پیکربندی کلید و گواهی برای TLS
میتوانید از ارتباط رمزگذاریشده TLS برای اجتناب از استراق سمع، تقلب و دستکاری در دادههایی که بین دستگاه و سایر دستگاههایی مانند رایانه تبادل میشوند، استفاده کنید. هنگام پیکربندی تنظیمات برای ارتباط رمزگذاریشده TLS، باید کلید و گواهی را (گواهی سرور) برای استفاده جهت رمزگذاری مشخص کنید. میتوانید از کلید و گواهی از پیش نصب شده در دستگاه استفاده کنید یا میتوانید کلید و گواهی خودتان را ایجاد کنید و آنها را از مرجع صدور گواهی دریافت کنید. جهت پیکربندی این تنظیمات، امتیازات سرپرست مورد نیاز است.
|
|
|
اگر می خواهید از کلید و گواهی که خودتان ایجاد کردید استفاده کنید، کلید و گواهی را قبل از انجام روند زیر ایجاد کنید. ایجاد کلید و گواهی برای ارتباط شبکه
اگر می خواهید از کلید و گواهی که از مرجع صدور گواهی (CA) دریافت کردید استفاده کنید، کلید و گواهی را قبل از انجام روند زیر ثبت کنید. ثبت یک کلید و گواهی
|
تنظیم TLS
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید. آغاز کردن Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Network Settings] 
[TLS Settings] کلیک کنید.
[TLS Settings] کلیک کنید.4
روی [Key and Certificate] کلیک کنید.
5
برای کلید و گواهی مورد نظر برای استفاده جهت ارتباطات رمزگذاریشده TLS، روی [Use] کلیک کنید.
اگر میخواهید از کلید و گواهی از پیشنصبشده استفاده کنید، [Default Key] را انتخاب کنید.
6
روی [Network Settings] [TLS Settings] کلیک کنید.
[TLS Settings] کلیک کنید.7
[Maximum Version] و [Minimum Version] را مشخص کنید.
8
الگورتیمی را که باید استفاده شود، انتخاب و روی [OK] کلیک کنید.
ترکیبهای نسخه TLS و الگوریتم زیر موجود هستند.
: موجود-: موجود نیست
|
الگوریتم
|
نسخه TLS
|
|||
|
[TLS 1.3]
|
[TLS 1.2]
|
[TLS 1.1]
|
[TLS 1.0]
|
|
|
[Encryption Algorithm]
|
||||
|
[AES-CBC (256-bit)]
|
-
|
|
|
|
|
[AES-GCM (256-bit)]
|
|
|
-
|
-
|
|
[3DES-CBC]
|
-
|
|
|
|
|
[AES-CBC (128-bit)]
|
-
|
|
|
|
|
[AES-GCM (128-bit)]
|
|
|
-
|
-
|
|
[CHACHA20-POLY1305]
|
|
-
|
-
|
-
|
|
[Key Exchange Algorithm]
|
||||
|
[RSA]
|
-
|
|
|
|
|
[ECDHE]
|
|
|
|
|
|
[X25519]
|
|
-
|
-
|
-
|
|
[Signature Algorithm]
|
||||
|
[RSA]
|
|
|
|
|
|
[ECDSA]
|
|
|
|
|
|
[HMAC Algorithm]
|
||||
|
[SHA1]
|
-
|
|
|
|
|
[SHA256]
|
|
|
-
|
-
|
|
[SHA384]
|
|
|
-
|
-
|
|
|
|
[Format Encryption Method to FIPS 140-2] در صورت انتخاب [CHACHA20-POLY1305] یا [X25519]قابل استفاده نیست.
راه اندازی Remote UI (واسطه کاربر از راه دور) با TLSاگر میخواهید زمانی که TLS فعال است Remote UI (واسطه کاربر از راه دور) را راه اندازی کنید، ممکن است با توجه به گواهی امنیتی یک هشدار امنیتی نشان داده شود. در این حالت، دقت کنید در قسمت آدرس، URL صحیح وارد شده باشد و سپس به نمایش صفحه Remote UI (واسطه کاربر از راه دور) بروید. آغاز کردن Remote UI (واسطه کاربر از راه دور)
وارد کردن گروهی/صادر کردن گروهیاین تنظیمات میتوانند با مدلهایی صادر/وارد شوند که از وارد کردن گروهی این تنظیمات پشتیبانی میکنند. وارد کردن/صادر کردن داده های تنظیم
هنگام صادر کردن گروهی، این تنظیمات در [Settings/Registration Basic Information] قرار گرفته است. وارد/صادر کردن تمام تنظیمات
|
تنظیم قدرت امنیتی و روش رمزگذاری
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید. آغاز کردن Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Security Settings] [Encryption/Key Settings] کلیک کنید.
[Encryption/Key Settings] کلیک کنید.4
روی [Edit] در [Encryption Settings] کلیک کنید.
5
تنظیمات رمزگذاری و روش رمزگذاری را پیکربندی کنید و روی [OK] کلیک کنید.
[Prohibit Use of Weak Encryption]برای جلوگیری از استفاده از رمزگذاری ضعیف با طول کلید 1024 بیت یا کمتر، این کادر انتخاب را علامت بزنید. برای جلوگیری از استفاده از کلیدها و گواهیهایی که از رمزگذاری ضعیف استفاده میکنند، [Prohibit Use of Key/Certificate with Weak Encryption] را انتخاب کنید.
[Format Encryption Method to FIPS 140-2]برای اینکه عملکردهایی که از رمزگذاری استفاده میکنند مطابق FIPS 140-2 انجام شوند، این کادر انتخاب را علامت بزنید.
|
|
|
اگر [Format Encryption Method to FIPS 140-2] را انتخاب کنید، میتوانید روش رمزگذاری ارتباط TLS را مطابق با FIPS تأییدشده توسط دولت ایالت متحده (استانداردهای پردازش اطلاعات فدرال) 140- 2 تنظیم کنید، با این وجود محدودیتهای زیر اعمال میشود.
اگر برای مشخص کردن گواهی TLS که از الگوریتمی استفاده میکند که FIPS آن را تشخیص نمیدهد (کمتر از RSA2048bit)، خطایی روی خواهد داد.
اگر مقصد ارتباط از الگوریتمهای رمزگذاری تشخیصدادهشده توسط FIPS استفاده نکند، خطای ارتباطی روی خواهد داد.
[CHACHA20-POLY1305] و [X25519] دیگر قابل استفاده نیستند.
وارد کردن گروهی/صادر کردن گروهیاین تنظیمات میتوانند با مدلهایی صادر/وارد شوند که از وارد کردن گروهی این تنظیمات پشتیبانی میکنند. وارد کردن/صادر کردن داده های تنظیم
هنگام صادر کردن گروهی، این تنظیمات در [Settings/Registration Basic Information] قرار گرفته است. وارد/صادر کردن تمام تنظیمات
|