Sichere Kommunikation (Erläuterung).

Hypertext Transfer Protocol Secure (HTTPS) ist eine Erweiterung des Hypertext Transfer Protocol (HTTP) für die sichere Kommunikation über ein Computernetzwerk. In HTTPS wird das Kommunikationsprotokoll mithilfe der Transport Layer Security (TLS) oder ihrem Vorläufer, Secure Sockets Layer (SSL), verschlüsselt.

In XProtect VMS wird die sichere Kommunikation mithilfe von SSL/TLS mit asymmetrischer Verschlüsselung (RSA) hergestellt.

Das SSL/TLS-Protokoll verwendet zwei Schlüssel—einer privat, einer öfftenlich—zur Authentifizierung, Sicherung und Verwaltung sicherer Verbindungen.

Eine Zertifizierungsstelle (Certificate Authority (CA)) kann Web-Diensten auf Servern mithilfe eines CA-Zertifikates Zertifikate ausstellen. Dieses Zertifikat enthält zwei Schlüssel, einen privaten und einen öffentlichen. Der öffentliche Schlüssel wird auf den Clients eines Web-Dienstes (Dienst-Clients) installiert, indem ein öffentliches Zertifikat installiert wird. Der private Schlüssel dient dazu, Serverzertifikate zu signieren, die auf dem Server installiert werden müssen. Jedes Mal, wenn ein Dienst-Client den Web-Dienst anruft, sendet der Web-Dienst das Serverzertifikat, einschließlich des öffentlichen Schlüssels, an den Client. Der Dienst-Client kann das Serverzertifikat mithilfe des bereits installierten, öffentlichen CA-Zertifikates überprüfen. Der Client und der Server können nun das öffentliche und private Serverzertifikat zum Austausch eines geheimen Schlüssels verwenden und somit eine sichere SSL/TLS-Verbindung herstellen.

Weitere Informationen zu TLS finden Sie unter https://en.wikipedia.org/wiki/Transport_Layer_Security

Zertifikate haben ein Verfalldatum. XProtect VMS gibt Ihnen keine Wawrnung, wenn das Zertifikat in Kürze abläuft. Wenn ein Zertifikat abläuft:
- Die Clients vertrauen dann nicht mehr dem Aufzeichnungsserver mit dem abgelaufenen Zertifikat und können daher auch nicht mehr mit ihm kommunizieren.
- Die Aufzeichnungsserver vertrauen dann nicht mehr dem Managementserver mit dem abgelaufenen Zertifikat und können daher auch nicht mehr mit ihm kommunizieren.
- Die mobilen Geräte vertrauen dann nicht mehr dem Mobile Server mit dem abgelaufenen Zertifikat und können daher auch nicht mehr mit ihm kommunizieren

Um die Zertifikate zu erneuern, folgen Sie den Schritten in dieser Anleitung, wie Sie es bereits getan haben, als Sie Zertifikate erstellt haben.

Wenn Sie ein Zertifikat mit demselben Themennamen erneuern und es zum Windows Certificate Store hinzufügen, so übernehmen die Server automatisch das neue Zertifikat. Dies erleichtert das Erneuern für viele Server, ohne dass das Zertifikat für jeden Aufzeichnungsserver erneut ausgewählt werden muss und ohne den Dienst neu starten zu müssen.

Verschlüsselung des Managementservers (Erläuterung):

Sie können die wechselseitige Verbindung zwischen dem Managementserver und dem Aufzeichnungsserver verschlüsseln. Wenn Sie die Verschlüsselung auf dem Managementserver aktivieren, so gilt diese für die Verbindungen von allen Aufzeichnungsservern, die eine Verbindung zum Managementserver herstellen. Wenn Sie die Verschlüsselung auf dem Managementserver aktivieren, müssen Sie auch auf allen Aufzeichnungsservern die Verschlüsselung aktivieren. Bevor Sie die Verschlüsselung aktivieren, müssen Sie auf dem Managementserver und auf allen Aufzeichnungsservern Sicherheitszertifikate installieren.

