Certificats

Navigation : Gestionnaire de sécurité > Certificats

Les Services entre le système et les applications peuvent, dépendamment des paramètres du service utilisé pour la connexion, nécessiter l'échange de certificats de sécurité. Le système peut créer son propre certificat ou bien utiliser des certificats chargés auprès d'une source de confiance.

warningAvertissement

Le processus d'« intégration » (se reporter au Guide de solutions IP Office SSL VPN) ajoute automatiquement un certificat pour le réseau privé virtuel SSL aux paramètres de sécurité du système lorsque le fichier d'intégration est chargé dans le système. Veillez à ne pas effacer ces certificats, sauf si Avaya vous invite à le faire.

Champ Description
Certificat d'identité :

Le Certificat d'identité est un certificat X.509v3 qui identifie le système pour un dispositif de connexion du client (habituellement un PC exécutant une application). Ce certificat est présenté dans l'échange TLS lorsque le système agit en tant que serveur TLS, ce qui se produit lors de l'accès à un service sécurisé. Un certificat d'identité peut également être utilisé lorsqu'un IPOffice agit en tant que client TLS et que le serveur TLS exige que l'IPOffice envoie le certificat du client.

Par défaut, le certificat généré par le système est utilisé. Un certificat est généré lorsqu'un Niveau de sécurité du service est défini sur une valeur autre que Non sécurisé uniquement. Ce certificat peut prendre jusqu'à une minute pour être généré. Pendant ce temps, le fonctionnement normal du système est suspendu. Vous pouvez régénérer le certificat en cliquant sur Supprimer. La régénération du système peut avoir un impact sur la performance du système. Exécuter cette action pendant qu'il y a une fenêtre d'entretien.

Utiliser la commander Régler pour remplacer le certificat généré par le système par un autre certificat externe.

Présenter un certificat Par défaut = Activée.

Il s'agit d'une valeur fixe à titre indicatif uniquement. Cette option définit si le système présente un certificat dans l'échange TLS lorsque IP Office agit en tant que serveur TLS, ce qui se produit lors de l'accès à un service sécurisé.

Présenter un groupe de certificats d'identité Par défaut = Désactivé.

Lorsque ce paramètre est réglé sur Activé, il indique à IP Office d'annoncer une chaîne de certificats dans l'établissement de séance TLS. La chaîne de certificats est créée en commençant par le certificat d'identité puis en ajouter à la chaîne tous les certificats disponibles dans le IP Office Trusted Certificate Store se trouvant dans le Nom commun du champ Nom distingué de l'objet "Publié par" pour chaque certificat de la chaîne. Si le certificat Root CA se trouve dans le IP Office Trusted Certificate Store, il sera inclus dans la chaîne de certificats. Un maximum de six certificats peuvent être supportés dans une chaîne de certificats annoncée.

Signature Par défaut = SHA256/RSA2048.

Ce paramètre permet de configurer à la fois l'algorithme de signature et la longueur de la clé RSA requis pour générer le certificat d'identité IP Office. Les options suivantes sont disponibles :

  • SHA256/RSA2048

  • SHA1/RSA1024

Si une autre combinaison est requise, l'Administrateur de sécurité devra construire le certificat d'identité IP Office hors du Gestionnaire et utiliser l'action Régler pour l'installer.

Clé privée Valeur par défaut - Valeur aléatoire générée par le système. Un champ vide est affiché.

Utiliser ce champ pour y saisir une clé privée. Si vous définissez une clé privée, elle ne peut être utilisée que pour les certificats signés automatiquement. Pour définir une clé privée, vous devez cliquer sur Supprimer pour générer un nouveau certificat.

Émis pour Par défaut : certificat d'identité IP Office.

Nom commun de l'émetteur dans le certificat.

Nom du sujet par défaut Par défaut = Aucune.
Autre(s) nom(s) du sujet Par défaut = Aucune.
Définir Définir le certificat actuel et la clé privée associée. Le certificat et la clé doivent correspondre. La source des certificats peut être :
  • Magasin de certificats de l'utilisateur actuel.

