Certificados

Última atualização : Apr 26, 2024 |

Informações adicionais de configuração

Para obter mais informações sobre os certificados, consulte Gerenciamento de certificados.

Dependendo das configurações do serviço que estiver sendo utilizado para a conexão, os serviços entre o sistema e os aplicativos podem exigir a troca de certificados de segurança. O sistema pode gerar seu próprio certificado autoassinado ou usar certificados de uma origem confiável que possa ser carregada.

Certificado de identidade

Essas configurações estão relacionadas ao certificado X.509v3 que o sistema usa para se identificar ao estabelecer conexão com outro dispositivo usando TLS. Por exemplo, um PC executando o IP Office Manager definido como Comunicações seguras.

O certificado do sistema é anunciado (usado) por serviços que têm o Nível de segurança de serviço configurado com outro valor que não Somente não seguro.

Por padrão, cada servidor IP Office fornece um certificado autogerado quando o sistema é instalado pela primeira vez. No entanto, o certificado também pode vir de outras fontes:

  • Um certificado alternativo de identidade para o sistema adicionado usando o botão Definir.

    • Para servidores secundários, de expansão e de aplicativos, pode ser um certificado de identidade gerado para o respectivo servidor nos menus do Web Control do servidor principal.

  • É possível selecionar Gerenciamento automático de certificados para sistemas no modo por assinatura. Em seguida, COM fornece automaticamente ao sistema um certificado de identidade e atualizações de certificado adequados.

Campo

Descrição

Oferecer certificado

Padrão = Ativo.

Esse é um valor fixo somente para fins de indicação. Isso define se o sistema oferecerá um certificado na troca TLS.

Cadeia de certificado do ID da oferta

Padrão = Ativo

Quando ativado, o IP Office anuncia uma cadeia de certificados durante o estabelecimento da sessão TLS.

  • A cadeia de certificados começa com o certificado de identidade do sistema

  • Em seguida, ele adiciona qualquer certificado encontrado em seu repositório de certificados confiáveis com o mesmo Common Name no campo “Issued By” Subject Distinguished Name.

  • Se o certificado da AC raiz for encontrado no repositório de certificados confiáveis, ele também é incluído na cadeia de certificados.

  • A cadeia de certificados é compatível com até seis certificados.

Emitido para

Padrão = Certificado de identidade do IP Office.

Apenas para informação. O nome comum do emissor do certificado.

Aviso de expiração do certificado (dias)

Padrão = 60, Intervalo = 30 a 180

O IP Office Manager pode exibir um aviso quando o certificado de segurança de um sistema está prestes a expirar. Essa configuração é usada para definir o gatilho para os avisos sobre certificado.

As configurações a seguir são exibidas apenas para sistemas no modo por assinatura. Elas permitem que o COM forneça seu certificado de identidade ao sistema e atualize automaticamente o certificado quando necessário.

Campo

Descrição

Gerenciamento automático de certificados

Padrão = Desabilitado

Compatível apenas com sistemas no modo por assinatura. Quando ativado, o sistema usa um certificado de identidade fornecido pelo COM juntamente com uma cópia do certificado raiz do COM. A manutenção e renovação do certificado de identidade e de sua cadeia de confiança são realizadas automaticamente.

Origem dos detalhes do SAN

Caso o certificado de identidade emitido para o sistema pelo COM precise incluir qualquer valor de nome alternativo de assunto específico do local, é possível usar esse campo para definir esses valores.

  • Migrar do certificado de identificação existente - ao gerar um novo certificado para o sistema, use os detalhes de SAN de seu certificado de identidade existente.

  • Gerar com base na configuração atual de LAN - ao gerar um novo certificado, crie os detalhes de SAN com base nas configurações existentes de LAN e SIP do sistema.

Provisionamento automático de telefone

Padrão = Ativado

Essa opção adicional é compatível ao usar o Gerenciamento automático de certificados. Quando ativado, os certificados de telefone em telefones compatíveis com download de certificado são automaticamente atualizados quando o certificado de identidade do sistema é atualizado.

  • Telefones novos e padrão obtêm o certificado usando a confiança normal no primeiro processo de uso.

  • Quando há uma atualização, o arquivo 46xxsettings.txt é atualizado para incluir detalhes de ambos os certificados. Após uma reinicialização, os telefones buscam o novo certificado usando os detalhes do certificado antigo.

É possível usar as seguintes configurações para gerenciar o certificado de identidade atual.

Campo

Descrição

Definir

O uso de Definir permite carregar um certificado de identidade e sua chave privada associada.

  • Esse controle não é exibido para sistemas no modo por assinatura usando o Gerenciamento automático de certificados.

O IP Office é compatível com:

  • chaves RSA de 1.024, 2.048 e 4.096 bits. O uso de chaves RSA 4096 pode afetar o desempenho do sistema.

