5.5.5 Certifikáty


Některé síťové služby přístupové jednotky 2N využívají pro komunikaci s ostatními zařízeními v síti zabezpečený protokol TLS. Tento protokol zamezuje třetím stranám odposlouchávat příp. modifikovat obsah komunikace. Při navazování spojení pomocí TLS protokolu probíhá jednostranná příp. oboustranná autentizace, která vyžaduje certifikáty a privátní klíče.

Služby přístupových jednotek, které využívají protokol TLS:

  1. Web server (protokol HTTPS)
  2. E-mail (protokol SMTP)
  3. 802.1x (protokol EAP-TLS)
  4. SIPs

Přístupové jednotky 2N umožňují nahrát sady certifikátů certifikačních autorit, které slouží k ověřování identity zařízení, se kterým zařízení 2N komunikují, a zároveň nahrát osobní certifikáty a privátní klíče, pomocí kterých se šifruje komunikace.

 

Každé službě přístupového terminálu vyžadující certifikáty můžete přiřadit jednu ze sad certifikátů, viz kapitoly Web ServerE-mail a Streaming. Certifikáty mohou být sdíleny více službami současně.

Přístupové jednotky 2N:

  • akceptují certifikáty ve formátech DER (ASN1) a PEM.
  • podporují šifrování AES, DES a 3DES.
  • podporují algoritmy:
    • RSA až 2048bitová velikost klíče pro certifikáty nahrané uživatelem; interně až 4096bitových klíčů (při připojování – přechodné a rovnocenné certifikáty)
    • Elliptic Curves

Upozornění

  • CA certifikáty musí používat formát X.509 v3.

Při prvním připojení napájení k zařízení se automaticky vygeneruje tzv. Self Signed certifikát a privátní klíč, který lze použít pro službu Web server a E-mail bez nutnosti nahrát vlastní certifikát a privátní klíč.

Poznámka

  • V případě, že používáte Self Signed certifikát pro šifrování komunikace mezi web serverem zařízení a prohlížečem, komunikace je zabezpečena, ale prohlížeč vás upozorní, že nemůže ověřit důvěryhodnost certifikátu zařízení.

Aktuální přehled nahraných certifikátů certifikačních autorit a osobních certifikátů se zobrazuje ve dvou záložkách:

Stiskem tlačítka  můžete do zařízení nahrát certifikát uložený ve vašem PC. V dialogovém okně lze vyplnit ID certifikátu pro identifikaci při jeho výběru, úpravě či mazání. ID může být maximálně 40 znaků dlouhé, může obsahovat malé a velké znaky abecedy, číslice a znaky '_' a '-'. ID není povinné. Vyberte soubor s certifikátem (příp. privátním klíčem) a stiskněte tlačítko Nahrát. Stiskem tlačítka certifikát ze zařízení odstraníte. Stiskem tlačítka  zobrazíte informace o certifikátu.

Upozornění

Po aktualizaci firmwaru nebo restartu změní zařízení Self signed certifikát na nový. Je třeba zkontrolovat a porovnat certifikát zobrazující se na zařízení s certifikátem na webu, zda-li jsou shodné.


Upozornění

  • V případě použití certifikátů založených na eliptických křivkách je možné použít pouze křivky secp256r1 (aka prime256v1 aka NIST P-256) a secp384r1 (aka NIST P-384).