Verteilung von Zertifikaten für Managementserver

Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden, um die Kommunikation zum Managementserver zu sichern.

Ein CA-Zertifikat fungiert als vertrauenswürdiger Dritter, dem sowohl das Thema/der Eigentümer (Managementserver) vertraut, als auch die Partei, die das Zertifikat überprüft (Aufzeichnungsserver)

Dem CA-Zertifikat muss auf allen Aufzeichnungsservern vertraut werden. So überprüfen die Aufzeichnungsserver die Gültigkeit der von der CA ausgegebenen Zertifikate

Das CA-Zertifikat dient zur Herstellung einer sicheren Verbindung zwischen dem Managementserver und den Aufzeichnungsservern

Das CA-Zertifikat muss auf dem Computer installiert werden, auf dem der Managementserver läuft

Anforderungen für das private Zertifikat des Managementservers:

  • Wird dem Aufzeichnungsserver ausgestellt, damit der Hostname des Aufzeichnungsservers im Namen des Zertifikates enthalten ist, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, an die das Zertifikat ausgegeben wird
  • Wird auf dem Managementserver selbst vertraut, indem dem CA-Zertifikat vertraut wird, das zur Ausstellung des Zertifikates für den Aufzeichnungsserver verwendet wurde.
  • Wird auf allen Aufzeichnungsservern vertraut, die mit dem Managementserver verbunden sind, indem dem CA-Zertifikat vertraut wird, das für die Ausstellung des Managementserverzertifikates verwendet wurde.

Verschlüsselung vom Management-Server zum Aufzeichnungsserver (Erläuterung)

Sie können die wechselseitige Verbindung zwischen dem Managementserver und dem Aufzeichnungsserver verschlüsseln. Wenn Sie die Verschlüsselung auf dem Managementserver aktivieren, so gilt diese für die Verbindungen von allen Aufzeichnungsservern, die eine Verbindung zum Managementserver herstellen. Die Verschlüsselung dieser Kommunikation muss nach den Einstellungen für die Verschlüsselung auf dem Management-Server erfolgen. Ist daher die Verschlüsselung auf dem Management-Server aktiviert, so muss sie auch auf den Aufzeichnungsservern aktiviert werden und umgekehrt. Bevor Sie die Verschlüsselung aktivieren, müssen Sie auf dem Management-Server und auf allen Aufzeichnungsservern Sicherheitszertifikate installieren, einschließlich der Failover-Aufzeichnungsserver.

Verteilung von Zertifikaten

Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden, um die Kommunikation vom Managementserver zu sichern.

Ein CA-Zertifikat fungiert als vertrauenswürdiger Dritter, dem sowohl Thema/Eigentümer (Aufzeichnungsserver) vertraut, als auch die Partei, die das Zertifikat überprüft (Management-Server)

Dem öffentlichen CA-Zertifikat muss auf dem Management-Server vertraut werden. So überprüft der Management Server die Gültigkeit der von der CA ausgegebenen Zertifikate

Das CA-Zertifikat dient zur Herstellung einer sicheren Verbindung zwischen den Aufzeichnungsservern und dem Management-Server

Das CA-Zertifikat muss auf den Computern installiert werden, auf denen die Aufzeichnungsserver laufen

Anforderungen für das Zertifikat des privaten Aufzeichnungsservers:

  • Es wird dem Aufzeichnungsserver ausgestellt, damit der Hostname des Aufzeichnungsservers im Zertifikat enthalten ist, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, an die das Zertifikat ausgegeben wird
  • Wird auf dem Managementserver vertraut, indem dem CA-Zertifikat vertraut wird, das für die Ausstellung des Aufzeichnungsserverzertifikates verwendet wurde.

