证书

上次更新时间 : Apr 26, 2024 |

其他配置信息

有关证书的其他信息，请参阅证书管理。

根据用于连接的服务的设置，系统和应用程序之间的服务可能需要交换安全证书。系统可以生成自签名证书，或加载由可信来源提供的证书。

身份证书

这些设置与系统在使用 TLS 连接其他设备时用来标识自己的 X.509v3 证书有关。例如，运行 IP Office Manager 且设置为安全通信的 PC。

系统的证书由服务安全级别设为仅非安全以外的值的服务公布（使用）。

默认情况下，每个 IP Office 服务器都会提供其自身生成的证书，该证书在初次安装系统时生成。但是，证书也可以来自其他来源：

使用设置按钮添加的系统备用身份标识证书。
- 对于次要服务器、扩展服务器和应用程序服务器，这可以是从主要服务器的 Web Control 菜单为该服务器生成的身份标识证书。
对于订阅模式系统，可以选择自动证书管理。然后，COM 会自动为系统提供适当的身份标识证书和证书更新。


字段	说明
提供证书	默认 = 开启。这是一个固定值，仅作为指示之用。这设置系统是否在 TLS 交换中提供证书。
提供 ID 证书链	默认 = 开启用后，IP Office 会在 TLS 会话建立期间公布证书链。证书链从系统的身份标识证书开始然后，它会添加在其可信证书库中找到的以下任何证书：在“颁发者”`Common Name` 字段中具有相同的 `Subject Distinguished Name`。如果在可信证书库中找到根 CA 证书，则该证书也将包含在证书链中。证书链中最多支持 6 个证书。
持有者	默认 = IP Office 身份标识证书。仅供参考。证书颁发者的常用名。
证书过期警告天数	默认 = 60，范围 = 30 至 180 IP Office Manager 会在系统的安全证书即将过期时显示警告。此设置用于设置证书警告的触发器。

以下设置仅对订阅模式系统显示。这些设置允许 COM 向系统提供其身份标识证书，并在需要时自动更新该证书。


字段	说明
自动证书管理	默认 = 禁用仅支持订阅模式系统。启用后，系统将使用 COM 提供的身份标识证书以及 COM 根证书的副本。身份标识证书及其信任链的维护和续订均为自动执行。
SAN 详细信息来源	如果 COM 向系统颁发的身份标识证书需要包含任何位置特定的使用者备用名称值，则此字段可用于定义这些值。从现有 ID 证书迁移- 为系统生成新证书时，使用系统现有身份标识证书中的 SAN 详细信息。从当前 LAN 配置生成表单- 生成新证书时，从系统现有 LAN 和 SIP 设置中创建 SAN 详细信息。
自动配置话机	默认 = 启用使用自动证书管理时，支持此附加选项。启用后，支持证书下载的电话上的电话证书会在系统身份标识证书更新时自动更新。新电话和默认电话会在初次使用过程中使用常规信任获取证书。发生更新时，46xxsettings.txt 文件会更新以包含两个证书的详细信息。重新启动后，电话将使用旧证书详细信息提取新证书。

以下设置可用于管理当前身份标识证书。


字段	说明
集	使用集将允许您加载身份标识证书及其关联的私钥。此控件对使用自动证书管理的订阅模式系统不显示。 IP Office 支持： 1024、2048 和 4096 位 RSA 密钥。使用 4096 位 RSA 密钥可能会影响系统性能。 SHA-1、SHA-256、SHA-384 和 SHA-512 签名算法。使用大于 SHA-256 的签名可能会影响系统性能。来源可能为：当前用户证书库。本机证书库。 PKCS#12 格式的文件。以 PEM 格式从剪贴板中粘贴，包括标题和脚注文本。此方法必须用于 PEM (.cer) 和密码保护的 PEM (.cer) 文件。身份标识证书要求证书和私钥。CER 格式不包含私钥。对于这些文件类型，请选择从剪贴板粘贴，然后将证书文本和私钥文本复制至“证书文本捕获”窗口。使用一个文件作为证书来源在 Manager 中，使用文件选项时，导入的文件（.p12、.pfx 或 .cer）只能包含私钥和身份标识证书数据。这些文件不能包括额外的中间 CA 证书或根 CA 证书。中间 CA 证书或根 CA 证书必须分开导入到 IP Office 可信证书库中。这不适用于 Web Manager。注意： Web Manager 不接受扩展名为 .cer 的 CER 类型文件。该文件类型只能在 Manager 中使用。
查看	显示当前身份标识证书的详细信息。证书视图菜单还可以用于将证书（而不是其私钥）安装到查看证书的 PC 的本地证书库中。之后，PC 可使用此证书安全连接到系统或从 PC 导出证书。
重新生成	此命令生成新的身份标识证书：对于使用系统自己生成的自签名身份标识证书的系统，此命令将生成当前身份标识证书的替换证书。对于订阅模式系统，此命令请求 COM 提供替换身份标识证书。或者，也可以使用此命令请求其他服务器的身份标识证书。重要提示：重新生成最多需要一分钟时间，在此期间系统性能会受到影响。因此，请仅在维护窗口中执行此操作。重新生成在保存安全设置后进行。单击重新生成证书窗口时，它会提示您输入下表中的值：


