Introduction to certificates

Hypertext Transfer Protocol Secure (HTTPS) ist eine Erweiterung des Hypertext Transfer Protocol (HTTP) für die sichere Kommunikation über ein Computernetzwerk. In HTTPS wird das Kommunikationsprotokoll mithilfe der Transport Layer Security (TLS) oder ihrem Vorläufer, Secure Sockets Layer (SSL), verschlüsselt.

In XProtect VMS wird die sichere Kommunikation mithilfe von SSL/TLS mit asymmetrischer Verschlüsselung (RSA) hergestellt.

Das SSL/TLS-Protokoll verwendet zwei Schlüssel—einer privat, einer öfftenlich—zur Authentifizierung, Sicherung und Verwaltung sicherer Verbindungen.

Eine Zertifizierungsstelle (Certificate Authority (CA)) kann Web-Diensten auf Servern mithilfe eines CA-Zertifikates Zertifikate ausstellen. Dieses Zertifikat enthält zwei Schlüssel, einen privaten und einen öffentlichen. Der öffentliche Schlüssel wird auf den Clients eines Web-Dienstes (Dienst-Clients) installiert, indem ein öffentliches Zertifikat installiert wird. Der private Schlüssel dient dazu, Serverzertifikate zu signieren, die auf dem Server installiert werden müssen. Jedes Mal, wenn ein Dienst-Client den Web-Dienst anruft, sendet der Web-Dienst das Serverzertifikat, einschließlich des öffentlichen Schlüssels, an den Client. Der Dienst-Client kann das Serverzertifikat mithilfe des bereits installierten, öffentlichen CA-Zertifikates überprüfen. Der Client und der Server können nun das öffentliche und private Serverzertifikat zum Austausch eines geheimen Schlüssels verwenden und somit eine sichere SSL/TLS-Verbindung herstellen.

Weitere Informationen zu TLS finden Sie unter https://en.wikipedia.org/wiki/Transport_Layer_Security

In XProtect VMS können Sie an den folgenden Stellen die SSL/TLS-Verschlüsselung aktivieren:

  • In der Kommunikation zwischen dem Managementserver und den Aufzeichnungsservern
  • Auf dem Aufzeichnungsserver in der Kommunikation mit den Clients, Servern und Integrationen, die Datenstreams vom Aufzeichnungsserver abrufen.
  • In der Kommunikation von den Clients zum mobilen Server

In this guide, the following are referred to as clients:

  • XProtect Smart Client
  • Management Client
  • Managementserver (for System Monitor and for images and AVI video clips in email notifications)
  • XProtect Mobile-Server
  • XProtect Event Server
  • XProtect LPR
  • Milestone Open Network Bridge
  • XProtect DLNA Server
  • Sites that retrieve data streams from the recording server through Milestone Interconnect
  • Some third-party MIP SDK integrations
  • For solutions built with MIP SDK 2018 R3 or earlier that access recording servers: If the integrations are made using MIP SDK libraries, they need to be rebuilt with MIP SDK 2019 R1; if the integrations communicate directly with the Recording Server APIs without using MIP SDK libraries, the integrators must add HTTPS support themselves.

    • Verteilung von Zertifikaten

    Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden.

    Ein CA fungiert als vertrauenswürdiger Dritter, dem sowohl das Thema/der Eigentümer (Server) vertraut, als auch die Partei, die das Zertifikat überprüft (Clients) (siehe Create CA certificate).

    Dem öffentlichen CA-Zertifikat muss auf allen Clientcomputern vertraut werden. So können die Clients die Gültigkeit der von der CA ausgegebenen Zertifikate überprüfen (siehe Install certificates on the clients).

    Das CA-Zertifikat dient dazu, den Servern private Serverauthentifizierungszertifikate auszustellen (siehe Create SSL certificate).

    Die erstellten privaten SSL-Zertifikate müssen auf allen Servern in das Windows Certificate Store importiert werden (siehe Import SSL certificate).

    Anforderungen für das private SSL-Zertifikat:

    • Es wird dem Server ausgestellt, damit der Hostname des Servers im Zertifikat enthalten ist, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, denen das Zertifikat ausgestellt wird
    • Vertrauenswürdig für alle Computer, auf denen Dienste oder Anwendungen laufen, die mit dem auf den Servern laufenden Dienst kommunizieren, indem sie dem CA-Zertifikat vertrauen, das zur Ausgabe des SSL-Zertifikates verwendet wurde
    • Das Dienstkonto, auf dem der Server läuft, muss Zugriff auf den privaten Schlüssel des Zertifikates auf dem Server haben.

    Zertifikate haben ein Verfalldatum. XProtect VMS gibt Ihnen keine Wawrnung, wenn das Zertifikat in Kürze abläuft. Bei Ablauf eines Zertifikates vertrauen die Clients nicht länger dem Server mit dem abgelaufenen Zertifikat und können daher auch nicht mehr mit ihm kommunizieren.
    Um die Zertifikate zu erneuern, folgen Sie den Schritten in dieser Anleitung, wie Sie es bereits getan haben, als Sie Zertifikate erstellt haben.

    Weitere Informationen finden Sie im Zertifikate-Leitfaden dazu, wie Sie Ihre XProtect VMS Installationen sichern können.