  • Algoritmos de assinatura SHA-1, SHA-256, SHA-384 e SHA-512. Usar um tamanho de assinatura maior que SHA-256 poderá impactar o desempenho do sistema.

A origem pode ser:

  • Armazenamento de certificados de usuário atual.

  • Armazenamento de certificados de computador local.

  • Arquivo no formato PKCS#12.

    • Colado da área de transferência em formato PEM, incluindo texto de cabeçalho e rodapé. Esse método deve ser usado com arquivos PEM (.cer) e em arquivos PEM protegidos por senha (.cer). O certificado de identidade requer um certificado e uma chave privada. O formato CER não contém a chave privada. Para esses tipos de arquivo, selecione Colar da área de transferência e copie o texto do certificado e da chave privada na janela Captura de texto de certificado.

Uso de um arquivo como fonte do certificado

No Manager, ao usar a opção de arquivo, o arquivo importado (.p12, .pfx ou .cer) só pode conter os dados de chave privada e certificado de identidade. Ele não pode conter certificados da AC intermediária adicionais ou o certificado da AC raiz. É necessário importar os certificados de CA intermediária ou o certificado de CA raiz separadamente para o repositório de certificados confiáveis do IP Office. Isso não se aplica ao Web Manager.

Nota:

O Web Manager não aceita o arquivo do tipo CER com extensão .cer. Esse tipo de arquivo só pode ser usado no Manager.

Exibir

Exibe detalhes do certificado de identidade atual. Também é possível usar o menu de exibição de certificado para instalar o certificado (mas não sua chave privada) no repositório de certificados locais dos PCs de visualização. Isso pode ser usado pelo PC para conexão segura com o sistema ou para exportar o certificado do PC.

Regenerar

Esse comando gera um novo certificado de identidade:

  • Para sistemas que usam o próprio certificado de identidade autoassinado e gerado pelo sistema, esse comando gera uma substituição para o certificado de identidade atual.

  • Para sistemas no modo por assinatura, esse comando solicita um certificado de identidade de substituição do COM. Como alternativa, ele pode ser usado para solicitar um certificado de identidade para outro servidor.

Importante:

  • A operação de regeração leva até um minuto, tempo durante o qual o desempenho do sistema é afetado. Portanto, só execute essa ação durante uma janela de manutenção. A regeração ocorre depois que as configurações de segurança são salvas.

Quando clicada, a janela Regenerar certificado solicita a inserção dos valores na seguinte tabela.

Configuração

Descrição

Assinatura

Padrão = SHA256/RSA2048.

Selecione o algoritmo de assinatura e o comprimento da chave RSA a serem usados para o novo certificado de identidade autoassinado. As opções são SHA256/RSA2048 ou SHA1/RSA1024.

Nome do assunto

Padrão = Nenhum/a.

Especifica o nome comum para o assunto desse certificado. O assunto é a entidade final ou o sistema que é o proprietário do certificado (chave pública). Exemplo: ipoffice-0123456789AB.avaya.com. Se deixado em branco, utiliza um nome de entidade gerado pelo sistema.

Nome(s) alternativo(s) do assunto

Padrão = Nenhum/a.

Especifique qualquer valor de Nome alternativo do assunto (Subject Alternative Name, SAN) para incluir no certificado.

  • Cada entrada deve consistir em um prefixo, seguido por dois pontos e, em seguida, pelo valor. Os prefixos compatíveis são DNS, URI, IP, SRV e email.

  • É possível adicionar várias entradas, cada uma separada por vírgula. O campo de entrada tem um limite de até 511 caracteres.

  • Exemplo: DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com

Para máquina diferente

Padrão = desativado

Essa opção só é exibida para sistemas no modo por assinatura usando o Gerenciamento automático de certificados.

Quando selecionada, os detalhes de endereço do outro servidor e a duração do certificado (máximo de 825 dias) são solicitados. Após gerar o certificado, o navegador baixa automaticamente o arquivo de certificado.

Verificações de certificado

Campo

Descrição

Aviso de expiração do certificado (dias)

Padrão = 60. Intervalo = 30 a 180 dias.

Defina o número de dias antes da expiração de qualquer certificado armazenado, quando IP Office Manager, IP Office Web Manager e System Status Application exibirão avisos

Usar certificado diferente para telefonia SIP

Padrão = Nenhum/a.

As configurações possíveis são Nenhum/a, Troncos SIP ou Troncos SIP e SM, telefones SIP.

  • Quando definido como Nenhum/a, todas as comunicações de telefonia segura usam o certificado de identidade e as configurações padrão do sistema.

  • Quando definido para qualquer outra opção, exibe um conjunto extra de opções semelhante às exibidas para a seção Certificado de identidade. Podem ser usados para definir o certificado usado para comunicações seguras de telefonia. O certificado a ser usado é carregado para o repositório de certificados do sistema usando o botão Definir.