设置	说明
签名	默认 = SHA256/RSA2048。选择要用于新自签名身份标识证书的签名算法和 RSA 密钥长度。选项为 SHA256/RSA2048 或 SHA1/RSA1024。
主题名称	默认 = 无为此证书的使用者指定常用名。使用者为拥有证书（公钥）的终端实体或系统。示例：`ipoffice-0123456789AB.avaya.com`。如果留空，则使用系统生成的使用者名称。
主题备用名称（多个）	默认 = 无指定证书中要包含的任何使用者备用名称 (SAN) 值。每个条目都应包含前缀，后跟冒号，然后是值。支持的前缀有 `DNS`、`URI`、`IP`、`SRV` 和 `email`。可以添加多个条目，每个条目以逗号分隔。输入字段的长度上限是 511 个字符。示例：`DNS:192.168.0.180,IP:192.168.0.18,URI:SIP:example.com`。
适用于不同的机器	默认 = 关此选项仅对使用自动证书管理的订阅模式系统显示。选中此选项后，系统会请求另一服务器的地址详细信息和证书的持续时间（最长 825 天）。生成证书后，浏览器会自动下载证书文件。

证书检查


字段	说明
证书过期警告天数	默认 = 60。范围 = 30 至 180 天。设置任何存储的证书到期前的天数，其中 IP Office Manager、IP Office Web Manager 和 System Status Application 将显示警告
使用不同的 SIP 语音通信证书	默认 = 无可能的设置是无、SIP 中继或SIP 和 SM 中继，SIP 话机。设置为无时，所有安全语音通信均使用系统默认身份标识证书和设置。当设置为任何其他选项时，系统将显示一组额外的选项（类似于为身份证书部分显示的选项）。这些选项可用于定义用于安全语音通信的证书。要使用的证书使用集按钮上传到系统的证书库。
已收到的证书检查（管理接口）	默认 = 无。此设置用于应用程序（例如 IP Office Manager）与系统的 HTTPS/TLS 管理连接，例如当正在使用的服务的服务安全级别设置为高时。收到的证书按如下所述进行测试：无— 证书必须在有效期内。不进行额外检查。低— 如上所述，但另请：检查证书的公钥是否为 1024 位或更大。中等— 如上所述，但另请：检查是否存在从可信证书库 (TCS) 到根证书颁发机构 (CA) 的信任链。对于 IP Office R11.1.3 及更高版本：检查证书是否已定义了密钥用途。如果证书具有扩展密钥用途设置，请检查是否与证书的用途一致。检查证书是否不包括标记为关键的任何未知分机。注意：对于升级到 R11.1.3 的系统，仅在更改现有设置后使用这些其他检查。例如，从中等更改为高，然后改回中等。Avaya 建议在进行任何更改之前备份配置。高— 此设置允许实施仅接受已知证书的严格信任域。这是一种“证书固定”，克服了标准树结构 PKI 的限制，其中根 CA 颁发的任何证书始终受信任。高使用与中等相同的检查，并且：检查证书的公钥是否为 2048 位或更大检查证书是否不是自签名证书。未反映。检查 IP Office 系统的可信证书库中是否有证书副本。中 + 远程检查— 使用与中等相同的检查，并执行以下操作：通过验证其中一个 SAN 条目与连接的 FQDN 是否匹配来执行主机名验证。如有必要，使用的 SAN 条目可以是 IP 地址。对于 SIP，根据 RFC5922 验证证书来源对 SIP 域是否具有权威性。高 + 远程检查— 使用与高相同的检查以及与中 + 远程检查相同的其他检查。
已收到的证书检查（语音通信终端）	默认 = 无。此设置会设置 IP Office 如何验证为 TLS 语音通信连接接收的身份证书。并非所有 SIP 话机都安装了身份证书。因此，对于 SIP，IP Office 不需要来自 SIP 电话的客户端证书，只需要来自 SIP/SM 中继的客户端证书。收到的证书按如下所述进行测试：无— 证书必须在有效期内。不进行额外检查。低— 如上所述，但另请：检查证书的公钥是否为 1024 位或更大。中等— 如上所述，但另请：检查是否存在从可信证书库 (TCS) 到根证书颁发机构 (CA) 的信任链。对于 IP Office R11.1.3 及更高版本：检查证书是否已定义了密钥用途。如果证书具有扩展密钥用途设置，请检查是否与证书的用途一致。检查证书是否不包括标记为关键的任何未知分机。注意：对于升级到 R11.1.3 的系统，仅在更改现有设置后使用这些其他检查。