AVAYA DOCUMENTATION CENTER
Find answers to your technical questions and learn how to use our products
Amministrazione di Avaya IP Office usando Manager
Panoramica sui certificati
La crittografia a chiave pubblica rappresenta uno dei metodi per il mantenimento di un ambiente di rete affidabile. Il certificato a chiave pubblica (noto anche come certificato digitale o certificato di identità) è un documento elettronico utilizzato per comprovare la proprietà di una chiave pubblica. Il certificato contiene informazioni sulla chiave e sull'identità del proprietario, nonché la firma digitale di un'entità che ha verificato la correttezza dei contenuti del certificato. Se la firma è valida e la persona che esamina il certificato riconosce come autentico il firmatario, tale persona sa che può utilizzare quella chiave per comunicare con il relativo proprietario.
Il sistema utilizzato per la fornitura dei servizi di crittografia a chiave pubblica e firma digitale è denominato infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). Tutti gli utenti di una PKI dispongono di un'identità registrata, memorizzata in formato digitale e denominata certificato di identità. Le autorità di certificazione sono le persone, i processi e gli strumenti che creano queste identità digitali e collegano i nomi utente alle chiavi pubbliche.
Esistono due tipi di autorità di certificazione (CA): le autorità di certificazione radice e le autorità di certificazione intermedie. Ai fini del riconoscimento dell'attendibilità di un certificato e dell'instaurazione di una connessione protetta, è necessario che tale certificato sia stato emesso da una CA inclusa nell'archivio dei certificati attendibili del dispositivo che sta effettuando la connessione. Se il certificato non è stato emesso da una CA attendibile, il dispositivo in fase di connessione verifica se il certificato della CA di emissione è stato emesso da una CA attendibile e così via, fino a individuare una CA attendibile. L'archivio dei certificati attendibili di ciascun dispositivo nella PKI deve contenere le catene di certificati richieste per la convalida.
Autorità di certificazione radice di IP Office
IP Office genera un certificato autofirmato. Per i sistemi IP500 V2 viene generato automaticamente un certificato al primo avvio. Nei sistemi Linux viene generato un certificato durante il processo di attivazione.
Le entità indicate di seguito possono agire in qualità di autorità di certificazione.
Il server primario Server Edition, un server applicazioni o un modulo UCM (Unified Communication Module) può agire in qualità di autorità di certificazione radice per tutti i nodi del sistema.
Nelle implementazioni Enterprise Branch System Manager può agire in qualità di autorità di certificazione radice.
I certificati di identità possono essere acquistati ed emessi anche da un'autorità di certificazione di terze parti.
Indipendentemente dal metodo utilizzato per la fornitura dell'identità di IP Office, l'autorità di certificazione che firma il certificato di identità di IP Office deve essere considerata attendibile da tutti i client e i terminali che hanno necessità di stabilire una connessione protetta con IP Office. È necessario far parte della PKI. Pertanto, occorre scaricare il certificato dell'autorità di certificazione radice nei dispositivi client e inserirlo nell'archivio dei certificati attendibili. Se sono presenti autorità di certificazione intermedie nella catena di certificati, è necessario aggiungere le autorità di certificazione intermedie all'archivio dei certificati attendibili del dispositivo client oppure IP Office deve segnalare la catena di certificati nella procedura TLS Exchange iniziale.
Certificati e TLS
La segnalazione mediante telefonia, come la messaggistica SIP, prevede una protezione tramite TLS (Transport Layer Security). TLS garantisce la sicurezza delle comunicazioni tramite certificati per l'autenticazione dell'altra estremità del collegamento IP.
Lo scambio di messaggi in TLS è finalizzato alla verifica dell'identità degli interlocutori e alla definizione delle chiavi che verranno utilizzate per la codifica dei dati di segnalazione tra le due parti. Generalmente, il server invia il proprio certificato di identità, autofirmato o firmato dall'autorità di certificazione, al client. Il client deve disporre del certificato dell'autorità di certificazione nel proprio archivio dei certificati attendibili.
IP Office funge da server TLS nelle proprie interazioni con i client di telefonia SIP. Ciò significa che occorre configurare l'applicazione TLS su IP Office per l'ascolto delle connessioni client mediante l'abilitazione di TLS nel registro SIP, sulle interfacce LAN1 e LAN2.
Nota:
L'autenticazione del certificato del client da parte del server non è un requisito. IP Office non supporta la convalida del certificato del client per tutti i tipi di terminale SIP.
Il telefono E.129 non convalida il certificato di identità di IP Office.