Verschlüsselung zwischen dem Management Server und den Data Collector Server (Erläuterung)

Sie können die wechselseitige Verbindung zwischen dem Managementserver und dem davon abhängigen Data Collector verschlüsseln, wenn Sie einen Remote Server des folgenden Typs haben:

  • Aufzeichnungsserver
  • Ereignisserver
  • Protokollserver
  • LPR Server
  • Mobile Server

Wenn Sie die Verschlüsselung auf dem Managementserver aktivieren, so gilt diese für die Verbindungen von allen Data Collector-Servern, die eine Verbindung zum Managementserver herstellen. Die Verschlüsselung dieser Kommunikation muss nach den Einstellungen für die Verschlüsselung auf dem Management-Server erfolgen. Ist daher die Verschlüsselung auf dem Management Server aktiviert, so muss sie auch auf den Data Collector-Servern aktiviert werden, die mit jedem der Remote Server verknüpft sind, und umgekehrt. Bevor Sie die Verschlüsselung aktivieren, müssen Sie auf dem Managementserver und auf allen Data Collector-Servern, die mit Remote Servern verknüpft sind, Sicherheitszertifikate installieren.

Verteilung von Zertifikaten

Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden, um die Kommunikation vom Managementserver zu sichern.

Ein CA-Zertifikat fungiert als vertrauenswürdiger Dritter, dem sowohl Thema/Eigentümer (Datensammlerserver) vertrauen als auch die Partei, die das Zertifikat überprüft (Management Server)

Dem öffentlichen CA-Zertifikat muss auf dem Management-Server vertraut werden. So überprüft der Management Server die Gültigkeit der von der CA ausgegebenen Zertifikate

Das CA-Zertifikat dient zur Herstellung einer sicheren Verbindung zwischen den Datensammlerservern und dem Management Server

Das CA-Zertifikat muss auf den Computern installiert werden, auf denen die Datensammlerserver laufen

Anforderungen für das Zertifikat des privaten Datensammlerserver:

  • Es wird dem Server ausgestellt, damit der Hostname des Datensammlerservers im Zertifikat enthalten ist, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, denen das Zertifikat ausgestellt wird
  • Wird auf dem Managementserver vertraut, indem dem CA-Zertifikat vertraut wird, das zur Ausstellung des Datensammlerserverzertifikates verwendet wurde

Verschlüsselung an alle Clients und Dienste, die Daten vom Aufzeichnungsserver abrufen (Erläuterung)

Wenn Sie auf einem Aufzeichnungsserver die Verschlüsselung aktivieren, wird die Kommunikation aller Clients, Server und Integrationen verschlüsselt, die Datenstreams vom Aufzeichnungsserver abrufen. Diese werden in diesem Dokument als 'Clients' bezeichnet:

  • XProtect Smart Client
  • Management Client
  • Managementserver (für Systemmonitor und für Bilder und AVI-Videoclips in email notifications)
  • XProtect Mobile-Server
  • XProtect Event Server
  • XProtect LPR
  • Milestone Open Network Bridge
  • XProtect DLNA Server
  • Seiten, die Datenstreams vom Aufzeichnungsserver abrufen durch Milestone Interconnect
  • Manche der MIP SDK Integrationen von Drittanbietern
  • Für Lösungen, die mit MIP SDK 2018 R3 oder früher aufgebaut wurden, die auf Aufzeichnungsserver zugreifen: Wenn die Integrationen mithilfe von MIP SDK-Bibliotheken erfolgen, müssen sie mit MIP SDK 2019 R1 neu aufgebaut werden; wenn die Integrationen direkt mit den APIs des Aufzeichnungsservers kommunizieren, ohne MIP SDK-Bibliotheken zu verwenden, müssen die Integratoren selbst den HTTPS-Support hinzufügen.

    • Verteilung von Zertifikaten

    Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden, um die Kommunikation zum Aufzeichnungsserver zu sichern.

