Сертификаты

Last Updated : Aug 02, 2024 |

Дополнительные сведения о конфигурации

Дополнительные сведения о конфигурации см. в разделе Управление сертификатами.

Службы между системой и приложениями могут, в зависимости от настроек службы, используемой для подключения, требовать обмена сертификатами безопасности. Система может либо создать самозаверяющий сертификат, либо загрузить сертификаты из доверенного источника.

Сертификат удостоверения

Эти параметры относятся к сертификату X.509v3, который пользователи системы используют для идентификации при подключении другого устройства с использованием протокола TLS. Например, на ПК с установленным IP Office Manager задается значение Безопасные подключения.

Сертификат системы объявляется (используется) службами, у которых параметр Уровень безопасности службы имеет значение, отличное от Только незащищенный.

По умолчанию каждый сервер IP Office предоставляет самостоятельно подписанный сертификат, который создается во время первой установки системы. Однако сертификат также может предоставляться другими источниками:

  • Альтернативный сертификат удостоверения для системы, добавленный с помощью кнопки Настроить.

    • Для дополнительных серверов, серверов расширения и приложений это может быть сертификат удостоверения, созданный для этого сервера из меню веб-управления основного сервера.

  • Для систем в режиме подписки можно выбрать Автоматическое управление сертификатами. Затем COM автоматически предоставляет системе соответствующий сертификат удостоверения и обновления сертификатов.

Поле

Описание

Предлагать сертификат

По умолчанию = вкл.

Это фиксированное значение только для индикации. Этот параметр определяет, будет ли система предлагать сертификат при обмене данными TLS.

Предлагать цепочку сертификатов удостоверения

По умолчанию = вкл.

Если этот параметр включен, IP Office объявляет цепочку сертификатов во время установки сеанса TLS.

  • Цепочка сертификатов начинается с сертификата удостоверения системы

  • Затем к нему добавляются все сертификаты с тем же значением Common Name в поле Subject Distinguished Name «Кем выдан», найденные в хранилище доверенных сертификатов.

  • Если корневой сертификат центра сертификации найден в хранилище доверенных сертификатов, он также включается в цепочку сертификатов.

  • В цепочке сертификатов поддерживается не более шести сертификатов.

Назначение сертификата

По умолчанию = сертификат удостоверения IP Office.

Служит только для информации. Общее имя издателя сертификата.

Дней до истечения периода действия сертификата, когда следует отправить предупреждение

По умолчанию = 60, диапазон = 30–180

IP Office Manager выводит предупреждение, если период действия сертификата безопасности системы скоро истечет. Этот параметр используется для настройки активации предупреждений для сертификата.

Следующие параметры отображаются только для систем в режиме подписки. Они позволяют COM предоставлять системе сертификат удостоверения и при необходимости автоматически обновлять сертификат.

Поле

Описание

Автоматическое управление сертификатами

По умолчанию = отключено

Поддерживается только для систем в режиме подписки. Если этот параметр включен, система использует сертификат удостоверения, предоставляемый COM, вместе с копией корневого сертификата COM. Обслуживание и обновление этого сертификата удостоверения и его цепочки доверия выполняются автоматически.

Исходные сведения SAN

Если сертификат удостоверения системы, выданный COM, должен включать какие-либо значения альтернативного имени субъекта для конкретного местоположения, это поле можно использовать для определения этих значений.

  • Перенести из существующего сертификата удостоверения — при создании нового сертификата для системы используйте сведения SAN из существующего сертификата удостоверения.

  • Создать из текущей конфигурации локальной сети (LAN) — при создании нового сертификата создайте сведения SAN из существующих настроек локальной сети и SIP системы.

Автоматическая подготовка телефона

По умолчанию = вкл.

Этот дополнительный параметр поддерживается при использовании Автоматическое управление сертификатами. Если этот параметр включен, сертификаты телефонов, поддерживающих скачивание сертификатов, автоматически обновляются при обновлении сертификата удостоверения системы.

  • Новые телефоны и телефоны по умолчанию получают сертификат при первом использовании с помощью обычного доверия.

  • При обновлении файл 46xxsettings.txt обновляется и включает сведения об обоих сертификатах. После перезапуска телефоны извлекают новый сертификат, используя сведения о старом сертификате.

Для управления текущим сертификатом удостоверения можно использовать следующие параметры.

Поле

Описание

Настроить

Использование Настроить позволяет загрузить сертификат удостоверения и связанный с ним закрытый ключ.

  • Этот элемент управления не отображается для систем в режиме подписки, использующих Автоматическое управление сертификатами.

IP Office поддерживает:

  • 1024, 2048 и 4096-битные ключи RSA. Использование 4096-битного ключа RSA может повлиять на производительность системы.

