Některé síťové služby2N LTE interkomu využívají pro komunikaci s ostatními zařízeními v síti zabezpečený protokol TLS. Tento protokol zamezuje třetím stranám odposlouchávat příp. modifikovat obsah komunikace. Při navazování spojení pomocí TLS protokolu probíhá jednostranná příp. oboustranná autentizace, která vyžaduje certifikáty a privátní klíče.
Služby interkomu, které využívají protokol TLS:
Web server (protokol HTTPS)
E-mail (protokol SMTP)
802.1x (protokol EAP-TLS)
SIPs
2N LTE interkomyumožňují nahrát sady certifikátů certifikačních autorit, které slouží k ověřování identity zařízení, se kterým interkom komunikuje, a zároveň nahrát osobní certifikáty a privátní klíče, pomocí kterých se šifruje komunikace.
Každé službě interkomu vyžadující certifikáty můžete přiřadit jednu ze sad certifikátů, viz kapitoly Web Server, E-mail a Streaming. Certifikáty mohou být sdíleny více službami současně.
2N LTE interkom akceptuje certifikáty ve formátech DER (ASN1) a PEM.
2N LTE interkom podporuje šifrování AES, DES a 3DES.
2N LTE interkom podporuje algoritmy:
RSA až 2048bitová velikost klíče pro certifikáty nahrané uživatelem; interně až 4096bitových klíčů (při připojování – přechodné a rovnocenné certifikáty)
Elliptic Curves
Upozornění
CA certifikáty musí používat formát X.509 v3.
Při prvním připojení napájení k interkomu se automaticky vygeneruje tzv. Self Signed certifikát a privátní klíč, který lze použít pro službu Web server a E-mail bez nutnosti nahrát vlastní certifikát a privátní klíč.
Poznámka
V případě, že používáteSelfSigned certifikát pro šifrování komunikace mezi web serverem interkomu a prohlížečem, komunikace je zabezpečena, ale prohlížeč vás upozorní, že nemůže ověřit důvěryhodnost certifikátu interkomu.
Aktuální přehled nahraných certifikátů certifikačních autorit a osobních certifikátů se zobrazuje ve dvou záložkách:
Stiskem tlačítka můžete do zařízení nahrát certifikát uložený ve vašem PC.V dialogovém okně lze vyplnit ID certifikátu pro identifikaci při jeho výběru, úpravě či mazání. ID může být maximálně 40 znaků dlouhé, může obsahovat malé a velké znaky abecedy, číslice a znaky '_' a '-'. ID není povinné. Vyberte soubor s certifikátem (příp. privátním klíčem) a stiskněte tlačítko Nahrát. Stiskem tlačítkacertifikát ze zařízení odstraníte. Stiskem tlačítkazobrazíte informace o certifikátu.
Upozornění
Po aktualizaci firmwaru nebo restartu, změní zařízení Self signed certifikát na nový. Je třeba zkontrolovat a porovnat certifikát zobrazující se na zařízení s certifikátem na webu, zda-li jsou shodné.
Poznámka
Je možné, že certifikát s delším privátním RSA klíčem než je 2048 bitů bude odmítnut. V tomto případě se zobrazí hláška: Soubor s privátním klíčem nebo heslo nebylo zařízením akceptováno !
V případě použití certifikátů založených na eliptických křivkách je možné použít pouze křivky secp256r1 (aka prime256v1 aka NIST P-256) a secp384r1 (aka NIST P-384).
Záložka CSR (Certificate Signing Request)
Ve webovém konfiguračním rozhraní můžete vytvořit vlastní CSR (Certificate Signing Request), který následně předložíte certifikační autoritě (CA) k podpisu. Tento proces zajišťuje, že certifikát je správně spárován s privátním klíčem, který byl vygenerován při vytvoření CSR a zůstává bezpečně uložen pouze ve vašem zařízení.
Novou žádost o certifikát vytvoříte kliknutím na .
Zobrazí se dialogové okno, ve kterém vyplňte následující informace:
Algoritmus veřejného klíče – určuje typ algoritmu použitého pro generování veřejného klíče v certifikátu.
CSR ID – unikátní identifikátor žádosti o podpis certifikátu (Certificate Signing Request).
Country (C) – dvoupísmenný kód země, kde je organizace registrována (dle standardu ISO 3166-1 alpha-2).
State/Country/Region (S) – stát nebo region, kde je organizace registrována (nezkráceno).
City/Locality (L) – název města nebo lokality, kde je organizace registrována (nezkráceno).
Organization (O) – právní název organizace, včetně všech přípon jako Inc., Corp., Ltd.
Organizational Unit (OU) – název oddělení nebo jednotky v rámci organizace.
E-mail – e-mailová adresa kontaktní osoby nebo správce certifikátů.
Kliknutím Generovat vytvoříte žádost o podpis certifikátů. Vytvořený CSR soubor stáhněte a uložte na bezpečné místo.
Předejte vytvořený CSR soubor certifikační autoritě (CA), která na jeho základě vystaví digitální certifikát.
Vystavený digitální certifikát nahrajte zpět k danému CSR souboru ve webovém rozhraní. Nahrání provedete kliknutím na v řádku dané žádosti o certifikaci.