Certificati

Ultimo aggiornamento : Apr 26, 2024 |

Ulteriori informazioni sulla configurazione

Per ulteriori informazioni sui certificati, vedere Gestione certificati.

I servizi tra il sistema e l'applicazione potrebbero richiedere, in base alle impostazioni del servizio utilizzato per il collegamento, lo scambio di certificati di sicurezza. Il sistema può generare il certificato autofirmato o usare i certificati da un’origine affidabile.

Certificato di identità

Queste impostazioni si riferiscono al certificato X.509v3 che gli utenti del sistema identificano quando si connette un altro dispositivo mediante TLS. Ad esempio, un PC in esecuzione IP Office Manager impostato su Comunicazioni sicure.

Il certificato del sistema viene utilizzato dai servizi la cui opzione Livello di sicurezza del servizio è impostata su un valore diverso da Solo non protetto.

Per impostazione predefinita, ogni server IP Office fornisce un certificato generato alla prima installazione. Tuttavia, il certificato può provenire anche da altre origini:

  • Un certificato di identità alternativo per il sistema da aggiunto utilizzando il pulsante Imposta.

    • Per i server secondario, di espansione e applicazioni, può trattarsi di un certificato di identità generato per tale server dai menu di Web Control del server primario.

  • Per i sistemi in modalità di sottoscrizione, è possibile selezionare Gestione certificati automatica. COM fornisce automaticamente al sistema un certificato di identità appropriato e gli aggiornamenti dei certificati.

Campo

        Descrizione

Offri certificato

Impostazione predefinita = opzione attivata.

Valore fisso utilizzato solo a scopo informativo. Consente di impostare se il sistema offrirà un certificato nello scambio TLS.

Offri catena certificati ID

Impostazione predefinita = opzione attivata

Se abilitata, IP Office annuncia una catena di certificati durante l'impostazione della sessione TLS.

  • La catena di certificati inizia con il certificato di identità del sistema

  • Quindi, aggiunge eventuali certificati trovati nell'archivio certificati attendibili con lo stesso Common Name nell'apposito campo Subject Distinguished Name "Emesso da".

  • Se il certificato dell'autorità di certificazione radice è disponibile nell'archivio dei certificati attendibili, verrà incluso nella catena di certificati.

  • La catena di certificati segnalati supporta un massimo di sei certificati.

Emesso a

Impostazione predefinita = Certificato di identità di IP Office.

Solo a scopo informativo. Nome comune di chi ha emesso il certificato.

Giorni per l'avviso della scadenza certificato

Impostazione predefinita = 60, intervallo = da 30 a 180

IP Office Manager può generare un'avvertenza quando il certificato di protezione del sistema sta per scadere. Questa opzione viene utilizzata per configurare l'attivazione delle avvertenze relative ai certificati.

Le seguenti impostazioni vengono visualizzate solo per i sistemi in modalità di sottoscrizione. Consentono a COM di fornire al sistema il proprio certificato di identità e di aggiornare automaticamente il certificato quando richiesto.

Campo

        Descrizione

Gestione certificati automatica

Impostazione predefinita = Disabilitato

Non supportato nei sistemi in modalità sottoscrizione. Quando l'opzione è attivata, il sistema utilizza un certificato di identità fornito da COM insieme a una copia del certificato radice COM. La manutenzione e il rinnovo di certificato di identità e della relativa catena di attendibilità vengono eseguiti automaticamente.

Origine dettagli SAN

Se il certificato di identità emesso dal sistema da COM deve includere qualsiasi valore del nome alternativo dell'oggetto specifico della posizione, questo campo può essere utilizzato per definire tali valori.

  • Migra da certificato ID esistente - Quando si genera un nuovo certificato per il sistema, utilizzare i dettagli SAN dal certificato di identità esistente.

  • Generare il modulo dalla configurazione LAN corrente - Quando si genera un nuovo certificato, creare i dettagli SAN dalle impostazioni LAN e SIP esistenti del sistema.