  • Алгоритмы подписи SHA-1, SHA-256, SHA-384 и SHA-512. Использование размера подписи, превышающего SHA-256, может повлиять на производительность системы.

Источником может быть:

  • Хранилище сертификатов текущего пользователя.

  • Хранилище сертификатов локальной машины.

  • Файл в формате PKCS#12.

    • Вставленные из буфера обмена данные в формате PEM, включая текст верхнего и нижнего колонтитула. Данный метод должен использоваться для файлов в формате PEM (.cer) и формате PEM (.cer) с защищенным паролем. Для сертификата удостоверения необходим как сертификат, так и закрытый ключ. Формат CER не содержит закрытый ключ. Для этих типов файлов выберите Вставить из буфера обмена, а затем скопируйте текст сертификата и закрытый ключ в окно «Захват текста сертификата».

Использование файла в качестве источника сертификата

В Manager при использовании этого параметра файла импортированный файл (.p12, .pfx или .cer) может содержать только данные закрытого ключа и сертификата удостоверения. Он не может содержать дополнительные промежуточные сертификаты CA или сертификат Root CA. Промежуточные или корневые сертификаты центра сертификации должны импортироваться отдельно в хранилище доверенных сертификатов IP Office. Не применяется к Web Manager.

Примечание:

Web Manager не принимает файл типа CER с внутренним номером .cer. Этот тип файла может использоваться только в Manager.

Просмотреть

Отображает сведения о текущем сертификате удостоверения. Меню представления сертификата также может использоваться для установки сертификата (но не его закрытого ключа) в локальное хранилище сертификатов ПК. Он может использоваться ПК для безопасного подключения к системе или экспорта сертификата из ПК.

Создать повторно

Эта команда создает новый сертификат удостоверения:

  • Для системы, использующей собственный самозаверяющий сертификат удостоверения, эта команда заменяет текущий сертификат удостоверения.

  • Для систем в режиме подписки эта команда запрашивает у COM сертификат удостоверения на замену. Кроме того, ее можно использовать, чтобы запросить сертификат удостоверения для другого сервера.

Важно:

  • Повторное создание занимает до одной минуты. В течение этого времени снижается производительность системы. Поэтому выполняйте это действие только в периоды запланированного обслуживания. Повторное создание осуществляется после сохранения параметров безопасности.

При щелчке этого параметра в окне Создать сертификат CA повторно появится запрос на ввод значений в следующей таблице.

Настройка

Описание

Подпись

По умолчанию = SHA256/RSA2048.

Выберите алгоритм подписи и длину ключа RSA для использования в новом самозаверяющем сертификате удостоверения. Доступны варианты SHA256/RSA2048 и SHA1/RSA1024.

Имя субъекта

По умолчанию = нет

Указывает общее название для субъекта данного сертификата. Субъектом является конечный субъект или система, которая владеет сертификатом (открытым ключом). Например: ipoffice-0123456789AB.avaya.com. Если поле пустое, используется название субъекта, сгенерированное системой.

Альтернативные названия субъекта

По умолчанию = нет

Укажите значения для альтернативного названия субъекта (SAN), которые должны быть включены в сертификат.

  • Каждая запись должна состоять из префикса, двоеточия и значения. Поддерживаемые префиксы: DNS, URI, IP, SRV и email.

  • Можно добавить несколько записей, разделяя их запятыми. Максимальное количество символов в поле ввода — 511.

  • Пример: DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com.

Для другого компьютера

По умолчанию = выкл.

Этот параметр отображается только для систем в режиме подписки, использующих Автоматическое управление сертификатами.

Если выбран этот параметр, запрашиваются сведения об адресе другого сервера и продолжительность действия сертификата (не более 825 дней). После создания сертификата браузер автоматически скачает файл сертификата.

Проверки сертификатов

Поле

Описание

Дней до истечения периода действия сертификата, когда следует отправить предупреждение

по умолчанию = 60. Диапазон = от 30 до 180 дней.

Задает количество дней до истечения срока действия какого-либо сохраненного сертификата, в течении которых IP Office Manager, IP Office Web Manager и System Status Application будут отображать предупреждения

Использовать другой сертификат удостоверения для SIP-телефонии

По умолчанию = нет

Возможные параметры: Нет, Магистральные линии SIP или Магистральные линии SIP и SM, телефоны SIP.

  • Если установлен параметр Нет, во всех безопасных подключениях телефонной связи используется сертификат удостоверения и параметры системы по умолчанию.

  • Если выбран любой другой параметр, отображается дополнительный набор параметров, аналогичных отображаемым для раздела Сертификат удостоверения. Их можно использовать для определения сертификата, используемого для защищенной телефонной связи. Используемый сертификат загружается в хранилище сертификатов системы с помощью кнопки Настроить.

