Navegación:
Los servicios entre el sistema y las aplicaciones, según sean los parámetros del servicio que se utiliza para la conexión, requerirán el intercambio de certificados de seguridad. El sistema puede generar su propio certificado o se pueden cargar los certificados expedidos por una fuente de confianza.
![]() | Advertencia |
El proceso de “integración” (consulte la Guía de soluciones de VPN SSL de IP Office) agrega automáticamente un certificado para la VPN SSL a la configuración de seguridad del sistema cuando el archivo de integración se carga en el sistema. Se debe tener cuidado de no eliminar dichos certificados, excepto que Avaya lo recomiende. |
Campo | Descripción | ||||
---|---|---|---|---|---|
Certificado de identidad: El Certificado de identidad es un certificado X.509v3 que identifica el sistema a un dispositivo cliente que se conecta (generalmente una PC que ejecuta una aplicación). Este certificado se ofrece en el intercambio de TLS cuando el sistema actúa como servidor TLS, lo que ocurre cuando se accede a un servicio seguro. Un certificado de identidad también puede utilizarse cuando IPOffice actúa como cliente TLS y el servidor TLS solicita que IPOffice envíe un certificado de cliente. De manera predeterminada, se utiliza el certificado autogenerado por el sistema. Un certificado se genera cuando el Nivel de seguridad de servicio se configura a un valor distinto de Solo modo no seguro. El certificado puede demorar hasta un minuto en generarse. Durante este tiempo, se suspende el funcionamiento normal del sistema. Si hace clic en Eliminar, puede volver a generar el certificado. Volver a generar un certificado puede afectar el rendimiento del sistema. Realice esta acción durante una ventana de mantenimiento. Use el comando Establecer para reemplazar el certificado generado por el sistema con un certificado externo. |
|||||
Ofrecer certificado | Predeterminado = Activado. Este es un valor fijo con fines indicativos solamente. Establece si el sistema ofrecerá un certificado en el intercambio de TLS cuando IP Office actúe como servidor TLS, lo que ocurre cuando se accede a un servicio seguro. |
||||
Ofrecer cadena de certificado de ID | Predeterminado = Desactivado. Cuando esté configurado en Activado, esta configuración le instruye a IP Office anunciar una cadena de certificados en el establecimiento de la sesión TLS. La cadena de certificados se construye comenzando con el certificado de identidad, luego se agregan a la cadena todos los certificados que puede encontrar en el Almacén de certificados de confianza de IP Office en función del Nombre común del campo del Nombre de sujeto distinguido "Emitido por" en cada uno de los certificados de la cadena. Si el certificado CA Root se encuentra en el Almacén de certificados de confianza de IP Office, será incluido en la cadena de certificados. Se admite un máximo de seis certificados en la cadena de certificados anunciada. |
||||
Firma | Predeterminado = SHA256/RSA2048. Esta opción configura el algoritmo de firma y la longitud de la clave RSA a utilizar cuando se genere el certificado de identidad de IP Office. Las opciones son:
Si se necesita cualquier otra combinación, el Administrador de seguridad deberá elaborar el certificado de identidad IP Office fuera de Manager y utilizar la acción Establecer para instalarlo. |
||||
Clave privada | Predeterminada = Valor aleatorio generado por el sistema. Aparece un campo vacío. Use este campo para introducir una clave privada. Si establece una clave privada, solo se utilizará en el caso de certificados autofirmados. Para establecer la clave privada, debe hacer clic en Eliminar para generar un nuevo certificado. |
||||
Emitido a | Predeterminado = Certificado de identidad de IP Office Nombre común del emisor en el certificado. |
||||
Nombre de asunto predeterminado | Predeterminado = Ninguna. | ||||
Nombre(s) alternativo(s) de asunto | Predeterminado = Ninguna. | ||||
Ajustar | Establece el certificado actual y la clave privada asociada. El certificado y la clave deben coincidir. El origen puede ser
IP Office es compatible con certificados que tienen tamaños de clave RSA de 1024, 2048 y 4096 bits. El uso del tamaño de clave RSA de 4096 puede afectar el rendimiento del sistema. El tamaño de clave recomendado es de 2048. IP Office admite algoritmos de firma de SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El uso de un tamaño de firma mayor que SHA-256 puede afectar el rendimiento del sistema. El algoritmo de firma recomendado es de SHA-256. Uso de un archivo como origen del certificado: En Manager, cuando se utiliza la opción de archivo, el archivo “p12”, “pfx” o “cer” importado para la configuración del certificado de identidad solo puede tener la clave privada y la información del certificado de identidad. No puede contener certificados Intermediate CA o el certificado Root CA. Los certificados Intermediate CA o el certificado Root CA se deben importar por separado en el depósito de certificados de confianza de IP Office. Esto no se aplica a Web Manager.