Verificações Recebidas de Certificado (Gerenciamento de Interface)

Padrão = Nenhum/a.

Essa configuração é usada para conexões de administração HTTPS/TLS com o sistema por aplicativos, como IP Office Manager quando o Nível de segurança de serviço do serviço que está sendo usado estiver definido como Alto.

O certificado recebido é testado como segue:

  • Nenhum/a: o certificado precisa estar atualizado. Nenhuma verificação adicional é feita.

  • Baixo: conforme acima, mas também:

    • Verifique se a chave pública do certificado tem 1.024 bits ou mais.

  • Média: conforme acima, mas também:

    • Verifique se há uma cadeia de confiança do Repositório de certificado confiável (Trusted Certificate Store, TCS) para a autoridade de certificação (Certificate Authority, CA) raiz.

    • Para o IP Office R11.1.3 e superior:

      • Verifique se o certificado tem um uso de chave definido.

      • Se o certificado tiver configurações estendidas de uso de chave, verifique se elas correspondem à finalidade para a qual o certificado está sendo usado.

      • Verifique se o certificado não inclui nenhum ramal desconhecido marcado como crítico.

      • Obs.: para sistemas atualizados para a versão R11.1.3, essas verificações adicionais só serão usadas após a alteração da configuração existente. Por exemplo, alterado de Média para Alto e então de volta para Média. O Avaya recomenda fazer backup da configuração antes de fazer quaisquer alterações.

  • Alto: essa configuração permite a implementação de um domínio de confiança restrito no qual apenas certificados conhecidos são aceitos. Trata-se de uma forma de “fixação de certificado” e supera a limitação da estrutura padrão de árvore de PKI, na qual qualquer certificado emitido pela CA raiz sempre será confiável. O Alto usa as mesmas verificações que Média e também:

    • Verifique se a chave pública do certificado tem 2.048 bits ou mais.

    • Verifique se o certificado não é um certificado autoassinado.

    • Não refletido.

    • Verifique se há uma cópia do certificado no Repositório de certificados confiáveis do sistema IP Office.

  • Médio + verificações remotas: use as mesmas verificações que Média e também:

    • Execute a validação do nome do host verificando se uma das entradas SAN corresponde ao FQDN da conexão. Se necessário, a entrada SAN usada pode ser um endereço IP.

    • Para SIP, verifique se a origem do certificado é autorizada para o domínio SIP de acordo com a RFC5922.

  • Alto + verificações remotas: use as mesmas verificações que Alto e também as mesmas verificações adicionais que Médio + verificações remotas.

Verificações Recebidas de Certificado (pontos terminais de telefonia)

Padrão = Nenhum/a.

Essa configuração define como o IP Office valida o certificado de identidade que recebe para conexões de telefonia TLS.

  • Não há um certificado de identidade instalado em todos os telefones SIP. Portanto, para o SIP, o IP Office não requer um certificado do aplicativo de telefones SIP, mas somente de troncos SIP e SM.

O certificado recebido é testado como segue:

  • Nenhum/a: o certificado precisa estar atualizado. Nenhuma verificação adicional é feita.

  • Baixo: conforme acima, mas também:

    • Verifique se a chave pública do certificado tem 1.024 bits ou mais.

  • Média: conforme acima, mas também:

    • Verifique se há uma cadeia de confiança do Repositório de certificado confiável (Trusted Certificate Store, TCS) para a autoridade de certificação (Certificate Authority, CA) raiz.

    • Para o IP Office R11.1.3 e superior:

      • Verifique se o certificado tem um uso de chave definido.

      • Se o certificado tiver configurações estendidas de uso de chave, verifique se elas correspondem à finalidade para a qual o certificado está sendo usado.

      • Verifique se o certificado não inclui nenhum ramal desconhecido marcado como crítico.

      • Obs.: para sistemas atualizados para a versão R11.1.3, essas verificações adicionais só serão usadas após a alteração da configuração existente. Por exemplo, alterado de Média para Alto e então de volta para Média. O Avaya recomenda fazer backup da configuração antes de fazer quaisquer alterações.

  • Alto: essa configuração permite a implementação de um domínio de confiança restrito no qual apenas certificados conhecidos são aceitos. Trata-se de uma forma de “fixação de certificado” e supera a limitação da estrutura padrão de árvore de PKI, na qual qualquer certificado emitido pela CA raiz sempre será confiável. O Alto usa as mesmas verificações que Média e também:

    • Verifique se a chave pública do certificado tem 2.048 bits ou mais.

    • Verifique se o certificado não é um certificado autoassinado.

    • Não refletido.

    • Verifique se há uma cópia do certificado no Repositório de certificados confiáveis do sistema IP Office.

