Navigation:
Dienste zwischen dem System und Anwendungen können je nach Einsstellungen des für die Verbindung genutzten Dienstes den Austausch von Sicherheitszertifikaten erfordern. Das System kann entweder ein eigenes Zertifikat generieren oder es werden Zertifikate aus einer vertrauenswürdigen Quelle geladen.
![]() | Warnung |
Der „On-Boarding“-Vorgang (siehe IP Office SSL VPN-Lösungshandbuch) fügt den Sicherheitseinstellungen des Systems beim Hochladen der On-Boarding-Datei ins System automatisch ein Zertifikat für SSL VPN hinzu. Derartige Zertifikate dürfen ausschließlich auf Anweisung von Avaya gelöscht werden. |
Feld | Beschreibung | ||||
---|---|---|---|---|---|
Identitätszertifikat: Das Identitätszertifikat ist ein X.509v3-Zertifikat, durch das das System seine Identität gegenüber einem sich verbindenden Clientgerät nachweist (normalerweise ein PC, auf dem eine Anwendung läuft). Dieses Zertifikat wird im TLS-Austausch angeboten, wenn das System als ein TLS-Server dient, was beim Zugriff auf einen sicheren Dienst der Fall ist. Ein Identitätszertifikat kann auch verwendet werden, wenn IP Office als TLS-Client fungiert und der TLS-Server erfordert, dass IP Office das Clientzertifikat sendet. Standardmäßig wird das vom System generierte Zertifikat verwendet. Ein Zertifikat wird empfohlen, wenn die Dienstsicherheitsstufe auf einen anderen Wert als Nur ungesichert eingestellt ist. Dies kann bis zu einer Minuten dauern. Während dieses Zeitraums wird der normale Systembetrieb ausgesetzt. Sie können das Zertifikat durch Klicken auf Löschen erneut generieren. Die Neugenerierung eines Zertifikats kann die Systemleistung beeinflussen. Führen Sie diese Aktion während eines Wartungsfensters durch. Verwenden Sie den Befehl Festlegen, um das vom System generierte Zertifikat durch ein externes zu ersetzen. |
|||||
Zertifikat senden | Standard = Ein. Dieser feste Wert dient nur als Angabe. Legt fest, ob das System ein Zertifikat im TLS-Austausch anbietet, wenn das IP Office als ein TLS-Server dient, was beim Zugriff auf einen sicheren Dienst der Fall ist. |
||||
ID-Zertifikatkette senden | Standard = Aus. Wenn diese Einstellung auf „Ein“ gesetzt ist, weist IP Office an, eine Kette an Zertifikaten in der TLS-Sitzungseinrichtung bekanntzugeben. Die Zertifikatskette wird beginnend mit dem Identitätszertifikat erstellt. Dann werden alle Zertifikate hinzugefügt, die im IP Office Trusted Certificate Store gefunden werden, basierend auf dem allgemeinen Namen, der im Feld „Ausgestellt von“ Betreff-DN in jedem der Zertifikate in der Kette gefunden wird. Wenn sich das Stammverzeichnis-CA-Zertifikat im vertrauenswürdigen Zertifikatspeicher von IP Office befindet, wird es in die Kette der Zertifikate aufgenommen. In der bekanntgegebenen Zertifikatkette werden maximal sechs Zertifikate unterstützt. |
||||
Signatur | Standard = SHA256/RSA2048. Diese Einstellung konfiguriert den Signaturalgorithmus und die RSA-Schlüssellänge, die beim Generieren des IP Office-Identitätszertifikats verwendet werden müssen. Folgende Optionen stehen zur Verfügung:
Wenn andere Kombinationen benötigt werden, muss der Sicherheitsadministrator das IP Office-Identitätszertifikat außerhalb des Managers erstellen und es mit der Aktion Festlegen installieren. |
||||
Privater Schlüssel | Standard = Vom System generierter zufälliger Wert. Es wird ein leeres Feld angezeigt. Geben Sie dort einen privaten Schlüssel ein. Wenn Sie einen privaten Schlüssel festlegen, wird dieser nur bei selbst signierten Zertifikaten verwendet. Zum Festlegen des privaten Schlüssels müssen Sie auf Löschen klicken, um ein neues Zertifikat zu generieren. |
||||
Ausgestellt für | Standard = IP OfficeIdentitätszertifikat. Allgemeiner Name des Ausstellers im Zertifikat. |
||||
Standardbetreffname | Standard = Keine. | ||||
Alternative(r) Name(n) für Betreff | Standard = Keine. | ||||
Festlegen | Erzeugt das aktuelle Zertifikat und den zugehörigen privaten Schlüssel. Das Zertifikat und der Schlüssel müssen zueinander passen. Folgende Quellen sind zulässig
IP Officeunterstützt Zertifikate mit RSA-Schlüsselgrößen von 1024, 2048 und 4096 Bits. Die Verwendung der RSA-Schlüsselgröße 4096 kann die Systemleistung beeinflussen. Die empfohlene Schlüsselgröße ist 2048. IP Officeunterstützt Signaturalgorithmen von SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Die Verwendung eines Schlüssels, der größer als SHA-256 ist, kann die Systemleistung beeinflussen. Der empfohlene Signaturalgorithmus ist SHA-256. Verwenden einer Datei als Zertifikatquelle: Wenn Sie in Manager die Datei-Option verwenden, kann die importierte „p12“- „pfx“- oder „cer“-Datei zur Einstellung des Identitätszertifikats nur den privaten Schlüssel und die Identitätszertifikats-Daten enthalten. Es kann keine zusätzlichen Zwischen-CA-Zertifikate oder die Stammverzeichnis-CA-Zertifikate enthalten. Die Zwischen-CA-Zertifikate oder das Stammverzeichnis-CA-Zertifikat müssen separat in den IP Office vertrauenswürdigen Zertifikatspeicher importiert werden. Das gilt jedoch nicht für Web Manager.