|
||||
Ver | Ver el certificado actual. El certificado (no la clave privada) también puede instalarse en el almacén de certificados de la PC local para su exportación o posterior uso cuando se ejecuta la aplicación Manager en modo seguro. | ||||
Eliminar | Elimina el certificado actual y el sistema genera un nuevo certificado. Esto puede demorar hasta un minuto en generarse. Durante este tiempo, se suspende el funcionamiento normal del sistema. Volver a generar un certificado puede afectar el rendimiento del sistema. Realice esta acción durante una ventana de mantenimiento. |
||||
Usar un Certificado de identidad diferente para telefonía | Predeterminado = Desactivado. Cuando se establece en Desactivado, todas las comunicaciones seguras utilizan el certificado de identidad y las configuraciones predeterminadas. Cuando se establece en Activado, las comunicaciones seguras relacionadas con telefonía utilizan un certificado de identidad aparte que debe establecer el Administrador de seguridad. |
||||
Verificaciones de certificados recibidas (Interfaz de administración) | Predeterminado = Ninguna. Este ajuste se utiliza en conexiones de administración de configuración en el sistema de aplicaciones como Manager. Cuando el Nivel de seguridad del servicio que está siendo utilizado se configura a Alto, el sistema solicita un certificado. El certificado recibido es comprobado de la siguiente manera:
|
||||
Verificaciones de certificados recibidas (Terminales de telefonía) | Predeterminado = Ninguna. Este parámetro se utiliza con las terminales de telefonía IP conectadas al sistema. Esta opción la utiliza IP Office para validar el certificado de identidad que ofrece el otro extremo de la conexión TLS. IP Office no admite autenticación mutua para terminales SIP (no se instala un certificado de identidad en todos los terminales SIP). Por lo tanto, IP Office no solicita un certificado de cliente de un terminal SIP; únicamente de troncales SIP y SM. El certificado recibido es comprobado de la siguiente manera:
|
||||
Almacén de certificados de confianza: Certificados instalados | Predeterminado = Un conjunto de certificados fijos Intermediate CA o Root CA provistos por Avaya. El almacén de certificados contiene un grupo de certificados de confianza usado para evaluar los certificados recibidos del cliente. Pueden instalarse hasta 25 certificados X.509v3. El origen puede ser:
|
||||
Agregar | Establece el certificado actual y la clave privada asociada. El certificado y la clave deben coincidir. El origen puede ser:
IP Office es compatible con certificados que tienen tamaños de clave RSA de 1024, 2048 y 4096 bits. El uso del tamaño de clave RSA de 4096 puede afectar el rendimiento del sistema. El tamaño de clave recomendado es de 2048. IP Office admite algoritmos de firma de SHA-1, SHA-224, SHA-256, SHA-384 y SHA-512. El uso de un tamaño de firma mayor que SHA-256 puede afectar el rendimiento del sistema. El algoritmo de firma recomendado es de SHA-256. |
||||
Ver | Ver el certificado actual. El certificado (no la clave privada) también puede instalarse en el almacén de certificados de la PC local para su exportación o posterior uso cuando se ejecuta la aplicación Manager en modo seguro. | ||||
Eliminar | Eliminar el certificado actual. | ||||
Configuración SCEP El Protocolo simple de inscripción de certificados es un protocolo diseñado para facilitar la emisión de certificados en una red donde numerosos dispositivos están utilizando certificados. En lugar de tener que administrar de forma individual el certificado utilizado por cada dispositivo, los dispositivos pueden ser configurados para solicitar un certificado utilizando SCEP. Estos parámetros son relevantes para implementaciones de IP Office Branch. Estas configuraciones no se utilizan en el modo Standard de IP Office. |
|||||
Activo | Predeterminado = Desactivado. | ||||
Intervalo de solicitud (segundos) | Predeterminado = 120 segundos. Intervalo = 5 a 3600 segundos. | ||||
IP/Name del servidor de SCEP | Predeterminado = En blanco. | ||||
Puerto del servidor de SCEP | Predeterminado = 80 para HTTP y 443 para HTTPS. | ||||
URI SCEP | Predeterminado = /ejbca/publicweb/apply/scep/pkiclient.exe | ||||
Contraseña SCEP | Predeterminado = En blanco. |