5.6.5 Certifikáty


Některé síťové služby 2N LTE interkomu využívají pro komunikaci s ostatními zařízeními v síti zabezpečený protokol TLS. Tento protokol zamezuje třetím stranám odposlouchávat příp. modifikovat obsah komunikace. Při navazování spojení pomocí TLS protokolu probíhá jednostranná příp. oboustranná autentizace, která vyžaduje certifikáty a privátní klíče.


Služby interkomu, které využívají protokol TLS:

    1. Web server (protokol HTTPS)
    2. E-mail (protokol SMTP)
    3. 802.1x (protokol EAP-TLS)
    4. SIPs

2N LTE interkomy umožňují nahrát sady certifikátů certifikačních autorit, které slouží k ověřování identity zařízení, se kterým interkom komunikuje, a zároveň nahrát osobní certifikáty a privátní klíče, pomocí kterých se šifruje komunikace.

  

Každé službě interkomu vyžadující certifikáty můžete přiřadit jednu ze sad certifikátů, viz kapitoly Web ServerE-mail a Streaming. Certifikáty mohou být sdíleny více službami současně.

  • 2N LTE interkom akceptuje certifikáty ve formátech DER (ASN1) a PEM.
  • 2N LTE interkom podporuje šifrování AES, DES a 3DES.
  • 2N LTE interkom podporuje algoritmy:
    • RSA až 2048bitová velikost klíče pro certifikáty nahrané uživatelem; interně až 4096bitových klíčů (při připojování – přechodné a rovnocenné certifikáty)
    • Elliptic Curves

Upozornění

  • CA certifikáty musí používat formát X.509 v3.


Při prvním připojení napájení k interkomu se automaticky vygeneruje tzv. Self Signed certifikát a privátní klíč, který lze použít pro službu Web server a E-mail bez nutnosti nahrát vlastní certifikát a privátní klíč. 

Poznámka

  • V případě, že používáte Self Signed certifikát pro šifrování komunikace mezi web serverem interkomu a prohlížečem, komunikace je zabezpečena, ale prohlížeč vás upozorní, že nemůže ověřit důvěryhodnost certifikátu interkomu.

Aktuální přehled nahraných certifikátů certifikačních autorit a osobních certifikátů se zobrazuje ve dvou záložkách:

Stiskem tlačítka  můžete do zařízení nahrát certifikát uložený ve vašem PC. V dialogovém okně lze vyplnit ID certifikátu pro identifikaci při jeho výběru, úpravě či mazání. ID může být maximálně 40 znaků dlouhé, může obsahovat malé a velké znaky abecedy, číslice a znaky '_' a '-'. ID není povinné. Vyberte soubor s certifikátem (příp. privátním klíčem) a stiskněte tlačítko Nahrát. Stiskem tlačítka certifikát ze zařízení odstraníte. Stiskem tlačítka  zobrazíte informace o certifikátu.

Upozornění

Po aktualizaci firmwaru nebo restartu, změní zařízení Self signed certifikát na nový. Je třeba zkontrolovat a porovnat certifikát zobrazující se na zařízení s certifikátem na webu, zda-li jsou shodné.


Poznámka

  • Je možné, že certifikát s delším privátním RSA klíčem než je 2048 bitů bude odmítnut. V tomto případě se zobrazí hláška: Soubor s privátním klíčem nebo heslo nebylo zařízením akceptováno !
  • V případě použití certifikátů založených na eliptických křivkách je možné použít pouze křivky secp256r1 (aka prime256v1 aka NIST P-256) a secp384r1 (aka NIST P-384).