Comunicação segura (explicado)

Hypertext Transfer Protocol Secure (HTTPS) é uma extensão do Hypertext Transfer Protocol (HTTP) para a comunicação segura através de uma rede de computadores. No HTTPS, o protocolo de comunicação é criptografado usando o Transport Layer Security (TLS), ou seu predecessor, Secure Sockets Layer (SSL).

No VMS XProtect, a comunicação segura é obtida usando SSL/TLS com criptografia assimétrica (RSA).

SSL/TLS usa um par de chaves — uma privada e uma pública — para autenticar, proteger e gerenciar conexões seguras.

Uma autoridade de certificado (AC) pode emitir certificados para serviços da web em servidores usando um certificado da CA. Esse certificado contém duas chaves, uma privada e uma pública. A chave privada é instalada nos clientes de um serviço da web (clientes de serviço) pela instalação de um certificado público. A chave privada é usada para assinar certificados de servidor que devem ser instalados no servidor. Sempre que um cliente de serviço chama o serviço da web, ele envia o certificado do servidor, incluindo a chave pública, ao cliente. O cliente do serviço pode validar o certificado do servidor usando o certificado de CA público já instalado. O cliente e o servidor podem agora usar o certificado do servidor público e o privado, para trocar uma chave secreta e, assim, estabelecer uma conexão SSL/TLS segura.

Para obter mais informações sobre TLS: https://en.wikipedia.org/wiki/Transport_Layer_Security

Os certificados têm uma data de vencimento. VMS XProtect não o avisará quando um certificado estiver prestes a vencer. Se um certificado expirar:
• Os clientes não mais confiarão no servidor de gravação com o certificado expirado e, assim, não poderão ser comunicar com ele
• Os servidores de gravação não mais confiarão no servidor de gerenciamento com o certificado expirado e, assim, não poderão ser comunicar com ele
• Os dispositivos móveis não mais confiarão no servidor móvel com o certificado expirado e, assim, não poderão ser comunicar com ele

Para renovar os certificados, siga as etapas neste guia, como você fez ao criar certificados.

Quando você renova um certificado com o mesmo nome de assunto e o adiciona ao Repositório de certificados do Windows, os servidores escolherão automaticamente o novo certificado. Isso facilita a renovação de certificados para vários servidores sem ter que selecionar novamente o certificado para cada servidor e sem reiniciar os serviços.

Criptografia de servidor de gerenciamento (explicado)

Você pode criptografar a conexão de duas vias entre o servidor de gerenciamento e o servidor de gravação. Quando você ativa a criptografia no servidor de gerenciamento, isso se aplica a conexões de todos os servidores de gravação que se conectam ao servidor de gerenciamento. Se você ativar a criptografia no servidor de gerenciamento, também deverá ativar a criptografia em todos os servidores de gravação. Antes de você ativar a criptografia, você deve instalar certificados de segurança no servidor de gerenciamento e em todos os servidores de gravação.

Distribuição de certificado para servidores de gerenciamento

O gráfico ilustra o conceito básico de como os certificados são assinados, confiados e distribuídos no VMS XProtect para proteger a comunicação ao servidor de gerenciamento.

Um certificado de AC age como um terceiro confiável, confiável tanto pelo assunto/proprietário (servidor de gerenciamento) quanto pela parte que verifica o certificado (servidores de gravação)

O certificado da AC deve ser confiável em todos os servidores de gravação. Dessa maneira, os servidores de gravação podem verificar a validade dos certificados emitidos pela AC.

O certificado da AC é usado para estabelecer a conexão segura entre o servidor de gerenciamento e os servidores de gravação

O certificado da CA deve ser instalado no computador no qual o servidor de gerenciamento está sendo executado

Requisitos para o certificado de servidor de gerenciamento privado:

  • Emitido para o servidor de gerenciamento, para que o nome do host do servidor de gerenciamento seja incluído no certificado, seja como assunto (proprietário) ou na lista de nomes DNS para a qual o certificado é emitido
  • Confiável no próprio servidor de gerenciamento, confiando no certificado da AC usado para emitir o certificado do servidor de gerenciamento
  • Confiável em todos os servidores de gravação conectados ao servidor de gerenciamento, confiando no certificado da AC usado para emitir o certificado do servidor de gerenciamento