Provisioning automatico del telefono

impostazione predefinita = Abilitata

Questa opzione aggiuntiva è supportata quando si utilizza Gestione certificati automatica. Quando l'opzione è attivata, i certificati telefonici sui telefoni che supportano il download del certificato vengono aggiornati automaticamente quando il certificato di identità del sistema viene aggiornato.

  • I telefoni nuovi e predefiniti ottengono il certificato utilizzando il normale processo di attendibilità al primo utilizzo.

  • Quando si verifica un aggiornamento, il file 46xxsettings.txt viene aggiornato per includere i dettagli di entrambi i certificati. Dopo il riavvio, i telefoni recuperano il nuovo certificato utilizzando i dettagli del vecchio certificato.

È possibile utilizzare le seguenti impostazioni per gestire il certificato di identità corrente.

Campo

        Descrizione

Imposta

L'utilizzo di Imposta consente di caricare un certificato di identità e la relativa chiave privata associata.

  • Questo controllo non viene visualizzato per i sistemi in modalità sottoscrizione che utilizzano Gestione certificati automatica.

IP Office supporta:

  • Chiavi RSA a 1024, 2048 e 4096 bit. L'utilizzo della chiave RSA a 4096 bit potrebbe influire sulle prestazioni del sistema.

  • Algoritmi della firma SHA-1, SHA-256, SHA-384 e SHA-512. L'utilizzo di una firma con dimensioni superiori a SHA-256 potrebbe influire sulle prestazioni del sistema.

La fonte può essere:

  • Archivio certificati utente corrente.

  • Archivio certificati del computer locale.

  • File in formato PKCS#12.

    • Incollata dagli Appunti in formato PEM, compreso il testo di intestazione e piè di pagina. È necessario utilizzare questo metodo per i file PEM (.cer) e PEM (.cer) protetti da password. Il certificato di identità richiede sia il certificato che la chiave privata. Il formato CER non contiene la chiave privata. Per questi tipi di file, selezionare Incolla dagli Appunti, quindi copiare il testo del certificato e il testo della chiave privata nella finestra Acquisisci testo certificato.

Utilizzo di un file come origine certificato

In Manager, quando si utilizza l'opzione file , il file importato (.p12, .pfx o .cer) può contenere solo i dati della chiave privata e del certificato di identità. Non può contenere certificati di autorità di certificazione intermedie o un certificato dell'autorità di certificazione radice. I certificati di autorità di certificazione intermedie o il certificato dell'autorità di certificazione radice devono essere importati separatamente nell'archivio dei certificati affidabili IP Office. Non si applica a Web Manager.

Nota:

Web Manager non accetta il file di tipo CER con estensione .cer. Tale tipo di file può essere utilizzato solo in Manager.

Visualizzazione

Consente di visualizzare i dettagli del certificato di identità corrente. Il menu di visualizzazione del certificato può essere utilizzato anche per installare il certificato (ma non la chiave privata) nell'archivio certificati locale del PC in visualizzazione. Può essere utilizzato dal PC per la connessione protetta al sistema o per esportare il certificato dal PC.

Rigenera

Questo comando genera un nuovo certificato di identità:

  • Per i sistemi che utilizzano il certificato di identità autofirmato generato dal sistema, questo comando genera una sostituzione per il certificato di identità corrente.

  • Per i sistemi in modalità di sottoscrizione, questo comando richiede un certificato di identità sostitutivo da COM. In alternativa, può essere utilizzato per richiedere un certificato di identità per un altro server.

Importante:

  • La rigenerazione richiede fino a un minuto, durante il quale le prestazioni del sistema vengono compromesse. Pertanto, eseguire questa azione solo durante una finestra di manutenzione. Il processo di rigenerazione ha inizio a seguito del salvataggio delle impostazioni di protezione.

Quando si fa clic, la finestra Rigenera certificato richiede di immettere i valori nella tabella seguente.

Impostazione

Descrizione

Firma

impostazione predefinita = SHA256/RSA2048.

Selezionare l'algoritmo della firma e la lunghezza della chiave RSA da utilizzare per il nuovo certificato di identità autofirmato. Le opzioni sono SHA256/RSA2048 o SHA1/RSA1024.