  • Magasin de certificats de l'ordinateur local.

  • Fichier en format PKCS#12 (.pfx)

  • Collé à partir du presse-papiers au format PEM, comprenant le texte de l'en-tête et du pied de page.

    Cette méthode doit être utilisée pour les fichiers PEM (.cer) et PEM protégés par mot de passe (.cer). Le certificat d'identité nécessite l'utilisation du certificat et de la clé privée. Le format .cer ne contient pas la clé privée. Pour ces types de fichier, sélectionner Coller à partir du presse-papier puis copier le texte du certificat et de la clé privée dans la fenêtre de saisie du texte du certificat.

IP Office prend en charge les certificats avec clé RSA de 1 024, 2 048 et 4 096 bits. L'utilisation d'une clé RSA de 4 096 peut avoir un impact sur la performance du système. La taille de clé recommandée est de 2 048.

IP Office prend en charge les algorithmes de signature SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. L'utilisation d'une signature plus volumineuse que SHA-256 peut avoir un impact sur la performance du système. L'algorithme de signature recommandé est SHA-256.

Utilisation d'un fichier comme source de certificat

Dans Manager, lorsque vous utilisez l'option Fichier, le fichier "p12", "pfx" ou "cer" importé pour paramétrer le certificat d'identité ne peut contenir que la clé privée et les données du certificat d'identité. Il ne peut pas contenir d'autres certificats AC intermédiaires ou le certificat AC racine. Les certificats AC intermédiaires ou le certificat AC racine doivent être importés séparément dans la bande de certificat approuvés IP Office.

Ceci ne s'applique pas à Web Manager.

noteRemarque

Web Manager n'accepte les fichiers du type "cer" avec l'extension ".cer". Ce type de fichier ne peut être utilisé que dans Manager.

Vue Affiche le certificat actuel. Le certificat (et non la clé privée) peut aussi être installé dans le magasin de certificats du PC local pour une exportation ou une utilisation ultérieure lorsque le Manager fonctionne en mode sécurisé.
Supprimer Supprime le certificat actuel ; le système en génère alors un nouveau. Il peut prendre jusqu'à une minute pour être généré. Pendant ce temps, le fonctionnement normal du système est suspendu.

La régénération du système peut avoir un impact sur la performance du système. Exécuter cette action pendant qu'il y a une fenêtre d'entretien.

 
Utiliser un autre certificat d'identité pour la téléphonie Par défaut = Désactivé.

Lorsque désactivé, toutes les communications sécurisées se servent du certificat d'identité et des réglages par défaut.

Lorsqu'activé, les communications sécurisées liées à la téléphonie se servent d'un certificat d'identité distinct qui doit être défini par l'Administrateur de la sécurité.

Vérifications du certificat reçu (interface de gestion) Par défaut = Aucune.

Ce paramètre est utilisé pour permettre à des applications telles que Manager d'établir des connexions d'administration et de configuration. Lorsque le Niveau de sécurité du service du service utilisé est défini sur Élevé, un certificat est exigé par le système. Le certificat reçu est évalué comme suit :

  • Aucun : Aucun contrôle supplémentaire n'est effectué (le certificat doit être à jour).

  • Faible : Certificat à jour avec clé de 1024 bits minimum.

  • Moyen : Certificat à jour avec clé de 1024 bits minimum, correspondant au magasin.

  • Élevé : Certificat à jour avec clé de 2 048 bits minimum, correspondant au magasin, non auto-signé et non copié, avec validation de la chaîne.

Vérifications du certificat reçu (points d'extrémité téléphoniques) Par défaut = Aucune.

Ce paramètre est utilisé avec les points d'extrémité de la téléphonie IP se connectant au système.

Ce réglage est utilisé par l'IP de bureau pour valider le certificat d'identité offert par l'autre extrémité de la connexion TLS. L'IP de bureau ne supporte par l'authentification mutuelle des bornes SIP (un certificat d'identité n'est pas installé sur les bornes SIP). Par conséquent, IP de bureau ne nécessite pas de certificat de client de la part des bornes SIP, uniquement des tronçons SIP et SM.

