Navigazione:
I servizi tra il sistema e l'applicazione potrebbero richiedere, in base alle impostazioni del servizio utilizzato per il collegamento, lo scambio di certificati di sicurezza. Il sistema può generare il proprio certificato o è possibile caricare i certificati da una fonte affidabile.
![]() | Avvertenza: |
Il processo di 'on-boarding' (fare riferimento al manuale d'installazione IP Office e alla guida alle soluzioni SSL VPN di IP Office) aggiunge automaticamente un certificato per VPN SSL alle impostazioni di sicurezza del sistema quando il file on-boarding viene caricato nel sistema. Fare attenzione a non eliminare questo tipo di certificati se non espressamente indicato da Avaya. |
Campo | Descrizione | ||||
---|---|---|---|---|---|
Certificato identità: Il certificato di identità è un certificato X.509v3 che identifica il sistema in un dispositivo client di connessione (normalmente un PC che utilizza una determinata applicazione). Il certificato viene offerto in TLS Exchange quando il sistema funziona come server TLS, cioè durante l'accesso a un servizio protetto. È possibile utilizzare un certificato di identità anche quando IP Office funge da client TLS e il server TLS richiede a IP Office l'invio di un certificato client. Per impostazione predefinita, viene utilizzato il certificato generato automaticamente dal sistema. Viene generato un certificato quando il livello di sicurezza del servizio è impostato su un valore diverso da Solo non protetto. La generazione del certificato richiede al massimo un minuto. Durante questo periodo il normale funzionamento del sistema viene sospeso. È possibile rigenerare il certificato facendo clic su Elimina. La rigenerazione di un certificato potrebbe influire sulle prestazioni del sistema. Eseguire questa operazione durante una fase di manutenzione. Utilizzare il comando Imposta per sostituire il certificato generato dal sistema con un certificato esterno. |
|||||
Offri certificato | impostazione predefinita = opzione attivata. Valore fisso utilizzato solo a scopo informativo. Definisce se il sistema offrirà un certificato in TLS Exchange quando IP Office fungerà da server TLS, vale a dire durante l'accesso a un servizio protetto. |
||||
Offri catena certificati ID | Impostazione predefinita = opzione disattivata. Se questa impostazione è attivata, indica a IP Office di segnalare una catena di certificati nell'impostazione di una sessione TLS. La catena di certificati viene creata cominciando dal certificato di identità e aggiungendo alla catena tutti i certificati disponibili nell'archivio dei certificati attendibili di IP Office, basato sul nome comune disponibile nel campo del nome distinto dell'oggetto "Emesso da", in ciascuno dei certificati della catena. Se il certificato dell'autorità di certificazione radice è disponibile nell'archivio dei certificati attendibili di IP Office, verrà incluso nella catena di certificati. La catena di certificati segnalati supporta un massimo di sei certificati. |
||||
Firma | impostazione predefinita = SHA256/RSA2048. Questa impostazione consente di configurare sia l'algoritmo della firma che la lunghezza della chiave RSA da utilizzare al momento della generazione del certificato di identità di IP Office. Sono disponibili le seguenti opzioni:
Se sono necessarie altre combinazioni, l'amministratore di sicurezza dovrà predisporre il certificato di identità di IP Office al di fuori di Manager e utilizzare l'azione Imposta per installarlo. |
||||
Chiave privata | Impostazione predefinita = valore casuale generato dal sistema. Viene visualizzato un campo vuoto. Utilizzare questo campo per immettere una chiave privata. Se si imposta una chiave privata, viene utilizzata solo in caso di certificati autofirmati. Per impostare la chiave privata, è necessario fare clic su Elimina per generare un nuovo certificato. |
||||
Emesso per | Impostazione predefinita = Certificato di identità di IP Office. Nome comune di chi ha emesso il certificato. |
||||
Nome soggetto predefinito | Impostazione predefinita = Nessuna. | ||||
Nomi soggetti alternativi | Impostazione predefinita = Nessuna. | ||||
Impostare | Impostare il certificato attuale e la chiave privata ad esso associata. Il certificato e la chiave devono combaciare. La fonte può essere
IP Office supporta certificati con dimensioni della chiave RSA di 1024, 2048 e 4096 bit. L'utilizzo della chiave RSA a 4096 bit potrebbe influire sulle prestazioni del sistema. Le dimensioni consigliate della chiave sono di 2048 bit. IP Office supporta gli algoritmi della firma SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512. L'utilizzo di una firma con dimensioni superiori a SHA-256 potrebbe influire sulle prestazioni del sistema. L'algoritmo della firma consigliato è SHA-256. Utilizzo di un file come origine del certificato: In Manager, quando si utilizza questa opzione, il file "p12" "pfx" o "cer" per l'impostazione del certificato di identità può contenere solo la chiave privata e i dati del certificato di identità. Non può contenere certificati di autorità di certificazione intermedie o un certificato dell'autorità di certificazione radice. I certificati di autorità di certificazione intermedie o il certificato dell'autorità di certificazione radice devono essere importati separatamente nell'archivio dei certificai affidabiliIP Office. Non si applica a Web Manager.