Проверки полученных сертификатов (интерфейсы управления)

По умолчанию = нет.

Этот параметр используется для административных подключений к системе таких приложений, как IP Office Manager, если Уровень безопасности службы используемой службы имеет значение Высокий.

Полученный сертификат проверяется следующим образом:

  • Нет — сертификат должен быть действующим. Дополнительные проверки не выполняются.

  • Низкий — как и выше, но также:

    • Убедитесь, что размер открытого ключа сертификата составляет не менее 1024 бит.

  • Средний — как и выше, но также:

    • Проверьте наличие доверенной цепи между хранилищем доверенных сертификатов (TCS) и корневым центром сертификации (CA).

    • Для IP Office версии 11.1.3 и более поздних версий:

      • Проверка определения использования ключа для сертификата.

      • Если у сертификата есть расширенные настройки использования ключа, проверка соответствия назначению, для которого используется сертификат.

      • Проверка отсутствия в сертификате неизвестных внутренних номеров, отмеченных как критические.

      • Примечание. Для систем, обновленных до версии 11.1.3, эти дополнительные проверки используются только после изменения существующих настроек. Например, изменено с Средний на Высокий, а затем обратно на Средний. Avaya рекомендует выполнять резервное копирование конфигурации перед внесением каких-либо изменений.

  • Высокий — эти параметры позволяют реализовать домен строгого доверия, в котором принимаются только известные сертификаты. Это форма «привязки сертификатов», преодолевающая ограничения стандартной структуры PKI в виде дерева, где любые сертификаты, выданные корневым центром сертификации, всегда являются доверенными. Высокий использует те же проверки, что и Средний, а также:

    • проверяет, что размер открытого ключа сертификата составляет не менее 2048 бит;

    • проверяет, что сертификат не является самоподписанным;

    • не является зеркальным;

    • проверяет наличие копии сертификата в хранилище доверенных сертификатов системы IP Office.

  • Средний + удаленные проверки — использует те же проверки, что и Средний, а также:

    • Выполняет проверку имени хоста, убедившись, что одна из записей SAN совпадает с полным доменным именем соединения. При необходимости используемая запись SAN может выступать в качестве IP-адреса.

    • Для SIP проверяет, что источник сертификата является подлинным для домена SIP в соответствии с RFC5922.

  • Высокий + удаленные проверки — использует те же проверки, что и Высокий, а также те же дополнительные проверки, что и Средний + удаленные проверки.

Проверки полученных сертификатов (оконечные устройства телефонии)

По умолчанию = нет.

Этот параметр определяет, как IP Office проверяет сертификат удостоверения, полученный для телефонных соединений по протоколу TLS.

  • Сертификат удостоверения установлен не на всех телефонах SIP. Поэтому для  SIP IP Office не требует сертификат клиента из телефона SIP, а только из магистралей SIP и SM.

Полученный сертификат проверяется следующим образом:

  • Нет — сертификат должен быть действующим. Дополнительные проверки не выполняются.

  • Низкий — как и выше, но также:

    • Убедитесь, что размер открытого ключа сертификата составляет не менее 1024 бит.

  • Средний — как и выше, но также:

    • Проверьте наличие доверенной цепи между хранилищем доверенных сертификатов (TCS) и корневым центром сертификации (CA).

    • Для IP Office версии 11.1.3 и более поздних версий:

      • Проверка определения использования ключа для сертификата.

      • Если у сертификата есть расширенные настройки использования ключа, проверка соответствия назначению, для которого используется сертификат.

      • Проверка отсутствия в сертификате неизвестных внутренних номеров, отмеченных как критические.

      • Примечание. Для систем, обновленных до версии 11.1.3, эти дополнительные проверки используются только после изменения существующих настроек. Например, изменено с Средний на Высокий, а затем обратно на Средний. Avaya рекомендует выполнять резервное копирование конфигурации перед внесением каких-либо изменений.

  • Высокий — эти параметры позволяют реализовать домен строгого доверия, в котором принимаются только известные сертификаты. Это форма «привязки сертификатов», преодолевающая ограничения стандартной структуры PKI в виде дерева, где любые сертификаты, выданные корневым центром сертификации, всегда являются доверенными. Высокий использует те же проверки, что и Средний, а также:

    • проверяет, что размер открытого ключа сертификата составляет не менее 2048 бит;

    • проверяет, что сертификат не является самоподписанным;

    • не является зеркальным;

    • проверяет наличие копии сертификата в хранилище доверенных сертификатов системы IP Office.

