.1.2.x.

  • Pour plus d'informations, reportez-vous au manuel AvayaDirectives de sécurité d' IP Office™ Platform.

  • Niveau faible (0) : accepte les chiffrements de faible, moyenne et haute résistance. De faible et moyenne résistance sur les systèmes IP500 V2.

  • Moyen (1) : accepte les chiffrements de moyenne et haute résistance. De moyenne résistance sur les systèmes IP500 V2.

  • Haut (2) : accepte les chiffrements de haute résistance. Non pris en charge pour les systèmes IP500 V2.

    • Pour obtenir la liste des chiffrements, rendez-vous sur AvayaDirectives de sécurité d' IP Office™ Platform.

    • Les chiffrements de haute résistance sont des chiffrements GCM. Ceux-ci ne sont pris en charge par aucun modèle de système IP500 V2.

Niveau de sécurité SIP

Par défaut = Haut (Moyen pour les systèmes IP500 V2 et les systèmes mis à niveau vers les versions 11.1.3 ou ultérieures).

Définit la résistance minimale de chiffrement acceptée par IP Office sur les connexions TLS pour les téléphones et lignes réseau SIP. Non utilisé pour les clients où les chiffrements sont activés et choisis en fonction de ceux proposés par le serveur TLS.

  • Ce paramètre remplace le NUSN CIPHER_LEVELS_SIP utilisé par les systèmes 11.1.2.x.

  • Pour plus d'informations, reportez-vous au manuel AvayaDirectives de sécurité d' IP Office™ Platform.

  • Niveau faible (0) : accepte les chiffrements de faible, moyenne et haute résistance. De faible et moyenne résistance sur les systèmes IP500 V2.

  • Moyen (1) : accepte les chiffrements de moyenne et haute résistance. De moyenne résistance sur les systèmes IP500 V2.

  • Haut (2) : accepte les chiffrements de haute résistance. Non pris en charge pour les systèmes IP500 V2.

    • Pour obtenir la liste des chiffrements, rendez-vous sur AvayaDirectives de sécurité d' IP Office™ Platform.

    • Les chiffrements de haute résistance sont des chiffrements GCM. Ceux-ci ne sont pris en charge par aucun modèle de système IP500 V2.

Magasin de certificats approuvés

Cette section affiche une liste des certificats en attente dans le magasin de certificats approuvés du système et autorise la gestion de ces certificats. Jusqu'à 25 certificats X.509v3 peuvent être placés dans le magasin.

Lors de l'ajout d'un certificat, la source peut être :

  • Magasin de certificats de l'utilisateur actuel.

  • Magasin de certificats de l'ordinateur local.

  • Un fichier est disponible dans l'un des formats suivants :

    • PEM (.cer)

    • PEM protégé par mot de passe (.cer)

    • DER (.cer)

    • DER protégé par mot de passe (.cer)

  • Collé à partir du presse-papiers au format PEM, comprenant le texte de l'en-tête et du pied de page.

    Cette méthode doit être utilisée pour les fichiers PKCS#12 (.pfx). Sélectionnez Coller depuis le Presse-papier puis copiez le texte du certificat dans la fenêtre de saisie du texte du certificat.

Paramètres SCEP

Ces paramètres sont utilisés pour les systèmes de sites qui sont sous gestion centralisée via SMGR.

Le Protocole d'adhésion du certificat simple (SCEP) est un protocole destiné à faciliter l'émission des certificats dans un réseau dans lequel de nombreux services utilisent des certificats. Plutôt que d'avoir à administrer individuellement le certificat utilisé par chaque dispositif, les dispositifs peuvent être configurés de manière à demander un certificat à l'aide de SCEP.

Ces paramètres sont normalement définis lors de la configuration initiale du système.

Champ

Description

Actif

Par défaut = Désactivé.

Intervalle de requête (secondes)

Par défaut = 120 secondes. Plage = 5 à 3 600 secondes.

Adresse IP/nom du serveur SCEP

Par défaut = Vierge.

Port du serveur SCEP

Par défaut = 80 pour HTTP et 443 pour HTTPS.

URI SCEP

Par défaut = /ejbca/publicweb/apply/scep/pkiclient.exe

Mot de passe SCEP

Par défaut = Vierge.
Related information
Système