Certificati

Navigazione: Gestione sicurezza > Certificati

I servizi tra il sistema e l'applicazione potrebbero richiedere, in base alle impostazioni del servizio utilizzato per il collegamento, lo scambio di certificati di sicurezza. Il sistema può generare il proprio certificato o è possibile caricare i certificati da una fonte affidabile.

warningAvvertenza:

Il processo di 'on-boarding' (fare riferimento al manuale d'installazione IP Office e alla guida alle soluzioni SSL VPN di IP Office) aggiunge automaticamente un certificato per VPN SSL alle impostazioni di sicurezza del sistema quando il file on-boarding viene caricato nel sistema. Fare attenzione a non eliminare questo tipo di certificati se non espressamente indicato da Avaya.

Campo Descrizione
Certificato identità:

Il certificato di identità è un certificato X.509v3 che identifica il sistema in un dispositivo client di connessione (normalmente un PC che utilizza una determinata applicazione). Il certificato viene offerto in TLS Exchange quando il sistema funziona come server TLS, cioè durante l'accesso a un servizio protetto. È possibile utilizzare un certificato di identità anche quando IP Office funge da client TLS e il server TLS richiede a IP Office l'invio di un certificato client.

Per impostazione predefinita, viene utilizzato il certificato generato automaticamente dal sistema. Viene generato un certificato quando il livello di sicurezza del servizio è impostato su un valore diverso da Solo non protetto. La generazione del certificato richiede al massimo un minuto. Durante questo periodo il normale funzionamento del sistema viene sospeso. È possibile rigenerare il certificato facendo clic su Elimina. La rigenerazione di un certificato potrebbe influire sulle prestazioni del sistema. Eseguire questa operazione durante una fase di manutenzione.

Utilizzare il comando Imposta per sostituire il certificato generato dal sistema con un certificato esterno.

Offri certificato impostazione predefinita = opzione attivata.

Valore fisso utilizzato solo a scopo informativo. Definisce se il sistema offrirà un certificato in TLS Exchange quando IP Office fungerà da server TLS, vale a dire durante l'accesso a un servizio protetto.

Offri catena certificati ID Impostazione predefinita = opzione disattivata.

Se questa impostazione è attivata, indica a IP Office di segnalare una catena di certificati nell'impostazione di una sessione TLS. La catena di certificati viene creata cominciando dal certificato di identità e aggiungendo alla catena tutti i certificati disponibili nell'archivio dei certificati attendibili di IP Office, basato sul nome comune disponibile nel campo del nome distinto dell'oggetto "Emesso da", in ciascuno dei certificati della catena. Se il certificato dell'autorità di certificazione radice è disponibile nell'archivio dei certificati attendibili di IP Office, verrà incluso nella catena di certificati. La catena di certificati segnalati supporta un massimo di sei certificati.

Firma impostazione predefinita = SHA256/RSA2048.

Questa impostazione consente di configurare sia l'algoritmo della firma che la lunghezza della chiave RSA da utilizzare al momento della generazione del certificato di identità di IP Office. Sono disponibili le seguenti opzioni:

  • SHA256/RSA2048

  • SHA1/RSA1024

Se sono necessarie altre combinazioni, l'amministratore di sicurezza dovrà predisporre il certificato di identità di IP Office al di fuori di Manager e utilizzare l'azione Imposta per installarlo.

Chiave privata Impostazione predefinita = valore casuale generato dal sistema. Viene visualizzato un campo vuoto.

Utilizzare questo campo per immettere una chiave privata. Se si imposta una chiave privata, viene utilizzata solo in caso di certificati autofirmati. Per impostare la chiave privata, è necessario fare clic su Elimina per generare un nuovo certificato.

Emesso per Impostazione predefinita = Certificato di identità di IP Office.

Nome comune di chi ha emesso il certificato.

Nome soggetto predefinito Impostazione predefinita = Nessuna.
Nomi soggetti alternativi Impostazione predefinita = Nessuna.
Impostare Impostare il certificato attuale e la chiave privata ad esso associata. Il certificato e la chiave devono combaciare. La fonte può essere
  • Archivio certificati utente corrente.

