AVAYA DOCUMENTATION CENTER
Find answers to your technical questions and learn how to use our products
使用 Manager 管理 Avaya IP Office
证书概述
公共密钥加密是保持可信网络环境的方式之一。公共密钥证书(也称为数字证书或身份证书)是用于证明公共密钥所有权的电子文档。证书包括有关密钥的信息、有关其所有者身份的信息,以及验证证书内容正确的实体的数字签名。如果签名有效,且检查证书的人信任签名者,那他们知道可以使用该密钥与其所有者通信。
用于提供公共密钥加密和数字签名服务的系统称为公共密钥基础架构 (PKI)。PKI 的所有用户应已注册身份,该身份以数字格式被存储且被称为身份证书。证书机构是创建这些数字身份并将用户名绑定到公共密钥的人、流程和工具。
共有两种类型的证书机构 (CA):根 CA 和中介 CA。为了信任证书并建立安全连接,证书必须已由设备所连接的受信证书库中包含的 CA 签发。如果证书并非由受信 CA 签发,那连接设备会检查签发 CA 的证书是否由受信 CA 签发,以此类推直到找出一个受信的 CA。PKI 中每个设备的受信证书库必须包含用于验证的必要证书链。
IP Office 根证书机构
IP Office 会生成自签名证书。对于 IP500 V2 系统,证书会在第一次启动时自动生成。在 Linux 系统上,证书在启动过程中生成。
下面的实体可作为证书机构。
Server Edition 主要服务器、应用程序服务器或统一通信模块(UCM)可作为系统中所有节点的根证书机构。
在 Enterprise Branch 部署中,System Manager 可作为根证书机构。
身份证书也可由第三方证书机构购买和签发。
无论采用何种方式提供 IP Office 身份,签署 IP Office 身份证书的证书机构必须得到所有需要与 IP Office 建立安全连接的客户端和端点的信任。他们必须是 PKI 的一部分。因此,根 CA 证书必须下载到客户端设备并放在受信证书库中。如果证书链中有中介 CA,那中介 CA 必须被添加到客户端设备的受信证书库中,或者证书链必须由 IP Office 在初始 TLS 交换中公布。
证书和 TLS
电话服务信号(比如 SIP 消息)使用传输层安全 (TLS) 加密。TLS 通过使用证书验证 IP 链路的另一端来提供通信安全。
TLS 中的消息交换旨在验证通信双方的身份,并建立用于加密双方之间信号数据的密钥。通常,服务器会向客户端发送其身份证书,该证书可以是自签名证书或由 CA 签发的证书。客户端必须将该 CA 证书放在其受信证书库中。
IP Office 在与 SIP 的电话服务客户端交互中作为 TLS 服务器。这意味着 IP Office 上的 TLS 应用程序必须配置为监听客户端连接,可以通过在 LAN1 和 LAN2 接口的 SIP Registrar 中启用 TLS 来配置。
注意:
服务器验证客户端证书不是必需的。IP Office 不支持所有 SIP 端点类型的客户端证书验证。
E.129 话机不会验证 IP Office 身份标识证书。