Le certificat reçu est évalué comme suit :

  • Aucun : Aucun contrôle supplémentaire n'est effectué (le certificat doit être à jour).

  • Faible : Certificat à jour avec clé de 1024 bits minimum.

  • Moyen : Certificat à jour avec clé de 1024 bits minimum, correspondant au magasin.

  • Élevé : Certificat à jour avec clé de 2 048 bits minimum, correspondant au magasin, non auto-signé et non copié, avec validation de la chaîne.

Magasin de certificats approuvés : certificats installés Valeur par défaut - Un jeux de certificats CA ou Root CA intermédiaires fournis par Avaya.

Le magasin de certificats contient un ensemble de certificats fiables utilisés pour évaluer les certificats reçus du client. Jusqu'à 25 certificats X.509v3 peuvent être installés. La source peut être :

  • Magasin de certificats de l'utilisateur actuel.

  • Magasin de certificats de l'ordinateur local.

  • Le fichier est disponible dans l'un des formats suivants :
    • PKCS#12 (.pfx)

    • PEM (.cer)

    • PEM protégé par mot de passe (.cer)

    • DER (.cer)

    • DER protégé par mot de passe (.cer)

  • Collé à partir du presse-papiers au format PEM, comprenant le texte de l'en-tête et du pied de page.

Ajout Définir le certificat actuel et la clé privée associée. Le certificat et la clé doivent correspondre. La source peut être :
  • Magasin de certificats de l'utilisateur actuel.

  • Magasin de certificats de l'ordinateur local.

  • Le fichier est disponible dans l'un des formats suivants :
    • PEM (.cer)

    • PEM protégé par mot de passe (.cer)

    • DER (.cer)

    • DER protégé par mot de passe (.cer)

  • Collé à partir du presse-papiers au format PEM, comprenant le texte de l'en-tête et du pied de page.

    Cette méthode doit être utilisée pour les fichiers PKCS#12 (.pfx). Le format PKCS#12 (.pfx) contient une clé privée ainsi qu'un certificat vérifié qui ne comprend pas de clé privée. Pour ce type de fichier, sélectionner Coller à partir du presse-papier puis copier le texte du certificat dans la fenêtre de saisie du texte du certificat.

IP Office prend en charge les certificats avec clé RSA de 1 024, 2 048 et 4 096 bits. L'utilisation d'une clé RSA de 4 096 peut avoir un impact sur la performance du système. La taille de clé recommandée est de 2 048.

IP Office prend en charge les algorithmes de signature SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. L'utilisation d'une signature plus volumineuse que SHA-256 peut avoir un impact sur la performance du système. L'algorithme de signature recommandé est SHA-256.

Vue Affiche le certificat actuel. Le certificat (et non la clé privée) peut aussi être installé dans le magasin de certificats du PC local pour une exportation ou une utilisation ultérieure lorsque le Manager fonctionne en mode sécurisé.
Supprimer Supprime le certificat actuel.
 
Paramètres SCEP

Le Protocole d'adhésion du certificat simple est un protocole destiné à faciliter l'émission des certificats dans un réseau dans lequel de nombreux services utilisent des certificats. Plutôt que d'avoir à administrer individuellement le certificat utilisé par chaque dispositif, les dispositifs peuvent être configurés de manière à demander un certificat à l'aide de SCEP.

Ces réglages sont pertinents pour les déploiements de la division IP de bureau.

Ces paramètres ne sont pas utilisés en mode IP Office Standard.

Activé Par défaut = Désactivé.
Intervalle entre les requêtes (secondes) Par défaut = 120 secondes. Plage = 5 à 3600 secondes.
IP/Name du serveur SCEP Par défaut = Vide.
Port du serveur SCEP. Par défaut = 80 pour HTTP et 443 pour HTTPS.
URI SCEP Par défaut = /ejbca/publicweb/apply/scep/pkiclient.exe
Mot de passe SCEP Par défaut = Vide.