Navigation :
Les Services entre le système et les applications peuvent, dépendamment des paramètres du service utilisé pour la connexion, nécessiter l'échange de certificats de sécurité. Le système peut créer son propre certificat ou bien utiliser des certificats chargés auprès d'une source de confiance.
![]() | Avertissement |
Le processus d'« intégration » (se reporter au Guide de solutions IP Office SSL VPN) ajoute automatiquement un certificat pour le réseau privé virtuel SSL aux paramètres de sécurité du système lorsque le fichier d'intégration est chargé dans le système. Veillez à ne pas effacer ces certificats, sauf si Avaya vous invite à le faire. |
Champ | Description | ||||
---|---|---|---|---|---|
Certificat d'identité : Le Certificat d'identité est un certificat X.509v3 qui identifie le système pour un dispositif de connexion du client (habituellement un PC exécutant une application). Ce certificat est présenté dans l'échange TLS lorsque le système agit en tant que serveur TLS, ce qui se produit lors de l'accès à un service sécurisé. Un certificat d'identité peut également être utilisé lorsqu'un IPOffice agit en tant que client TLS et que le serveur TLS exige que l'IPOffice envoie le certificat du client. Par défaut, le certificat généré par le système est utilisé. Un certificat est généré lorsqu'un Niveau de sécurité du service est défini sur une valeur autre que Non sécurisé uniquement. Ce certificat peut prendre jusqu'à une minute pour être généré. Pendant ce temps, le fonctionnement normal du système est suspendu. Vous pouvez régénérer le certificat en cliquant sur Supprimer. La régénération du système peut avoir un impact sur la performance du système. Exécuter cette action pendant qu'il y a une fenêtre d'entretien. Utiliser la commander Régler pour remplacer le certificat généré par le système par un autre certificat externe. |
|||||
Présenter un certificat | Par défaut = Activée. Il s'agit d'une valeur fixe à titre indicatif uniquement. Cette option définit si le système présente un certificat dans l'échange TLS lorsque IP Office agit en tant que serveur TLS, ce qui se produit lors de l'accès à un service sécurisé. |
||||
Présenter un groupe de certificats d'identité | Par défaut = Désactivé. Lorsque ce paramètre est réglé sur Activé, il indique à IP Office d'annoncer une chaîne de certificats dans l'établissement de séance TLS. La chaîne de certificats est créée en commençant par le certificat d'identité puis en ajouter à la chaîne tous les certificats disponibles dans le IP Office Trusted Certificate Store se trouvant dans le Nom commun du champ Nom distingué de l'objet "Publié par" pour chaque certificat de la chaîne. Si le certificat Root CA se trouve dans le IP Office Trusted Certificate Store, il sera inclus dans la chaîne de certificats. Un maximum de six certificats peuvent être supportés dans une chaîne de certificats annoncée. |
||||
Signature | Par défaut = SHA256/RSA2048. Ce paramètre permet de configurer à la fois l'algorithme de signature et la longueur de la clé RSA requis pour générer le certificat d'identité IP Office. Les options suivantes sont disponibles :
Si une autre combinaison est requise, l'Administrateur de sécurité devra construire le certificat d'identité IP Office hors du Gestionnaire et utiliser l'action Régler pour l'installer. |
||||
Clé privée | Valeur par défaut - Valeur aléatoire générée par le système. Un champ vide est affiché. Utiliser ce champ pour y saisir une clé privée. Si vous définissez une clé privée, elle ne peut être utilisée que pour les certificats signés automatiquement. Pour définir une clé privée, vous devez cliquer sur Supprimer pour générer un nouveau certificat. |
||||
Émis pour | Par défaut : certificat d'identité IP Office. Nom commun de l'émetteur dans le certificat. |
||||
Nom du sujet par défaut | Par défaut = Aucune. | ||||
Autre(s) nom(s) du sujet | Par défaut = Aucune. | ||||
Définir | Définir le certificat actuel et la clé privée associée. Le certificat et la clé doivent correspondre. La source des certificats peut être :
IP Office prend en charge les certificats avec clé RSA de 1 024, 2 048 et 4 096 bits. L'utilisation d'une clé RSA de 4 096 peut avoir un impact sur la performance du système. La taille de clé recommandée est de 2 048. IP Office prend en charge les algorithmes de signature SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. L'utilisation d'une signature plus volumineuse que SHA-256 peut avoir un impact sur la performance du système. L'algorithme de signature recommandé est SHA-256. Utilisation d'un fichier comme source de certificat : Dans Manager, lorsque vous utilisez l'option Fichier, le fichier "p12", "pfx" ou "cer" importé pour paramétrer le certificat d'identité ne peut contenir que la clé privée et les données du certificat d'identité. Il ne peut pas contenir d'autres certificats AC intermédiaires ou le certificat AC racine. Les certificats AC intermédiaires ou le certificat AC racine doivent être importés séparément dans la bande de certificat approuvés IP Office. Ceci ne s'applique pas à Web Manager.