  • Médio + verificações remotas: use as mesmas verificações que Média e também:

    • Execute a validação do nome do host verificando se uma das entradas SAN corresponde ao FQDN da conexão. Se necessário, a entrada SAN usada pode ser um endereço IP.

    • Para SIP, verifique se a origem do certificado é autorizada para o domínio SIP de acordo com a RFC5922.

  • Alto + verificações remotas: use as mesmas verificações que Alto e também as mesmas verificações adicionais que Médio + verificações remotas.

Nível de segurança H.323

Padrão = Alto (Média para sistemas IP500 e sistemas atualizados para R11.1.3 ou superior).

Define a complexidade mínima de criptografia que o IP Office aceita em conexões TLS para telefones e troncos H.323. Não é usado para aplicativos nos quais as codificações sejam ativadas e escolhidas com base nas codificações oferecidas pelo servidor TLS.

  • Essa configuração substitui o NUSN CIPHER_LEVELS_H232 usado pelos sistemas R11.1.2.x.

  • Para ver mais detalhes, consulte o manual Diretrizes de segurança da plataforma Avaya IP Office.

  • Baixo (0): aceitar criptografia de baixa, média e alta complexidade. Baixa e média em sistemas IP500 V2.

  • Média (1): aceitar criptografia de média e alta complexidade. Média em sistemas IP500 V2.

  • Alto (2): aceitar criptografia de alta complexidade. Não compatível com sistemas IP500 V2.

    • Para uma lista de criptografias, consulte Diretrizes de segurança da plataforma Avaya IP Office.

    • As criptografias de alta complexidade são criptografias GCM. Elas não são compatíveis com nenhum modelo do sistema IP500 V2.

Nível de segurança SIP

Padrão = Alto (Média para sistemas IP500 V2 e sistemas atualizados para R11.1.3 ou posterior).

Define a complexidade mínima de criptografia que o IP Office aceita em conexões TLS para telefones e troncos SIP. Não é usado para aplicativos nos quais as codificações sejam ativadas e escolhidas com base nas codificações oferecidas pelo servidor TLS.

  • Essa configuração substitui o NUSN CIPHER_LEVELS_SIP usado pelos sistemas R11.1.2.x.

  • Para ver mais detalhes, consulte o manual Diretrizes de segurança da plataforma Avaya IP Office.

  • Baixo (0): aceitar criptografia de baixa, média e alta complexidade. Baixa e média em sistemas IP500 V2.

  • Média (1): aceitar criptografia de média e alta complexidade. Média em sistemas IP500 V2.

  • Alto (2): aceitar criptografia de alta complexidade. Não compatível com sistemas IP500 V2.

    • Para uma lista de criptografias, consulte Diretrizes de segurança da plataforma Avaya IP Office.

    • As criptografias de alta complexidade são criptografias GCM. Elas não são compatíveis com nenhum modelo do sistema IP500 V2.

Repositório de certificados confiáveis

Essa seção exibe uma lista dos certificados retidos no repositório de certificados confiáveis do sistema e permite o gerenciamento desses certificados. É possível colocar até 25 certificados X.509v3 no repositório.

Ao adicionar um certificado, a origem pode ser:

  • Armazenamento de certificados de usuário atual.

  • Armazenamento de certificados de computador local.

  • Um arquivo em um dos seguintes formatos:

    • PEM (.cer)

    • PEM protegido por senha (.cer)

    • DER (.cer)

    • DER protegido por senha (.cer)

  • Colado da área de transferência em formato PEM, incluindo texto de cabeçalho e rodapé.

    É necessário usar esse método para arquivos PKCS#12 (.pfx). Selecione Colar da área de transferência e, em seguida, copie o texto do certificado para a janela Captura de texto de certificado.

Configurações SCEP

Essas configurações são usadas para sistemas de ramificação que estão sob gerenciamento centralizado por meio do SMGR.

O Protocolo simples de registro de certificado (Simple Certificate Enrollment Protocol, SCEP) é um protocolo destinado a facilitar a emissão de certificados em uma rede onde vários dispositivos usam certificados. Em vez de administrar individualmente o certificado utilizado por cada dispositivo, esses dispositivos podem ser configurados para solicitar um certificado utilizando o SCEP.

Normalmente essas configurações são definidas durante a configuração inicial do sistema.

Campo

Descrição

Ativo

Padrão = Inativo.

Pedido de intervalo (s)

O padrão é = 120 segundos. Intervalo = 5 a 3600 segundos.

Endereço IP/nome do servidor SCEP

Padrão = em branco.

Porta do servidor SCEP

Padrão = 80 para HTTP e 443 para HTTPS.

URI do SCEP

Padrão = /ejbca/publicweb/apply/scep/pkiclient.exe

Senha de SCEP

Padrão = em branco.
Related information
Sistema