Nome oggetto

impostazione predefinita = Nessuno

Specifica un nome comune per il soggetto di questo certificato. Il soggetto è l'entità finale o il sistema che possiede il certificato (chiave pubblica). Esempio: ipoffice-0123456789AB.avaya.com. Se è vuoto, viene utilizzato un nome soggetto generato dal sistema.

Nomi alternativi oggetto

impostazione predefinita = Nessuno

Specificare i valori SAN (Subject Alternative Name) da includere nel certificato.

  • Ogni voce deve essere composta da un prefisso, seguito dai due punti e dal valore. I prefissi supportati sono DNS, URI, IP, SRV e email.

  • È possibile aggiungere più voci, ciascuna separata dalla virgola. La lunghezza massima del campo input è di 511 caratteri.

  • Esempio: DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com

Per macchine diverse

Impostazione predefinita = opzione disattivata

Questa opzione viene visualizzata solo per i sistemi in modalità sottoscrizione che utilizzano Gestione certificati automatica.

Se selezionata, vengono richiesti i dettagli dell'indirizzo dell'altro server e la durata del certificato (massimo 825 giorni). Dopo aver generato il certificato, il browser scarica automaticamente il file del certificato.

Controlli certificati

Campo

        Descrizione

Giorni per l'avviso della scadenza certificato

Impostazione predefinita = 60. Intervallo = da 30 a 180 giorni.

Impostare il numero di giorni che precedono la scadenza di qualsiasi certificato memorizzato in cui IP Office Manager, IP Office Web Manager e System Status Application visualizzeranno gli avvisi

Utilizza un certificato diverso per la telefonia SIP

impostazione predefinita = Nessuno

Le impostazioni possibili sono Nessuno/a, Trunk SIP o Linee SM e SIP, telefoni SIP.

  • Se l'opzione è impostata su Nessuno/a, tutte le comunicazioni protette utilizzano il certificato di identità predefinito del sistema e le relative impostazioni.

  • Se si imposta un'altra opzione, viene visualizzato un ulteriore set di opzioni simili a quelle mostrate per la sezione Certificato di identità. Possono essere utilizzate per definire il certificato utilizzato per le comunicazioni di telefonia protetta. Il certificato da utilizzare è caricato nell'archivio certificati del sistema mediante il pulsante Imposta.

Verifiche del certificato ricevuto (interfacce di gestione)

Impostazione predefinita = Nessuno.

Questa impostazione viene utilizzata per le connessioni dell'amministrazione HTTPS/TLS al sistema da parte delle applicazioni come IP Office Manager, quando la funzione Livello di sicurezza del servizio del servizio utilizzato è impostata su Alta.

Il certificato ricevuto sarà verificato come segue:

  • Nessuno/a - Il certificato deve essere aggiornato. Non vengono effettuati ulteriori controlli.

  • Bassa - Come sopra, ma anche:

    • Verificare che la chiave pubblica del certificato sia di 1024 bit o superiore.

  • Media - Come sopra, ma anche:

    • Verificare la presenza di una catena di attendibilità dall'archivio dei certificati attendibili (TCS) all'autorità di certificazione (CA) radice.

    • Per versione IP Office R11.1.3 e successive:

      • Verificare che nel certificato sia stato definito l'utilizzo di una chiave.

      • Se il certificato dispone di impostazioni di utilizzo chiave estese, verificare che corrispondano allo scopo per cui viene utilizzato il certificato.

      • Verificare che il certificato non includa interni sconosciuti contrassegnati come critici.

      • Nota: per i sistemi aggiornati alla versione 11.1.3, questi controlli aggiuntivi vengono utilizzati solo dopo la modifica dell'impostazione esistente. Ad esempio, modificato da Media a Alta e quindi di nuovo in Media. Avaya Si consiglia di eseguire il backup della configurazione prima di apportare modifiche.

  • Alta: questa impostazione consente l'implementazione di un dominio di attendibilità rigido in cui vengono accettati solo i certificati noti. Si tratta di una forma di "ancoraggio del certificato" che supera la limitazione della struttura ad albero standard PKI in cui tutti i certificati emessi dalla CA radice sono sempre attendibili. Alta utilizza gli stessi controlli di Media oltre a:

    • Verificare che la chiave pubblica del certificato sia di 2048 bit o superiore

    • Verificare che il certificato non sia autofirmato.