  • Archivio certificati del computer locale.

  • File in formato PKCS#12 (.pfx)

  • Incollata dagli Appunti in formato PEM, compreso il testo di intestazione e piè di pagina.

    È necessario utilizzare questo metodo per i file PEM (.cer) e PEM (.cer) protetti tramite password. Il certificato di identità richiede sia il certificato che la chiave privata. Il formato .cer non contiene la chiave privata. Per questi tipi di file, selezionare Incolla dagli Appunti, quindi copiare il testo del certificato e il testo della chiave privata nella finestra Acquisisci testo certificato.

IP Office supporta certificati con dimensioni della chiave RSA di 1024, 2048 e 4096 bit. L'utilizzo della chiave RSA a 4096 bit potrebbe influire sulle prestazioni del sistema. Le dimensioni consigliate della chiave sono di 2048 bit.

IP Office supporta gli algoritmi della firma SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512. L'utilizzo di una firma con dimensioni superiori a SHA-256 potrebbe influire sulle prestazioni del sistema. L'algoritmo della firma consigliato è SHA-256.

Utilizzo di un file come origine del certificato

In Manager, quando si utilizza questa opzione, il file "p12" "pfx" o "cer" per l'impostazione del certificato di identità può contenere solo la chiave privata e i dati del certificato di identità. Non può contenere certificati di autorità di certificazione intermedie o un certificato dell'autorità di certificazione radice. I certificati di autorità di certificazione intermedie o il certificato dell'autorità di certificazione radice devono essere importati separatamente nell'archivio dei certificai affidabiliIP Office.

Non si applica a Web Manager.

noteNota

Web Manager non accetta il file di tipo "cer" con interno ".cer". Questo tipo di file può essere utilizzato solo in Manager.

Visualizza Visualizza il certificato corrente. Il certificato (non la chiave privata) può inoltre essere installato nell'archivio certificati del PC locale, per esportazione o uso futuro durante l'esecuzione di Manager in modalità protetta.
Elimina Elimina il certificato corrente e il sistema genera un nuovo certificato. La generazione del nuovo certificato richiede al massimo un minuto. Durante questo periodo il normale funzionamento del sistema viene sospeso.

La rigenerazione di un certificato potrebbe influire sulle prestazioni del sistema. Eseguire questa operazione durante una fase di manutenzione.

 
Utilizzare un certificato di identità diverso per la telefonia Impostazione predefinita = opzione disattivata.

Se l'opzione è disattivata, tutte le comunicazioni protette utilizzano il certificato di identità e le relative impostazioni di tipo predefinito.

Se l'opzione è attivata, le comunicazioni protette correlate alla telefonia utilizzano un certificato di identità separato, che deve essere impostato dall'amministratore di sicurezza.

Verifiche del certificato ricevuto (interfaccia di gestione) Impostazione predefinita = Nessuna.

Questa impostazione si utilizza per configurare i collegamenti dell'amministrazione al sistema mediante applicazioni quali Manager. Impostando il livello di sicurezza servizio del servizio utilizzato su Alto, il sistema richiederà un certificato. Il certificato ricevuto sarà verificato come segue:

  • Nessuna: non viene eseguita alcuna ulteriore verifica (il certificato deve essere valido).

  • Basso: dimensione minima della chiave del certificato a 1024 bit, valida.

  • Media: dimensione minima della chiave del certificato a 1024 bit, valida, corrispondente all'archivio.

  • Alta: dimensione minima chiave certificato 2048 bit (valida) corrispondente all'archivio, non autofirmata, non riflessa.

Verifiche del certificato ricevuto (terminali di telefonia) Impostazione predefinita = Nessuna.

Questa impostazione si utilizza con i terminali di telefonia IP di collegamento al sistema.

Questa impostazione viene utilizzata da IP Office per la convalida del certificato di identità inviato dall'altra estremità della connessione TLS. IP Office non supporta l'autenticazione reciproca per i terminali SIP (non viene installato un certificato di identità in tutti i terminali SIP). Pertanto, IP Office non richiede un certificato client a un terminale SIP, ma solo ai trunk SIP e SM.