|
||||
Anzeigen | Das aktuelle Zertifikat anzeigen. Das Zertifikat (nicht der private Schlüssel) kann ebenfalls in dem lokalen PC-Zertifikatspeicher zum Export oder zur späteren Verwendung installiert werden, wenn der Manager im sicheren Modus betrieben wird. | ||||
Löschen | Löscht das aktuelle Zertifikat und das System generiert ein neues. Dies kann bis zu einer Minuten dauern. Während dieses Zeitraums wird der normale Systembetrieb ausgesetzt. Die Neugenerierung eines Zertifikats kann die Systemleistung beeinflussen. Führen Sie diese Aktion während eines Wartungsfensters durch. |
||||
Anderes Identitätszertifikat für Telefonie verwenden | Standard = Aus. Wenn für diese Einstellung „Aus“ ausgewählt ist, verwenden alle sicheren Kommunikationen das Standard-Identitätszertifikat und die Standardeinstellungen. Wenn für diese Einstellung „Ein“ ausgewählt ist, verwenden auf die Telefonie bezogene Kommunikationen ein separates Identitätszertifikat, das vom Sicherheitsadministrator festgelegt werden muss. |
||||
Prüfungen empfangener Zertifikate (Management-Schnittstelle) | Standard = Keine. Diese Einstellung wird zur Konfiguration und Verwaltung von Verbindungen zwischen System und Anwendungen wie Manager verwendet. Wenn die verwendete Dienstsicherheitsstufe des Diensts auf Hoch eingestellt ist, wird vom System ein Zertifikat angefordert. Das erhaltene Zertifikat wird wie folgt getestet:
|
||||
Prüfungen empfangener Zertifikate (Telefonie-Endpunkte) | Standard = Keine. Diese Einstellung wird mit IP-Telefonie-Endpunkten verwendet, die eine Verbindung mit dem System herstellen. Diese Einstellung wird von IP Office verwendet, um das vom anderen Ende der TLS-Verbindung angebotene Identitätszertifikat zu validieren. IP Office unterstützt keine gemeinsame Authentifizierung für SIP-Terminals. (Es ist nicht in allen SIP-Terminals ein Identitätszertifikat installiert.) IP Office erfordert daher kein Clientzertifikat von einem SIP-Terminal, nur SIP- und SM-Amtsleitungen. Das erhaltene Zertifikat wird wie folgt getestet:
|
||||
Trusted Certificate Store: Installierte Zertifikate | Standard = Ein Satz an festen, von Avaya bereitgestellten Zwischen-CA-Zertifikaten oder Stammverzeichnis-CA-Zertifikaten. Der Zertifikatspeicher enthält einen Satz vertrauenwürdiger Zertifikate, die benutzt werden, um erhaltene Clientzertifikate zu evaluieren. Es können bis zu 25 X.509v3-Zertifikate installiert werden. Folgende Quellen sind zulässig:
|
||||
Hinzufügen | Erzeugt das aktuelle Zertifikat und den zugehörigen privaten Schlüssel. Das Zertifikat und der Schlüssel müssen zueinander passen. Folgende Quellen sind zulässig:
IP Officeunterstützt Zertifikate mit RSA-Schlüsselgrößen von 1024, 2048 und 4096 Bits. Die Verwendung der RSA-Schlüsselgröße 4096 kann die Systemleistung beeinflussen. Die empfohlene Schlüsselgröße ist 2048. IP Officeunterstützt Signaturalgorithmen von SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Die Verwendung eines Schlüssels, der größer als SHA-256 ist, kann die Systemleistung beeinflussen. Der empfohlene Signaturalgorithmus ist SHA-256. |
||||
Anzeigen | Das aktuelle Zertifikat anzeigen. Das Zertifikat (nicht der private Schlüssel) kann ebenfalls in dem lokalen PC-Zertifikatspeicher zum Export oder zur späteren Verwendung installiert werden, wenn der Manager im sicheren Modus betrieben wird. | ||||
Löschen | Löscht das aktuelle Zertifikat. | ||||
SCEP-Einstellungen Das SCEP-Protokoll (Simple Certificate Enrollment Protocol) soll die Ausgabe von Zertifikaten in einem Netzwerk mit mehreren Geräten, die Zertifikate benutzen, zu erleichtern. Die von den Geräten verwendeten Zertifikate müssen nicht einzeln verwaltet werden, sondern die Geräte können so konfiguriert werden, dass sie über SCEP ein Zertifikat anfordern. Diese Einstellungen sind für IP Office Branch-Bereitstellungen relevant. Diese Einstellungen werden nicht im IP Office-Standardmodus verwendet. |
|||||
Aktiv | Standard = Aus. | ||||
Anfrageintervall (Sekunden) | Standard = 120 Sekunden. Bereich = 5 bis 3600 Sekunden. | ||||
SCEP Server-IP/-Name | Standard = Leer. | ||||
SCEP Server-Port | Standard = 80 für HTTP und 443 für HTTPS. | ||||
SCEP URI | Standard = /ejbca/publicweb/apply/scep/pkiclient.exe | ||||
SCEP Kennwort | Standard = Leer. |