    • Non sia riflessa.

    • Verificare che sia presente una copia del certificato nell'archivio dei certificati attendibili del sistema IP Office.

  • Medio + Controlli remoti: utilizzare gli stessi controlli di Media più quanto segue:

    • Eseguire la convalida del nome host verificando che una delle voci SAN corrisponda all'FQDN della connessione. Se necessario, la voce SAN utilizzata può essere un indirizzo IP.

    • Per SIP, verificare che l'origine del certificato sia autorevole per il dominio SIP in base a RFC5922.

  • Alto + Controlli remoti: utilizzare gli stessi controlli di Alta più gli stessi controlli aggiuntivi di Medio + Controlli remoti.

Controlli certificati ricevuti (terminali telefonia)

Impostazione predefinita = Nessuno.

Questa impostazione consente di configurare il modo in cui IP Office convalida il certificato di identità ricevuto per le connessioni di telefonia TLS.

  • Un certificato di identità non è installato in tutti i telefoni SIP. Pertanto, per SIP, IP Office non richiede un certificato client ai telefoni SIP, ma solo ai trunk SIP e SM.

Il certificato ricevuto sarà verificato come segue:

  • Nessuno/a - Il certificato deve essere aggiornato. Non vengono effettuati ulteriori controlli.

  • Bassa - Come sopra, ma anche:

    • Verificare che la chiave pubblica del certificato sia di 1024 bit o superiore.

  • Media - Come sopra, ma anche:

    • Verificare la presenza di una catena di attendibilità dall'archivio dei certificati attendibili (TCS) all'autorità di certificazione (CA) radice.

    • Per versione IP Office R11.1.3 e successive:

      • Verificare che nel certificato sia stato definito l'utilizzo di una chiave.

      • Se il certificato dispone di impostazioni di utilizzo chiave estese, verificare che corrispondano allo scopo per cui viene utilizzato il certificato.

      • Verificare che il certificato non includa interni sconosciuti contrassegnati come critici.

      • Nota: per i sistemi aggiornati alla versione 11.1.3, questi controlli aggiuntivi vengono utilizzati solo dopo la modifica dell'impostazione esistente. Ad esempio, modificato da Media a Alta e quindi di nuovo in Media. Avaya Si consiglia di eseguire il backup della configurazione prima di apportare modifiche.

  • Alta: questa impostazione consente l'implementazione di un dominio di attendibilità rigido in cui vengono accettati solo i certificati noti. Si tratta di una forma di "ancoraggio del certificato" che supera la limitazione della struttura ad albero standard PKI in cui tutti i certificati emessi dalla CA radice sono sempre attendibili. Alta utilizza gli stessi controlli di Media oltre a:

    • Verificare che la chiave pubblica del certificato sia di 2048 bit o superiore

    • Verificare che il certificato non sia autofirmato.

    • Non sia riflessa.

    • Verificare che sia presente una copia del certificato nell'archivio dei certificati attendibili del sistema IP Office.

  • Medio + Controlli remoti: utilizzare gli stessi controlli di Media più quanto segue:

    • Eseguire la convalida del nome host verificando che una delle voci SAN corrisponda all'FQDN della connessione. Se necessario, la voce SAN utilizzata può essere un indirizzo IP.

    • Per SIP, verificare che l'origine del certificato sia autorevole per il dominio SIP in base a RFC5922.

  • Alto + Controlli remoti: utilizzare gli stessi controlli di Alta più gli stessi controlli aggiuntivi di Medio + Controlli remoti.

Livello di sicurezza H.323

Impostazione predefinita = Alta (Media per i sistemi IP500 e i sistemi aggiornati alla versione 11.1.3 o successive).

Imposta la potenza di cifratura minima accettata da IP Office sulle connessioni TLS per telefoni e linee H.323. Non utilizzato per i client in cui le cifrature sono abilitate e scelte in base a quelle offerte dal server TLS.

