Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine
Kaugseadmega ühenduse krüptimiseks tuleb krüptimisvõti esmalt saata ja vastu võtta turvamata võrgu kaudu. Probleemi lahendab avaliku võtmega krüptograafia. Avaliku võtmega krüptograafia kaitseb tähtsat ja väärtuslikku teavet rünnakute eest (nt võrguliikluse pealtkuulamine, võltsimine ja võrgu kaudu liikuvate andmete omavoliline muutmine) ning tagab seeläbi turvalise ühenduse.
Võtmepaar
 |
|
Võtmepaar koosneb ühest avalikust võtmest ja salastatud võtmest, ning andmete krüptimiseks või dekrüptimiseks on vaja mõlemat. Kuna ühe võtmepaariga krüptitud andmeid ei saa ilma teise võtmepaarita algseteks andmeteks taastada, tagab avaliku võtme krüptograafia turvalise andmeside võrgu kaudu. Võtmepaari kasutatakse TLS krüptitud suhtluseks, IEEE 802.1X autentimiseks TLS abil või IPSec suhtluses digitaalseks allkirjastamiseks. Seadmele saab luua kuni viis (sealhulgas eelpaigaldatud) võtmepaari (Sertimiskeskuse (CA) väljastatud võtmepaaride ja digitaalsertifikaatide kasutamine). TLS-standardi abil krüptitud ühenduse korral saab seadme jaoks luua võtmepaari (Võtmepaaride loomine).
|
CA sertifikaat
 |
|
Digitaalsed sertifikaadid, sh CA-sertifikaadid, sarnanevad muude tuvastusviisidega, näiteks juhilubadega. Digitaalne sertifikaat sisaldab digiallkirja, mis võimaldab seadmel tuvastada andmete võltsimist ja omavolilist muutmist. Kolmandatel pooltel on keeruline digitaalseid sertifikaate rikkuda. Sertimiskeskuse (CA) avaliku võtit sisaldavat digitaalset sertifikaati nimetatakse CA-sertifikaadiks. CA-sertifikaate kasutatakse selle seadme kontrollimiseks, millega seade teeb sidet näiteks Google'i pilvprintimine abil printimisel ja IEEE 802.1X-i autentimisel. Registreerida saab kuni 67 CA-sertifikaati, sealhulgas 62 sertifikaati, mis on seadmesse eelnevalt installitud (Sertimiskeskuse (CA) väljastatud võtmepaaride ja digitaalsertifikaatide kasutamine).
|
Nõuded võtmetele ja sertifikaatidele
Seadmega loodud võtmepaaris sisalduv sertifikaat vastab X.509v3 nõuetele. Võtmepaari või CA sertifikaadi installimisel arvutist veenduge, et need vastavad järgmistele nõuetele.
|
Vorming
|
Võtmepaar: PKCS#12*1
CA sertifikaat: X.509v1 või X.509v3, DER (kodeeritud kahendarv)
|
|
Faililaiend
|
Võtmepaar: „.p12” või „.pfx”
CA sertifikaat: „.cer”
|
|
Avaliku võtme algoritm
(ja võtme pikkus) |
RSA (512, 1024, 2048 või 4096 bitti)
|
|
Sertifikaadi allkirjaalgoritm
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*2, SHA512-RSA*2, MD5-RSA või MD2-RSA
|
|
Sertifikaadi sõrmejäljealgoritm
|
SHA1
|
|
*1 Võtmepaaris sisalduva sertifikaadi nõuded tulenevad CA sertifikaadist.
*2 SHA384-RSA ja SHA512-RSA on saadaval ainult juhul, kui RSA võtme pikkus on 1024 bitti või rohkem.
|
|
 |
|
Seade ei toeta serditühistusloendi (CRL) kasutamist.
|