Funzioni di gestione
Funzioni di autenticazione
I server LDAP supportati dalla macchina sono Windows Server 2008/Server 2012 Active Directory.
La macchina comunica con i server LDAP utilizzando LDAPv3.
UTF-8 è il carattere di codifica supportato utilizzato quando i dati di testo sono trasmessi tra la macchina e il server LDAP.
Impostazioni firewall
Possono essere specificati fino a 16 indirizzi (o intervalli di indirizzi) IP per IPv4 e IPv6.
Il filtro pacchetti descritto in questa sezione controlla le comunicazioni su TCP, UDP e ICMP.
È possibile specificare fino a 32 indirizzi MAC.
IPSec
L'IPSec supportato dalla macchina è conforme a RFC2401, RFC2402, RFC2406 e RFC4305.
|
Sistema operativo
|
Windows Vista/7/8/Server 2008/Server 2012
|
|
|
Modalità di connessione
|
Modalità di trasporto
|
|
|
Protocollo di scambio chiavi
|
IKEv1 (modalità principale)
|
|
|
Metodo di autenticazione
|
Chiave già condivisa
Firma digitale
|
|
|
Algoritmo hash
(e lunghezza chiave) |
HMAC-SHA1-96
HMAC-SHA2 (256 bit o 384 bit)
|
|
|
Algoritmo di crittografia
(e lunghezza chiave) |
3DES-CBC
AES-CBC (128 bit, 192 bit o 256 bit)
|
|
|
Algoritmo di scambio chiave/gruppo (e lunghezza chiave)
|
Diffie-Hellman (DH)
Gruppo 1 (768 bit)
Gruppo 2 (1.024 bit)
Gruppo 14 (2.048 bit)
|
|
|
ESP
|
Algoritmo hash
|
HMAC-SHA1-96
|
|
Algoritmo di crittografia
(e lunghezza chiave) |
3DES-CBC
AES-CBC (128 bit, 192 bit o 256 bit)
|
|
|
Algoritmo hash/algoritmo di crittografia (e lunghezza chiave)
|
AES-GCM (128 bit, 192 bit o 256 bit)
|
|
|
AH
|
Algoritmo hash
|
HMAC-SHA1-96
|
 |
|
IPSec supporta le comunicazioni a un indirizzo unicast (o un solo dispositivo).
La macchina non può utilizzare IPSec e DHCPv6 contemporaneamente.
IPSec non è disponibile nelle reti in cui sono implementati NAT o masquerade IP.
|
Registrazione di chiavi e certificati
Il certificato e la chiave che la macchina può generare sono conformi a X.509v3. Se si installa una chiave o un certificato CA da un computer, assicurarsi che soddisfino i seguenti requisiti:
|
Formato
|
Chiave: PKCS#12*1
Certificato CA: X.509v1 o X.509v3, DER (binario codificato), PEM
|
|
Estensione file
|
Chiave: ".p12" o ".pfx"
Certificato CA: ".cer" o ".pem"
|
|
Algoritmo chiave pubblica
(e lunghezza chiave) |
RSA (512 bit, 1.024 bit, 2.048 bit o 4.096 bit), ECDSA (P256, P384, P521)
|
|
Algoritmo firma certificato
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*2, SHA512-RSA*2, MD5-RSA, MD2-RSA, SHA1-ECDSA, SHA256-ECDSA, SHA384-ECDSA o SHA512-ECDSA
|
|
Algoritmo identificazione personale certificato
|
SHA1
|
|
*1I requisiti per il certificato contenuto in una chiave sono basati sui certificati CA.
*2SHA384-RSA e SHA512-RSA sono disponibili solo quando la lunghezza della chiave RSA è di 1.024 bit o superiore.
|
|
|
|
La macchina non supporta l'utilizzo di un elenco di revoche di certificati (CRL).
|
Definizione di "Crittografia debole"
Quando <Proib. uso di critt. debole.> è impostato su <On>, non è possibile utilizzare i seguenti algoritmi.
|
Hash:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Sistema di crittografia chiavi comuni:
|
RC2, RC4, DES
|
|
Sistema di crittografia chiavi pubbliche:
|
Crittografia RSA (512 bit/1.024 bit), firma RSA (512 bit/1.024 bit), DSA (512 bit/1.024 bit), DH (512 bit/1.024 bit)
|
|
|
|
Anche quando <Proib. chiav/cert. crit. deb.> è impostato su <On>, è possibile utilizzare l'algoritmo hash SHA-1, che viene usato per apporre la firma su un certificato radice.
|
Importazione/esportazione delle impostazioni
Vedere Impostazione dell'elenco menu.