5.6.5 Certifikáty

Některé síťové služby 2N IP interkomu využívají pro komunikaci s ostatními zařízeními v síti zabezpečený protokol TLS. Tento protokol zamezuje třetím stranám odposlouchávat příp. modifikovat obsah komunikace. Při navazování spojení pomocí TLS protokolu probíhá jednostranná příp. oboustranná autentizace, která vyžaduje certifikáty a privátní klíče.

Služby interkomu, které využívají protokol TLS:

1. Web server (protokol HTTPS)
2. E-mail (protokol SMTP)
3. 802.1x (protokol EAP-TLS)
4. SIPs

2N IP interkomy umožňují nahrát sady certifikátů certifikačních autorit, které slouží k ověřování identity zařízení, se kterým interkom komunikuje, a zároveň nahrát osobní certifikáty a privátní klíče, pomocí kterých se šifruje komunikace.

Každé službě interkomu vyžadující certifikáty můžete přiřadit jednu ze sad certifikátů, viz kapitoly Web Server, E-mail a Streaming. Certifikáty mohou být sdíleny více službami současně.

2N IP interkom akceptuje certifikáty ve formátech DER (ASN1) a PEM.
2N IP interkom podporuje šifrování AES, DES a 3DES.
2N IP interkom podporuje algoritmy:
- RSA až 2048bitová velikost klíče pro certifikáty nahrané uživatelem; interně až 4096bitových klíčů (při připojování – přechodné a rovnocenné certifikáty)
- Elliptic Curves

Upozornění

CA certifikáty musí používat formát X.509 v3.

Při prvním připojení napájení k interkomu se automaticky vygeneruje tzv. Self Signed certifikát a privátní klíč, který lze použít pro službu Web server a E-mail bez nutnosti nahrát vlastní certifikát a privátní klíč.

Poznámka

V případě, že používáte Self Signed certifikát pro šifrování komunikace mezi web serverem interkomu a prohlížečem, komunikace je zabezpečena, ale prohlížeč vás upozorní, že nemůže ověřit důvěryhodnost certifikátu interkomu.

Aktuální přehled nahraných certifikátů certifikačních autorit a osobních certifikátů se zobrazuje ve dvou záložkách:

Stiskem tlačítka můžete do zařízení nahrát certifikát uložený ve vašem PC. V dialogovém okně lze vyplnit ID certifikátu pro identifikaci při jeho výběru, úpravě či mazání. ID může být maximálně 40 znaků dlouhé, může obsahovat malé a velké znaky abecedy, číslice a znaky '_' a '-'. ID není povinné. Vyberte soubor s certifikátem (příp. privátním klíčem) a stiskněte tlačítko Nahrát. Stiskem tlačítka certifikát ze zařízení odstraníte. Stiskem tlačítka zobrazíte informace o certifikátu.

Upozornění

Po aktualizaci firmwaru nebo restartu, změní zařízení Self signed certifikát na nový. Je třeba zkontrolovat a porovnat certifikát zobrazující se na zařízení s certifikátem na webu, zda-li jsou shodné.

Upozornění

Je možné, že certifikát s delším privátním RSA klíčem než je 2048 bitů bude odmítnut. V tomto případě se zobrazí hláška: Soubor s privátním klíčem nebo heslo nebylo zařízením akceptováno!

V případě použití certifikátů založených na eliptických křivkách je možné použít pouze křivky secp256r1 (aka prime256v1 aka NIST P-256) a secp384r1 (aka NIST P-384).

Záložka CSR (Certificate Signing Request)

Ve webovém konfiguračním rozhraní můžete vytvořit vlastní CSR (Certificate Signing Request), který následně předložíte certifikační autoritě (CA) k podpisu. Tento proces zajišťuje, že certifikát je správně spárován s privátním klíčem, který byl vygenerován při vytvoření CSR a zůstává bezpečně uložen pouze ve vašem zařízení.

Novou žádost o certifikát vytvoříte kliknutím na .
Zobrazí se dialogové okno, ve kterém vyplňte následující informace:
- Common Name (CN) – tato položka musí obsahovat IP adresu nebo doménové jméno, pod kterým je přístupné webové rozhraní zařízení 2N IP Interkom.
- SAN: mDNS – povoluje zahrnutí mDNS (Multicast DNS) jako alternativního názvu subjektu (SAN) v certifikátu. Používá se pro přístup přes doménové jméno v lokální síti.
- SAN: IP – povoluje zahrnutí IP adresy jako alternativního názvu subjektu (SAN) v certifikátu. Používá se pro přístup přes IP adresu.
- Algoritmus veřejného klíče – určuje typ algoritmu použitého pro generování veřejného klíče v certifikátu.
- CSR ID – unikátní identifikátor žádosti o podpis certifikátu (Certificate Signing Request).
- Country (C) – dvoupísmenný kód země, kde je organizace registrována (dle standardu ISO 3166-1 alpha-2).
- State/Country/Region (S) – stát nebo region, kde je organizace registrována (nezkráceno).
- City/Locality (L) – název města nebo lokality, kde je organizace registrována (nezkráceno).
- Organization (O) – právní název organizace, včetně všech přípon jako Inc., Corp., Ltd.
- Organizational Unit (OU) – název oddělení nebo jednotky v rámci organizace.
- E-mail – e-mailová adresa kontaktní osoby nebo správce certifikátů.
Kliknutím Generovat vytvoříte žádost o podpis certifikátů. Vytvořený CSR soubor stáhněte a uložte na bezpečné místo.
Předejte vytvořený CSR soubor certifikační autoritě (CA), která na jeho základě vystaví digitální certifikát.
Vystavený digitální certifikát nahrajte zpět k danému CSR souboru ve webovém rozhraní. Nahrání provedete kliknutím na v řádku dané žádosti o certifikaci.

Stiskem tlačítka odstraníte CSR. Stiskem tlačítka zobrazíte parametry CSR.