  • Questa impostazione sostituisce CIPHER_LEVELS_H232 NUSN utilizzato dai sistemi R11.1.2.x.

  • Per ulteriori dettagli, consultare il manuale Avaya IP Office™ Linee guida per la sicurezza di ™ Platform.

  • Bassa (0): accetta cifre a bassa, media e alta potenza. Bassa e media sui sistemi IP500 V2.

  • Media (1): accetta cifre a media e alta potenza. Media sui sistemi IP500 V2.

  • Alta (2): accetta cifre ad alta potenza. Non supportato per i sistemi IP500 V2.

    • Per un elenco di cifre, vedere Avaya IP Office™ Linee guida per la sicurezza di ™ Platform.

    • Le cifre ad alta resistenza sono cifre GCM. Queste cifre non sono supportate da alcun modello di sistema IP500 V2.

Livello di sicurezza SIP

Impostazione predefinita = Alta (Media per i sistemi IP500 V2 e i sistemi aggiornati alla versione R11.1.3 o successive).

Imposta la complessità di cifratura minima accettata da IP Office sulle connessioni TLS per i telefoni e le linee SIP. Non utilizzato per i client in cui le cifrature sono abilitate e scelte in base a quelle offerte dal server TLS.

  • Questa impostazione sostituisce il CIPHER_LEVELS_SIP NUSN utilizzato dai sistemi R11.1.2.x.

  • Per ulteriori dettagli, consultare il manuale Avaya IP Office™ Linee guida per la sicurezza di ™ Platform.

  • Bassa (0): accetta cifre a bassa, media e alta potenza. Bassa e media sui sistemi IP500 V2.

  • Media (1): accetta cifre a media e alta potenza. Media sui sistemi IP500 V2.

  • Alta (2): accetta cifre ad alta potenza. Non supportato per i sistemi IP500 V2.

    • Per un elenco di cifre, vedere Avaya IP Office™ Linee guida per la sicurezza di ™ Platform.

    • Le cifre ad alta resistenza sono cifre GCM. Queste cifre non sono supportate da alcun modello di sistema IP500 V2.

Archivio certificati affidabili

In questa sezione viene riportato un elenco di certificati contenuto nell'archivio dei certificati attendibili del sistema e permette la gestione dei certificati. È possibile inserire fino a 25 certificati X.509v3 nell'archivio.

Quando si aggiunge un certificato, l'origine può essere:

  • Archivio certificati utente corrente.

  • Archivio certificati del computer locale.

  • File in uno dei seguenti formati:

    • PEM (.cer)

    • PEM (.cer) protetto da password

    • DER (.cer)

    • DER (.cer) protetto da password

  • Incollata dagli Appunti in formato PEM, compreso il testo di intestazione e piè di pagina.

    È necessario utilizzare questo metodo per i file PKCS#12 (.pfx). Selezionare Incolla dagli Appunti, quindi copiare il testo del certificato nella finestra Acquisisci testo certificato.

Impostazioni SCEP

Queste impostazioni vengono utilizzate per i sistemi Branch gestiti centralmente tramite SMGR.

Il Simple Certificate Enrollment Protocol (SCEP) è un protocollo inteso a semplificare l'emissione di certificati in una rete con presenza di diversi dispositivi che utilizzano certificati. Piuttosto di gestire singolarmente il certificato utilizzato da ogni dispositivo, i dispositivi possono essere configurati affinché richiedano un certificato mediante SCEP.

Queste impostazioni vengono normalmente impostate durante la configurazione iniziale del sistema.

Campo

        Descrizione

Attivo

Impostazione predefinita = opzione disattivata.

Intervallo di richiesta (secondi)

impostazione predefinita = 120 secondi. Intervallo = da 5 a 3.600 secondi.

Nome/indirizzo IP server SCEP

Impostazione predefinita = Vuoto.

Porta del server SCEP.

impostazione predefinita = 80 per HTTP e 443 per HTTPS.

URI SCEP

Impostazione predefinita = /ejbca/publicweb/apply/scep/pkiclient.exe

Password SCEP

Impostazione predefinita = Vuoto.
Related information
Sistema