Il certificato ricevuto sarà verificato come segue:

  • Nessuna: non viene eseguita alcuna ulteriore verifica (il certificato deve essere valido).

  • Basso: dimensione minima della chiave del certificato a 1024 bit, valida.

  • Media: dimensione minima della chiave del certificato a 1024 bit, valida, corrispondente all'archivio.

  • Alta: dimensione minima chiave certificato 2048 bit (valida) corrispondente all'archivio, non autofirmata, non riflessa.

Archivio dei certificati attendibili: certificati installati Impostazione predefinita = una serie di certificati fissi di autorità di certificazione intermedie o radice, forniti da Avaya.

Lo store dei certificati include una serie di certificati affidabili utilizzati per valutare i certificati dei client ricevuti. È possibile installare fino a 25 certificati X.509v3. La fonte può essere:

  • Archivio certificati utente corrente.

  • Archivio certificati del computer locale.

  • File in uno dei seguenti formati:
    • PKCS#12 (.pfx)

    • PEM (.cer)

    • PEM (.cer) protetto tramite password

    • DER (.cer)

    • DER (.cer) protetto tramite password

  • Incollata dagli Appunti in formato PEM, compreso il testo di intestazione e piè di pagina.

Aggiungi Impostare il certificato attuale e la chiave privata ad esso associata. Il certificato e la chiave devono combaciare. La fonte può essere:
  • Archivio certificati utente corrente.

  • Archivio certificati del computer locale.

  • File in uno dei seguenti formati:
    • PEM (.cer)

    • PEM (.cer) protetto tramite password

    • DER (.cer)

    • DER (.cer) protetto tramite password

  • Incollata dagli Appunti in formato PEM, compreso il testo di intestazione e piè di pagina.

    È necessario utilizzare questo metodo per i file PKCS#12 (.pfx). Il formato PKCS#12 (.pfx) contiene una chiave privata e un certificato attendibile non può contenere una chiave privata. Per questo tipo di file, selezionare Incolla dagli Appunti, quindi copiare il testo del certificato nella finestra Acquisisci testo certificato.

IP Office supporta certificati con dimensioni della chiave RSA di 1024, 2048 e 4096 bit. L'utilizzo della chiave RSA a 4096 bit potrebbe influire sulle prestazioni del sistema. Le dimensioni consigliate della chiave sono di 2048 bit.

IP Office supporta gli algoritmi della firma SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512. L'utilizzo di una firma con dimensioni superiori a SHA-256 potrebbe influire sulle prestazioni del sistema. L'algoritmo della firma consigliato è SHA-256.

Visualizza Visualizza il certificato corrente. Il certificato (non la chiave privata) può inoltre essere installato nell'archivio certificati del PC locale, per esportazione o uso futuro durante l'esecuzione di Manager in modalità protetta.
Elimina Elimina il certificato corrente.
 
Impostazioni SCEP

Il Simple Certificate Enrollment Protocol è un protocollo inteso a semplificare l'emissione di certificati in una rete con presenza di diversi dispositivi che utilizzano certificati. Piuttosto di gestire singolarmente il certificato utilizzato da ogni dispositivo, i dispositivi possono essere configurati affinché richiedano un certificato mediante SCEP.

Queste impostazioni sono pertinenti per le implementazioni IP Office Branch.

Queste impostazioni non si utilizzano in modalità IP OfficeStandard.

Attivo Impostazione predefinita = opzione disattivata.
Intervallo richiesto (secondi) impostazione predefinita = 120 secondi. Intervallo = Da 5 a 3600 secondi.
IP/Name server SCEP impostazione predefinita = nessuna impostazione.
Porta del server SCEP. impostazione predefinita = 80 per HTTP e 443 per HTTPS.
URI SCEP impostazione predefinita = /ejbca/publicweb/apply/scep/pkiclient.exe
Password SCEP impostazione predefinita = nessuna impostazione.