    Ein CA fungiert als vertrauenswürdiger Dritter, dem sowohl Thema/Eigentümer (Aufzeichnungsserver) vertrauen, als auch die Partei, die das Zertifikat überprüft (alle Clients)

    Dem öffentlichen CA-Zertifikat muss auf allen Clientcomputern vertraut werden. So überprüfen die Clients die Gültigkeit der von der CA ausgegebenen Zertifikate

    Das CA-Zertifikat dient zum Aufbau einer sicheren Verbindung zwischen den Aufzeichnungsservern und allen Clients und Diensten

    Das CA-Zertifikat muss auf den Computern installiert werden, auf denen die Aufzeichnungsserver laufen

    Anforderungen für das Zertifikat des privaten Aufzeichnungsservers:

    • Es wird dem Aufzeichnungsserver ausgestellt, damit der Hostname des Aufzeichnungsservers im Zertifikat enthalten ist, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, an die das Zertifikat ausgegeben wird
    • Vertrauenswürdig für alle Computer, auf denen Dienste laufen, die Datenstreams vom Aufzeichnungsserver abrufen, vorzugsweise dadurch, dass sie dem CA-Zertifikat vertrauen, das zur Ausgabe des Zertifikates des Aufzeichnungsservers verwendet wurde
    • Das Dienstkonto, auf dem der Aufzeichnungsserver läuft, muss Zugriff zum privaten Schlüssel des Zertifikates auf dem Aufzeichnungsserver haben.

    Wenn Sie auf den Aufzeichnungsservern die Verschlüsselung aktivieren, und Ihr System verwendet Failover-Aufzeichnungsserver, so empfiehlt Milestone, dass Sie die Failover-Aufzeichnungsserver ebenfalls dafür vorbereiten, dass sie eine Verschlüsselung verwenden.

    Datenverschlüsselung des mobilen Servers (Erläuterung)

    In XProtect VMS wird die Verschlüsselung für jeden mobilen Server aktiviert oder deaktiviert. Wenn Sie die Verschlüsselung auf einem mobilen Server aktivieren, so können Sie sich aussuchen, ob Sie die verschlüsselte Kommunikation mit allen Clients, Diensten und Integrationen verwenden wollen, die Datenstreams abrufen.

    Verteilung von Zertifikaten für mobile Server

    Die Grafik illustriert das zugrundeliegende Konzept dafür, wie Zertifikate signiert werden, wie ihnen vertraut wird, und wie diese in XProtect VMS verteilt werden, um die Kommunikation mit dem mobilen Server zu sichern.

    Eine CA fungiert als vertrauenswürdiger Dritter, dem sowohl das Thema/der Eigentümer (mobiler Server) vertraut, als auch die Partei, die das Zertifikat überprüft (alle Clients).

    Dem öffentlichen CA-Zertifikat muss auf allen Clientcomputern vertraut werden. So überprüfen die Clients die Gültigkeit der von der CA ausgegebenen Zertifikate

    Das CA-Zertifikat dient zur sicheren Verbindung zwischen dem mobilen Server und Clients und Diensten

    Das CA-Zertifikat muss auf dem Computer installiert werden, auf dem der mobile Server läuft

    Anforderungen für das CA-Zertifikat:

    • Der Hostname des mobilen Servers muss im Zertifikates enthalten sein, entweder als Thema (Besitzer) oder in der Liste der DNS-Namen, an die das Zertifikat ausgegeben wird
    • Dem Zertifikat muss von allen Computern vertraut werden, die Dienste ausführen, die Datenstreams vom mobilen Server abrufen
    • Das Dienstkonto, auf dem der Aufzeichnungsserver läuft, muss Zugriff zum privaten Schlüssel des CA-Zertifikates haben.

    Anforderungen zur Verschlüsselung mobiler Server für Clients

    Wenn Sie die Verschlüsselung nicht aktivieren und keine HTTP-Verbindung verwenden, so steht die Push-to-Talk-Funktion in XProtect Web Client später nicht zur Verfügung.