|
||||
Vue | Affiche le certificat actuel. Le certificat (et non la clé privée) peut aussi être installé dans le magasin de certificats du PC local pour une exportation ou une utilisation ultérieure lorsque le Manager fonctionne en mode sécurisé. | ||||
Supprimer | Supprime le certificat actuel ; le système en génère alors un nouveau. Il peut prendre jusqu'à une minute pour être généré. Pendant ce temps, le fonctionnement normal du système est suspendu. La régénération du système peut avoir un impact sur la performance du système. Exécuter cette action pendant qu'il y a une fenêtre d'entretien. |
||||
Utiliser un autre certificat d'identité pour la téléphonie | Par défaut = Désactivé. Lorsque désactivé, toutes les communications sécurisées se servent du certificat d'identité et des réglages par défaut. Lorsqu'activé, les communications sécurisées liées à la téléphonie se servent d'un certificat d'identité distinct qui doit être défini par l'Administrateur de la sécurité. |
||||
Vérifications du certificat reçu (interface de gestion) | Par défaut = Aucune. Ce paramètre est utilisé pour permettre à des applications telles que Manager d'établir des connexions d'administration et de configuration. Lorsque le Niveau de sécurité du service du service utilisé est défini sur Élevé, un certificat est exigé par le système. Le certificat reçu est évalué comme suit :
|
||||
Vérifications du certificat reçu (points d'extrémité téléphoniques) | Par défaut = Aucune. Ce paramètre est utilisé avec les points d'extrémité de la téléphonie IP se connectant au système. Ce réglage est utilisé par l'IP de bureau pour valider le certificat d'identité offert par l'autre extrémité de la connexion TLS. L'IP de bureau ne supporte par l'authentification mutuelle des bornes SIP (un certificat d'identité n'est pas installé sur les bornes SIP). Par conséquent, IP de bureau ne nécessite pas de certificat de client de la part des bornes SIP, uniquement des tronçons SIP et SM. Le certificat reçu est évalué comme suit :
|
||||
Magasin de certificats approuvés : certificats installés | Valeur par défaut - Un jeux de certificats CA ou Root CA intermédiaires fournis par Avaya. Le magasin de certificats contient un ensemble de certificats fiables utilisés pour évaluer les certificats reçus du client. Jusqu'à 25 certificats X.509v3 peuvent être installés. La source peut être :
|
||||
Ajout | Définir le certificat actuel et la clé privée associée. Le certificat et la clé doivent correspondre. La source peut être :
IP Office prend en charge les certificats avec clé RSA de 1 024, 2 048 et 4 096 bits. L'utilisation d'une clé RSA de 4 096 peut avoir un impact sur la performance du système. La taille de clé recommandée est de 2 048. IP Office prend en charge les algorithmes de signature SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. L'utilisation d'une signature plus volumineuse que SHA-256 peut avoir un impact sur la performance du système. L'algorithme de signature recommandé est SHA-256. |
||||
Vue | Affiche le certificat actuel. Le certificat (et non la clé privée) peut aussi être installé dans le magasin de certificats du PC local pour une exportation ou une utilisation ultérieure lorsque le Manager fonctionne en mode sécurisé. | ||||
Supprimer | Supprime le certificat actuel. | ||||
Paramètres SCEP Le Protocole d'adhésion du certificat simple est un protocole destiné à faciliter l'émission des certificats dans un réseau dans lequel de nombreux services utilisent des certificats. Plutôt que d'avoir à administrer individuellement le certificat utilisé par chaque dispositif, les dispositifs peuvent être configurés de manière à demander un certificat à l'aide de SCEP. Ces réglages sont pertinents pour les déploiements de la division IP de bureau. Ces paramètres ne sont pas utilisés en mode IP Office Standard. |
|||||
Activé | Par défaut = Désactivé. | ||||
Intervalle entre les requêtes (secondes) | Par défaut = 120 secondes. Plage = 5 à 3600 secondes. | ||||
IP/Name du serveur SCEP | Par défaut = Vide. | ||||
Port du serveur SCEP. | Par défaut = 80 pour HTTP et 443 pour HTTPS. | ||||
URI SCEP | Par défaut = /ejbca/publicweb/apply/scep/pkiclient.exe | ||||
Mot de passe SCEP | Par défaut = Vide. |