Criptografia do servidor de gerenciamento para o servidor de gravação (explicado)

Você pode criptografar a conexão de duas vias entre o servidor de gerenciamento e o servidor de gravação. Quando você ativa a criptografia no servidor de gerenciamento, isso se aplica a conexões de todos os servidores de gravação que se conectam ao servidor de gerenciamento. A criptografia desta comunicação deve seguir a configuração de criptografia no servidor de gerenciamento. Assim, se a criptografia do servidor de gerenciamento estiver ativada, isso também deve ser ativado nos servidores de gravação e vice-versa. Antes de você ativar a criptografia, você deve instalar certificados de segurança no servidor de gerenciamento e em todos os servidores de gravação, incluindo os servidores do sistema de gravação ininterrupta.

Distribuição de certificado

O gráfico ilustra o conceito básico de como os certificados são assinados, confiados e distribuídos no VMS XProtect para proteger a comunicação do servidor de gerenciamento.

Um certificado de AC age como um terceiro confiável, confiável tanto pelo assunto/proprietário (servidor de gravação) quanto pela parte que verifica o certificado (servidor de gerenciamento)

O certificado CA deve ser confiável no servidor de gerenciamento. Dessa maneira, o servidor de gerenciamento pode verificar a validade dos certificados emitidos pela AC

O certificado da AC é usado para estabelecer a conexão segura entre os servidores de gravação e o servidor de gerenciamento

O certificado da CA deve ser instalado nos computadores nos quais os servidores de gravação estão sendo executados

Requisitos para o certificado de servidor de gravação privado:

  • Emitido para o servidor de gravação para que o nome do host do servidor de gravação seja incluído no certificado, seja como assunto (proprietário) ou na lista de nomes DNS para a qual o certificado é emitido
  • Confiável no servidor de gerenciamento, confiando no certificado da AC usado para emitir o certificado do servidor de gravação

Criptografia entre o servidor de gerenciamento e o Data Collector Server (explicado)

Você pode criptografar a conexão de duas vias entre o servidor de gerenciamento e o Data Collector afiliado, quando tiver um servidor remoto do seguinte tipo:

  • Recording Server
  • Event Server
  • Log Server
  • LPR Server
  • Mobile Server

Quando você ativa a criptografia no servidor de gerenciamento, isso se aplica a conexões de todos os servidores do Data Collector que se conectam ao servidor de gerenciamento. A criptografia desta comunicação deve seguir a configuração de criptografia no servidor de gerenciamento. Assim, se a criptografia do servidor de gerenciamento estiver ativada, isso também deve ser ativado nos servidores do Data Collector afiliados, com cada servidor remoto, e vice-versa. Antes de ativar a criptografia, você precisa instalar certificados de segurança no servidor de gerenciamento e em todos os servidores do Data Collector afiliados com servidores externos.

Distribuição de certificado

O gráfico ilustra o conceito básico de como os certificados são assinados, confiados e distribuídos no VMS XProtect para proteger a comunicação do servidor de gerenciamento.

Um certificado de AC age como um terceiro confiável, confiável tanto pelo assunto/proprietário (data collector server) quanto pela parte que verifica o certificado (servidor de gerenciamento)

O certificado CA deve ser confiável no servidor de gerenciamento. Dessa maneira, o servidor de gerenciamento pode verificar a validade dos certificados emitidos pela AC

O certificado da AC é usado para estabelecer a conexão segura entre os servidores coletores de dados e o servidor de gerenciamento

O certificado da CA deve ser instalado nos computadores nos quais os servidores coletores de dados estão sendo executados

Requisitos para o certificado do data collector server privado:

  • Emitido para o data collector server para que o nome do host dele seja incluído no certificado, seja como assunto (proprietário) ou na lista de nomes DNS para a qual o certificado é emitido
  • Confiável no servidor de gerenciamento, confiando no certificado da AC usado para emitir o certificado do data collector server

Criptografia para todos os clientes e servidores que recuperam dados do servidor de gravação (explicado)

