AVAYA DOCUMENTATION CENTER
Find answers to your technical questions and learn how to use our products
Администрирование Avaya IP Office с помощью Manager
Краткий обзор сертификатов
Шифрование с открытым ключом — один из способов обеспечения доверенной среды сетевого взаимодействия. Сертификат открытого ключа (также называемый цифровым сертификатом или сертификатом удостоверения) представляет собой электронный документ, используемый для подтверждения факта владения открытым ключом. Такой сертификат содержит сведения о ключе, удостоверении владельца ключа и цифровую подпись органа, который подтверждает корректность содержимого сертификата. Если подпись действительна, а пользователь, проверяющий сертификат, доверяет подписавшему, то они могут использовать данный ключ для взаимодействия с его владельцем.
Система, используемая для предоставления шифрования с открытым ключом и служб цифровой подписи, называется инфраструктурой открытых ключей (PKI). Все пользователи PKI должны иметь зарегистрированное удостоверерние, хранящееся в цифровом формате и называемое сертификатом удостоверения. Органы сертификации — это люди, процессы и инструменты, создающие эти цифровые удостоверения и привязывающие имена пользователей к открытым ключам.
Существует два типа органов сертификации (CA): корневой CA и промежуточный CA. Чтобы сертификат был доверенным и в целях установления защищенного подключения, данный сертификат должен быть выпущен CA, включенным в доверенное хранилище сертификатов подключаемого устройства. Если сертификат не был выпущен доверенным CA, то подключаемое устройство проверяет, был ли сертификат выпустившего CA выпущен доверенным CA и т.д. до тех пор, пока не будет найден доверенный CA. Доверенное хранилище сертификатов каждого устройства в PKI должно содержать необходимую цепочку сертификатов для подтверждения.
Корневой орган сертификации IP Office
IP Office создает самостоятельно подписанный сертификат. Для систем IP500 V2 сертификат создается автоматически при первом запуске. В системах Linux сертификат создается во время процесса инициализации.
Следующие органы могут выступать в роли органов сертификации.
Основной сервер Server Edition, Сервер приложений или модуль Unified Communication Module (UCM) могут выступать в роли корневого органа сертификации для всех узлов в системе.
В развертываниях Enterprise Branch система System Manager может выступать в роли корневого органа сертификации.
Сертификаты удостоверения также могут быть приобретены и выпущены сторонними органами сертификации.
Независимо от метода, используемого для предоставления удостоверения IP Office, орган сертификации, подписывающий сертификат удостоверения IP Office, должен быть доверенным для всех клиентов и оконечных устройств, которым необходимо устанавливать защищенное подключение с системой IP Office. Они должны быть частью PKI. Поэтому корневой сертификат CA должен быть загружен на клиентские устройства и размещен в доверенном хранилище сертификатов. Если в цепочке сертификатов имеется промежуточный орган сертификации, то либо промежуточные органы сертификации должны быть добавлены в хранилище доверенных сертификатов клиентского устройства, либо цепочка сертификатов должна быть распространена системой IP Office при первоначальном обмене данными TLS.
Сертификаты и TLS
Сигнализация телефонии, например обмен сообщениями SIP, защищена с помощью протокола Transport Layer Security (TLS). TLS обеспечивает безопасность подключений с помощью сертификатов для аутентификации другого конца IP-канала.
Обмен сообщениями в TLS направлен на подтверждение удостоверений взаимодействующих сторон и установление ключей, которые будут использованы для шифрования данных сигнализации между двумя сторонами. Обычно сервер отправляет клиенту свой сертификат удостоверения либо самозаверяющий, либо подписанный органом сертификации. В доверенном хранилище сертификатов клиента должен иметься сертификат органа сертификации.
В своих взаимодействиях с клиентами телефонии SIP система IP Office выступает в роли сервера TLS. Это означает, что приложение TLS в системе IP Office должно быть настроено на прием клиентских подключений, т.е. в SIP Registrar должен быть включен TLS на интерфейсах ЛВС1 (LAN1) и ЛВС2 (LAN2).
Примечание:
Аутентификация сертификата клиента сервером не требуется. Проверка сертификатов клиента для всех типов оконечных устройств SIP в IP Office не поддерживается.
Телефон E.129 не проверяет сертификат удостоверения IP Office.