5.5.5 Zertifikate


Manche 2N Netzleistungen des Zutrittseinheiten nutzen für die Kommunikation mit anderen Geräten im Netz das gesicherte TLS-Protokoll. Dieses Protokoll verhindert, dass der Inhalt der Kommunikation von Dritten abgehört ggf. zu modifiziert wird. Beim Anknüpfen der Verbindung mittels des TLS-Protokolls läuft eine einseitige bzw. beidseitige Authentifizierung, die Zertifikate und private Codes erfordert.

Leistungen des Zutrittseinheiten, die das TLS-Protokoll nutzen:

  1. Webserver (HTTPS-Protokoll)
  2. E-Mail (SMTP-Protokoll)
  3. 802.1x (EAP-TLS-Protokoll)
  4. SIPs

Mit 2N Zutrittseinheiten u können Sie Zertifikatsätze von Zertifizierungsstellen hochladen, mit denen die Identität des Geräts überprüft wird, mit dem die Sprechanlage kommuniziert, und gleichzeitig persönliche Zertifikate und private Schlüssel hochladen, um die Kommunikation zu verschlüsseln.

Jeder Leistung des Zutrittsterminals, die Zertifikate verlangt, können Sie einen der Zertifikatsätze zuordnen, siehe die Kapitel WebserverE-mail und Streaming. Die Zertifikate können durch mehrere Dienste geteilt werden.

2N Zutrittseinheiten:

  • akzeptiert Zertifikate in den Formaten DER (ASN1) und PEM.
  • unterstützt die AES-, DES- und 3DES-Verschlüsselung.
  • unterstützt Algorithmen:
    • RSA-Schlüsselgröße bis zu 2048 Bit für vom Benutzer hochgeladene Zertifikate; intern bis zu 4096-Bit-Schlüssel (beim Verbinden - Zwischenzertifikate und gleichwertige Zertifikate)
    • Elliptic Curves

Hinweis

  • CA-Zertifikate müssen das X.509 v3-Format verwenden.

Beim ersten Anschluss der Einspeisung an den Zutrittseinheiten werden automatisch das sog. Self Signed Zertifikat und der private Schlüssel generiert, den man für den Dienst Webserver und E-Mail verwenden kann, ohne die Notwendigkeit ein eigenes Zertifikat und den privaten Schlüssel hochladen zu müssen.

Anmerkung

Falls Sie das Self Signed Zertifikat für die Verschlüsselung der Kommunikation zwischen dem Webserver des Zutrittseinheiten und dem Webbrowser verwenden, ist die Kommunikation abgesichert, aber der Webbrowser wird sie darauf hinweisen, dass er die Glaubwürdigkeit des Zertifikats des Zutrittseinheiten nicht überprüfen kann.

Die aktuelle Übersicht der hochgeladenen Zertifikate von Zertifizierungsstellen und persönlichen Zertifikaten wird auf zwei Registerkarten angezeigt:

Durch das Drücken der Taste  können Sie das Zertifikat in die Anlage hochladen, das in Ihrem PC gespeichert ist. Im Dialogfenster kann die ID des Zertifikats zur Identifizierung bei seiner Auswahl, Korrektur oder Löschung ausgefüllt werden. Die ID darf max. 40 Zeichen lang sein, sie kann kleine und große Alphabet-Zeichen, Ziffern und die Zeichen '_' a '-' enthalten. Die ID ist nicht obligatorisch. Wählen Sie im Dialogfenster die Datei mit dem Zertifikat (ggf. dem privaten Schlüssel) und drücken Sie die Taste Hochladen. Durch Drücken der Taste  entfernen Sie das Zertifikat aus dem Gerät. Durch das Drücken der Taste werden die Informationen zum Zertifikat angezeigt.

Hinweis

  • Nach dem Aktualisieren der Firmware oder dem Neustart ändert das Gerät das selbstsignierte Zertifikat in ein neues. Das auf dem Gerät angezeigte Zertifikat muss mit dem Zertifikat auf der Website überprüfen und vergleichen werden, ob sie identisch sind.


Hinweis

Im Fall der Zertifikate, die von elliptischen Kurven ausgehen, kann man nur die Kurven secp256r1 (aka prime256v1 aka NIST P-256) und secp384r1 (aka NIST P-384) verwenden.