例如，从中等更改为高，然后改回中等。Avaya 建议在进行任何更改之前备份配置。高— 此设置允许实施仅接受已知证书的严格信任域。这是一种“证书固定”，克服了标准树结构 PKI 的限制，其中根 CA 颁发的任何证书始终受信任。高使用与中等相同的检查，并且：检查证书的公钥是否为 2048 位或更大检查证书是否不是自签名证书。未反映。检查 IP Office 系统的可信证书库中是否有证书副本。中 + 远程检查— 使用与中等相同的检查，并执行以下操作：通过验证其中一个 SAN 条目与连接的 FQDN 是否匹配来执行主机名验证。如有必要，使用的 SAN 条目可以是 IP 地址。对于 SIP，根据 RFC5922 验证证书来源对 SIP 域是否具有权威性。高 + 远程检查— 使用与高相同的检查以及与中 + 远程检查相同的其他检查。
H.323 安全级别	默认 = 高（对于 IP500 系统和升级到 R11.1.3 或更高版本的系统，为中等）。设置在 H.323 电话和中继的 TLS 连接上，IP Office 接受的最低密码强度。不适用于根据 TLS 服务器提供的密码启用和选择密码的客户端。此设置取代 R11.1.2.x 系统使用的 CIPHER_LEVELS_H232 NUSN。有关详细信息，请参阅Avaya IP Office™ Platform 安全指南手册。低 (`0`) — 接受低、中、高强度密码。IP500 V2 系统接受低、中强度密码。中等 (`1`) — 接受中、高强度密码。IP500 V2 系统接受中强度密码。高 (`2`) — 接受高强度密码。IP500 V2 系统不支持。有关密码列表，请参阅 Avaya IP Office™ Platform 安全指南。高强度密码是 GCM 密码。任何 IP500 V2 系统型号都不支持这类密码。
SIP 安全级别	默认 = 高（对于 IP500 V2 系统和升级到 R11.1.3 或更高版本的系统，为中等）。设置在 SIP 电话和中继的 TLS 连接上，IP Office 可接受的最低密码强度。不适用于根据 TLS 服务器提供的密码启用和选择密码的客户端。此设置取代 R11.1.2.x 系统使用的 CIPHER_LEVELS_SIP NUSN。有关详细信息，请参阅Avaya IP Office™ Platform 安全指南手册。低 (`0`) — 接受低、中、高强度密码。IP500 V2 系统接受低、中强度密码。中等 (`1`) — 接受中、高强度密码。IP500 V2 系统接受中强度密码。高 (`2`) — 接受高强度密码。IP500 V2 系统不支持。有关密码列表，请参阅 Avaya IP Office™ Platform 安全指南。高强度密码是 GCM 密码。任何 IP500 V2 系统型号都不支持这类密码。

可信证书库

本部分显示系统的可信证书库中保存的证书列表，并且允许管理这些证书。最多可将 25 个 X.509v3 证书放入证书库中。

添加证书时，来源可以是：

当前用户证书库。
本机证书库。
以下格式之一的文件：
- PEM (.cer)
- 密码保护的 PEM (.cer)
- DER (.cer)
- 密码保护的 DER (.cer)
以 PEM 格式从剪贴板中粘贴，包括标题和脚注文本。

此方法必须用于 PKCS#12 (.pfx) 文件。选择从剪贴板粘贴，然后将证书文本复制到证书文本捕获窗口中。

SCEP Settings（DNS 设置）

这些设置用于通过 SMGR 进行集中管理的分支系统。

简单证书注册协议 (SCEP) 旨在方便在众多设备使用证书的网络中颁发证书。它不是要求您单独管理每个设备使用的证书，而是可以配置设备使用 SCEP 请求证书。

这些设置通常在系统初始配置期间设置。


字段	说明
活动	默认 = 关。
请求间隔（秒）	默认 = 120 秒。范围 = 5 至 3600 秒。
SCEP 服务器 IP 地址/名称	默认 = 空。
SCEP 服务器端口	默认 = HTTP 为 80，HTTPS 为 443。
SCEP URI	默认 = /ejbca/publicweb/apply/scep/pkiclient.exe
SCEP 密码	默认 = 空。

Send Feedback

AVAYA DOCUMENTATION CENTER

未找到任何结果

AVAYA DOCUMENTATION CENTER

未找到任何结果

使用 Manager 管理 Avaya IP Office

证书

其他配置信息