Quando você ativa a criptografia em um servidor de gravação, a comunicação para todos os clientes, servidores e integrações que recuperam fluxos de dados do servidor de gravação é criptografada. Neste documento referidos como 'clientes':

  • XProtect Smart Client
  • Management Client
  • Management Server (para Monitor do Sistema e para imagens e clipes de vídeo AVI em notificações de e-mail)
  • Servidor XProtect Mobile
  • XProtect Event Server
  • XProtect LPR
  • Milestone Open Network Bridge
  • XProtect DLNA Server
  • Sites que recuperam os fluxos de dados do servidor de gravação por meio de Milestone Interconnect
  • Algumas integrações de MIP SDK terceirizadas
  • Para soluções com MIP SDK 2018 R3 ou anteriores que acessam servidores de gravação: Se as integrações forem feitas usando bibliotecas MIP SDK elas precisam ser recompiladas com MIP SDK 2019 R1; se as integrações se comunicarem diretamente com as APIs do Recording Server sem usar as bibliotecas MIP SDK, os integradores devem adicionar eles mesmos o suporte de HTTPS.

    • Distribuição de certificado

    O gráfico ilustra o conceito básico de como os certificados são assinados, confiados e distribuídos no VMS XProtect para proteger a comunicação ao servidor de gravação.

    Um certificado de AC age como um terceiro confiável, confiável tanto pelo assunto/proprietário (servidor de gravação) quanto pela parte que verifica o certificado (todos os clientes)

    O certificado da AC deve ser confiável em todos os clientes. Dessa maneira, os clientes podem verificar a validade dos certificados emitidos pela AC

    O certificado da AC é usado para estabelecer a conexão segura entre os servidores de gravação e todos os clientes e serviços

    O certificado da CA deve ser instalado nos computadores nos quais os servidores de gravação estão sendo executados

    Requisitos para o certificado de servidor de gravação privado:

    • Emitido para o servidor de gravação para que o nome do host do servidor de gravação seja incluído no certificado, seja como assunto (proprietário) ou na lista de nomes DNS para a qual o certificado é emitido
    • Confiável em todos os computadores que executam serviços que recuperam fluxos de dados de servidores de gravação, confiando no certificado da AC que emitiu o certificado do servidor de gravação
    • A conta de serviço que executa o servidor de gravação deve ter acesso à chave privada do certificado no servidor de gravação.

    Se você ativar criptografia nos servidores de gravação e o seu sistema aplica servidores do sistema de gravação ininterrupta, o Milestone recomenda que você também prepare os servidores do sistema de gravação ininterrupta para criptografia.

    Criptografia de dados do servidor móvel (explicado)

    No VMS XProtect, a criptografia é ativada ou desativada por servidor móvel. Quando você ativa a criptografia em um servidor móvel, você terá a opção para usar a comunicação criptografada com todos os clientes, serviços e integrações que recuperam fluxos de dados.

    Distribuição de certificado para servidores móveis

    O gráfico ilustra o conceito básico de como os certificados são assinados, confiados e distribuídos no VMS XProtect para proteger a comunicação com o servidor móvel.

    Uma AC age como um terceiro confiável, confiável tanto pelo assunto/proprietário (servidor móvel) quanto pela parte que verifica o certificado (todos os clientes).

    O certificado da AC deve ser confiável em todos os clientes. Dessa maneira, os clientes podem verificar a validade dos certificados emitidos pela AC

    O certificado da AC é usado para estabelecer a conexão segura entre o servidor móvel e clientes e serviços

    O certificado da CA deve ser instalado no computador no qual o servidor móvel está sendo executado

    Requisitos para o certificado de AC:

    • O nome do host do servidor móvel deve ser incluído no nome do certificado, seja como assunto/proprietário ou na lista de nomes DNS para a qual o certificado é emitido
    • Um certificado deve ser confiável em todos os dispositivos executando serviços que recuperam fluxos de dados do servidor móvel
    • A conta de serviço que executa o servidor móvel deve ter acesso à chave privada do certificado no servidor de AC.

    Requisitos de criptografia de servidor móvel para clientes

    Se você não ativar a criptografia e usar uma conexão HTTP, o recurso push-to-talk XProtect Web Client não estará disponível.