|
||||
Visualizza | Visualizza il certificato corrente. Il certificato (non la chiave privata) può inoltre essere installato nell'archivio certificati del PC locale, per esportazione o uso futuro durante l'esecuzione di Manager in modalità protetta. | ||||
Elimina | Elimina il certificato corrente e il sistema genera un nuovo certificato. La generazione del nuovo certificato richiede al massimo un minuto. Durante questo periodo il normale funzionamento del sistema viene sospeso. La rigenerazione di un certificato potrebbe influire sulle prestazioni del sistema. Eseguire questa operazione durante una fase di manutenzione. |
||||
Utilizzare un certificato di identità diverso per la telefonia | Impostazione predefinita = opzione disattivata. Se l'opzione è disattivata, tutte le comunicazioni protette utilizzano il certificato di identità e le relative impostazioni di tipo predefinito. Se l'opzione è attivata, le comunicazioni protette correlate alla telefonia utilizzano un certificato di identità separato, che deve essere impostato dall'amministratore di sicurezza. |
||||
Verifiche del certificato ricevuto (interfaccia di gestione) | Impostazione predefinita = Nessuna. Questa impostazione si utilizza per configurare i collegamenti dell'amministrazione al sistema mediante applicazioni quali Manager. Impostando il livello di sicurezza servizio del servizio utilizzato su Alto, il sistema richiederà un certificato. Il certificato ricevuto sarà verificato come segue:
|
||||
Verifiche del certificato ricevuto (terminali di telefonia) | Impostazione predefinita = Nessuna. Questa impostazione si utilizza con i terminali di telefonia IP di collegamento al sistema. Questa impostazione viene utilizzata da IP Office per la convalida del certificato di identità inviato dall'altra estremità della connessione TLS. IP Office non supporta l'autenticazione reciproca per i terminali SIP (non viene installato un certificato di identità in tutti i terminali SIP). Pertanto, IP Office non richiede un certificato client a un terminale SIP, ma solo ai trunk SIP e SM. Il certificato ricevuto sarà verificato come segue:
|
||||
Archivio dei certificati attendibili: certificati installati | Impostazione predefinita = una serie di certificati fissi di autorità di certificazione intermedie o radice, forniti da Avaya. Lo store dei certificati include una serie di certificati affidabili utilizzati per valutare i certificati dei client ricevuti. È possibile installare fino a 25 certificati X.509v3. La fonte può essere:
|
||||
Aggiungi | Impostare il certificato attuale e la chiave privata ad esso associata. Il certificato e la chiave devono combaciare. La fonte può essere:
IP Office supporta certificati con dimensioni della chiave RSA di 1024, 2048 e 4096 bit. L'utilizzo della chiave RSA a 4096 bit potrebbe influire sulle prestazioni del sistema. Le dimensioni consigliate della chiave sono di 2048 bit. IP Office supporta gli algoritmi della firma SHA-1, SHA-224, SHA-256, SHA-384 e SHA-512. L'utilizzo di una firma con dimensioni superiori a SHA-256 potrebbe influire sulle prestazioni del sistema. L'algoritmo della firma consigliato è SHA-256. |
||||
Visualizza | Visualizza il certificato corrente. Il certificato (non la chiave privata) può inoltre essere installato nell'archivio certificati del PC locale, per esportazione o uso futuro durante l'esecuzione di Manager in modalità protetta. | ||||
Elimina | Elimina il certificato corrente. | ||||
Impostazioni SCEP Il Simple Certificate Enrollment Protocol è un protocollo inteso a semplificare l'emissione di certificati in una rete con presenza di diversi dispositivi che utilizzano certificati. Piuttosto di gestire singolarmente il certificato utilizzato da ogni dispositivo, i dispositivi possono essere configurati affinché richiedano un certificato mediante SCEP. Queste impostazioni sono pertinenti per le implementazioni IP Office Branch. Queste impostazioni non si utilizzano in modalità IP OfficeStandard. |
|||||
Attivo | Impostazione predefinita = opzione disattivata. | ||||
Intervallo richiesto (secondi) | impostazione predefinita = 120 secondi. Intervallo = Da 5 a 3600 secondi. | ||||
IP/Name server SCEP | impostazione predefinita = nessuna impostazione. | ||||
Porta del server SCEP. | impostazione predefinita = 80 per HTTP e 443 per HTTPS. | ||||
URI SCEP | impostazione predefinita = /ejbca/publicweb/apply/scep/pkiclient.exe | ||||
Password SCEP | impostazione predefinita = nessuna impostazione. |