پیکربندی کلید و گواهی برای TLS
میتوانید از ارتباط رمزگذاری شده TLS برای اجتناب از استراق سمع، تقلب و دستکاری در دادههایی که بین دستگاه و سایر دستگاههایی مانند رایانه تبادل میشوند، استفاده کنید. هنگام پیکربندی تنظیمات برای ارتباط رمزگذاری شده TLS، باید کلید و گواهی را (گواهی سرور) برای استفاده جهت رمزگذاری مشخص کنید. میتوانید از کلید و گواهی از پیش نصب شده در دستگاه استفاده کنید یا میتوانید کلید و گواهی خودتان را ایجاد کنید و آنها را از مرجع صدور گواهی دریافت کنید. جهت پیکربندی این تنظیمات، امتیازات سرپرست مورد نیاز است.
|
|
|
اگر میخواهید از کلید و گواهی که خودتان ایجاد کردهاید استفاده کنید، کلید و گواهی را پیش از انجام روند زیر ایجاد کنید. ایجاد کلید و گواهی برای ارتباط شبکه
اگر میخواهید از کلید و گواهی که از مرجع صدور گواهی (CA) دریافت کردهاید استفاده کنید، کلید و گواهی را پیش از انجام روند زیر ثبت کنید. ثبت یک کلید و گواهی
|
تنظیم TLS
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید. راهاندازی Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Network Settings] 
[TLS Settings] کلیک کنید.
[TLS Settings] کلیک کنید.4
روی [Key and Certificate] کلیک کنید.
5
برای کلید و گواهی مورد نظر برای استفاده جهت ارتباطات رمزگذاریشده TLS، روی [Use] کلیک کنید.
اگر میخواهید از کلید و گواهی از پیشنصبشده استفاده کنید، [Default Key] را انتخاب کنید.
6
روی [Network Settings] [TLS Settings] کلیک کنید.
[TLS Settings] کلیک کنید.7
[Maximum Version] و [Minimum Version] را مشخص کنید.
8
الگورتیمی را که باید استفاده شود، انتخاب و روی [OK] کلیک کنید.
ترکیبهای نسخه TLS و الگوریتم زیر موجود هستند.
: موجود-: موجود نیست
|
الگوریتم
|
نسخه TLS
|
|||
|
[TLS 1.3]
|
[TLS 1.2]
|
[TLS 1.1]
|
[TLS 1.0]
|
|
|
[Encryption Algorithm]
|
||||
|
[AES-CBC (256-bit)]
|
-
|
|
|
|
|
[AES-GCM (256-bit)]
|
|
|
-
|
-
|
|
[3DES-CBC]
|
-
|
|
|
|
|
[AES-CBC (128-bit)]
|
-
|
|
|
|
|
[AES-GCM (128-bit)]
|
|
|
-
|
-
|
|
[CHACHA20-POLY1305]
|
|
-
|
-
|
-
|
|
[Key Exchange Algorithm]
|
||||
|
[RSA]
|
-
|
|
|
|
|
[ECDHE]
|
|
|
|
|
|
[X25519]
|
|
-
|
-
|
-
|
|
[Signature Algorithm]
|
||||
|
[RSA]
|
|
|
|
|
|
[ECDSA]
|
|
|
|
|
|
[HMAC Algorithm]
|
||||
|
[SHA1]
|
-
|
|
|
|
|
[SHA256]
|
|
|
-
|
-
|
|
[SHA384]
|
|
|
-
|
-
|
|
|
|
[Format Encryption Method to FIPS 140-2] در صورت انتخاب [CHACHA20-POLY1305] یا [X25519]قابل استفاده نیست.
راه اندازی Remote UI (واسطه کاربر از راه دور) با TLSاگر میخواهید زمانی که TLS فعال است Remote UI (واسطه کاربر از راه دور) را راه اندازی کنید، ممکن است با توجه به گواهی امنیتی یک هشدار امنیتی نشان داده شود. در این حالت، دقت کنید در قسمت آدرس، URL صحیح وارد شده باشد و سپس به نمایش صفحه Remote UI (واسطه کاربر از راه دور) بروید. راهاندازی Remote UI (واسطه کاربر از راه دور)
وارد کردن گروهی/صادر کردن گروهیاین تنظیم میتواند با مدلهایی صادر/وارد شود که از وارد کردن گروهی این تنظیم پشتیبانی میکنند. وارد کردن/صادر کردن دادههای تنظیم
هنگام صادر کردن گروهی، این تنظیم در [Settings/Registration Basic Information] قرار میگیرد. وارد/صادر کردن تمام تنظیمات
|
تنظیم قدرت امنیتی و روش رمزگذاری
1
Remote UI (واسطه کاربر از راه دور) را راهاندازی کنید. راهاندازی Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Security Settings] [Encryption/Key Settings] کلیک کنید.
[Encryption/Key Settings] کلیک کنید.4
روی [Edit] در [Encryption Settings] کلیک کنید.
5
تنظیمات رمزگذاری و روش رمزگذاری را پیکربندی کنید و روی [OK] کلیک کنید.
[Prohibit Use of Weak Encryption]برای جلوگیری از استفاده از رمزگذاری ضعیف با طول کلید 1024 بیت یا کمتر، این کادر انتخاب را علامت بزنید. برای جلوگیری از استفاده از کلیدها و گواهیهایی که از رمزگذاری ضعیف استفاده میکنند، [Prohibit Use of Key/Certificate with Weak Encryption] را انتخاب کنید.
[Format Encryption Method to FIPS 140-2]برای اینکه عملکردهایی که از رمزگذاری استفاده میکنند مطابق FIPS 140-2 انجام شوند، این کادر انتخاب را علامت بزنید.
|
|
|
اگر [Format Encryption Method to FIPS 140-2] را انتخاب کنید، میتوانید روش رمزگذاری ارتباط TLS را مطابق با FIPS تأییدشده توسط دولت ایالت متحده (استانداردهای پردازش اطلاعات فدرال) 140- 2 تنظیم کنید، با این وجود محدودیتهای زیر اعمال میشود.
اگر برای مشخص کردن گواهی TLS که از الگوریتمی استفاده میکند که FIPS آن را تشخیص نمیدهد (کمتر از RSA2048bit)، خطایی روی خواهد داد.
اگر مقصد ارتباط از الگوریتمهای رمزگذاری تشخیصدادهشده توسط FIPS استفاده نکند، خطای ارتباطی روی خواهد داد.
[CHACHA20-POLY1305] و [X25519] دیگر قابل استفاده نیستند.
وارد کردن گروهی/صادر کردن گروهیاین تنظیم میتواند با مدلهایی صادر/وارد شود که از وارد کردن گروهی این تنظیم پشتیبانی میکنند. وارد کردن/صادر کردن دادههای تنظیم
هنگام صادر کردن گروهی، این تنظیم در [Settings/Registration Basic Information] قرار میگیرد. وارد/صادر کردن تمام تنظیمات
|