  • Средний + удаленные проверки — использует те же проверки, что и Средний, а также:

    • Выполняет проверку имени хоста, убедившись, что одна из записей SAN совпадает с полным доменным именем соединения. При необходимости используемая запись SAN может выступать в качестве IP-адреса.

    • Для SIP проверяет, что источник сертификата является подлинным для домена SIP в соответствии с RFC5922.

  • Высокий + удаленные проверки — использует те же проверки, что и Высокий, а также те же дополнительные проверки, что и Средний + удаленные проверки.

Уровень безопасности H.323

По умолчанию = Высокий (Средний для систем IP500 и систем, обновленных до версии 11.1.3 или более поздних версий).

устанавливает минимальную силу шифра, IP Office принимает на соединениях TLS для телефонов и магистралей H.323. Не используется для клиентов, в которых шифры включены и выбраны на основании тех, что предложены сервером TLS.

  • Этот параметр заменяет CIPHER_LEVELS_H232 NUSN, используемый в системах версии 11.1.2.x.

  • Для получения дополнительной информации см. AvayaИнструкции по безопасности платформы IP Office руководство .

  • Низкий (0) — прием шифров низкой, средней и высокой прочности. Низкий и средний уровень в IP500 V2 системах .

  • Средний (1) — прием шифров средней и высокой прочности. Средний уровень в IP500 V2 системах .

  • Высокий (2) — прием шифров высокой прочности. Не поддерживается для IP500 V2 систем .

    • Список шифров см. в разделе AvayaИнструкции по безопасности платформы IP Office.

    • Шифры высокой прочности — это шифры GCM. Они не поддерживаются ни одной моделью IP500 V2 системы.

Уровень безопасности SIP

По умолчанию = Высокий (Средний для IP500 V2 систем и систем, обновленных до версии 11.1.3 или выше).

устанавливает минимальную силу шифра, IP Office принимает на соединениях TLS для телефонов SIP и магистралей. Не используется для клиентов, в которых шифры включены и выбраны на основании тех, что предложены сервером TLS.

  • Этот параметр заменяет CIPHER_LEVELS_SIP NUSN, используемый в системах версии 11.1.2.x.

  • Для получения дополнительной информации см. AvayaИнструкции по безопасности платформы IP Office руководство .

  • Низкий (0) — прием шифров низкой, средней и высокой прочности. Низкий и средний уровень в IP500 V2 системах .

  • Средний (1) — прием шифров средней и высокой прочности. Средний уровень в IP500 V2 системах .

  • Высокий (2) — прием шифров высокой прочности. Не поддерживается для IP500 V2 систем .

    • Список шифров см. в разделе AvayaИнструкции по безопасности платформы IP Office.

    • Шифры высокой прочности — это шифры GCM. Они не поддерживаются ни одной моделью IP500 V2 системы.

Хранилище доверенных сертификатов

В этом разделе выводится список сертификатов, которые находятся в хранилище доверенных сертификатов системы. В этом разделе также можно управлять этими сертификатами. В хранилище можно разместить до 25 сертификатов X.509v3.

При добавлении сертификата источником может быть:

  • Хранилище сертификатов текущего пользователя.

  • Хранилище сертификатов локальной машины.

  • Файл в одном из следующих форматов:

    • PEM (.cer)

    • PEM, защищенный паролем (.cer)

    • DER (.cer)

    • DER, защищенный паролем (.cer)

  • Вставленные из буфера обмена данные в формате PEM, включая текст верхнего и нижнего колонтитула.

    Данный метод должен использоваться для файлов PKCS#12 (.pfx). Выберите Вставить из буфера обмена, а затем скопируйте текст сертификата в окно Захват текста сертификата.

Параметры SCEP

Эти параметры используются для систем филиалов, которые управляются централизованно через SMGR.

Simple Certificate Enrollment Protocol (SCEP) — этот протокол, который предназначен для того, чтобы облегчить выдачу сертификатов в сети с большим количеством устройств, использующих сертификаты. Вместо того, чтобы выполнять администрирование сертификатов для каждого устройства отдельно, устройства можно настроить на запрос сертификатов при помощи протокола SCEP.

Эти параметры обычно настраиваются во время начальной конфигурации системы.

Поле

Описание

Активен

По умолчанию = выкл.

Интервал запросов (с)

По умолчанию = 120 секунд. Диапазон = от 5 до 3600 секунд.

IP-адрес/имя сервера SCEP

По умолчанию = пусто.

Порт сервера SCEP

По умолчанию = 80 для HTTP и 443 для HTTPS.

URI SCEP

По умолчанию = /ejbca/publicweb/apply/scep/pkiclient.exe

Пароль SCEP

По умолчанию = пусто.
Related information
Системный