安全な通信(説明付き)
ハイパーテキスト トランスファー プロトコル セキュア (HTTPS) は、ハイパーテキスト トランスファー プロトコル (HTTP) をコンピューター ネットワークで安全に通信するために強化したものです。HTTPSでは、通信プロトコルはトランスポート レイヤー セキュリティ (TLS)、または、それ以前の手段であるセキュア ソケット レイヤー (SSL) を使用して暗号化されています。
XProtect VMSでは、非対称鍵暗号を伴うSSL/TLS(RSA)を使用することで安全な通信が確立されます。
SSL/TLSは、秘密キー1つと公開キー1つのペアを使用し、安全なコネクションを認証して安全な接続を管理します。
認証管理者 (CA) は、CA証明書を使ってサーバー上のWebサービスに証明書を発行します。この証明書には、秘密キーと公開キーの2種類のキーが含まれています。公開キーは、パブリック証明書をインストールすることにより、Webサービスのクライアント (サービス クライアント) にインストールされます。秘密キーはサーバー証明書の署名に使用するもので、サーバーにインストールする必要があります。サービス クライアントがWebサービスを呼び出すと、必ずWebサービスが公開キーを含むサーバー証明書をクライアントに送信します。サービス クライアントは、すでにインストールされた公開CA証明書を使用し、サーバー証明書を検証します。これで、クライアントとサーバーはパブリック及びプライベート サーバー証明書を使用して秘密キーを交換することができ、安全なSSL/TLS通信を確立できます。
TLSの詳細については、https://en.wikipedia.org/wiki/Transport_Layer_Securityを参照してください
認証は期限付きです。 XProtect VMSは、認証の期限が近づいても警告しません。証明書の有効期限が切れた場合:
• クライアントは、証明書の有効期限が切れたレコーディング サーバーを信頼しないため、通信できません
• レコーディング サーバーは、証明書の有効期限が切れたマネジメントサーバーを信頼しないため、通信できません
• モバイル機器は、証明書の有効期限が切れたモバイル サーバーを信頼しないため、通信できません
証明書の更新は、証明書を作成したときの要領で本ガイドのステップに従ってください。
サーバーの暗号化を管理(説明付き)
マネジメントサーバーとレコーティングサーバー間の双方向接続を暗号化できます。マネジメントサーバー上の暗号化を有効にすると、そのマネジメントサーバーに接続するすべてのレコーティングサーバーからの接続に適用されます。マネジメントサーバーの暗号化を有効にした場合、すべてのレコーディング サーバーでも暗号化を有効にする必要があります。暗号化を有効化する前に、マネジメントサーバーとすべてのレコーディング サーバーにセキュリティ証明書をインストールしてください。
マネジメントサーバーの証明書配布
この図は、証明書が署名され、信頼され、XProtect VMSで配布されて安全にマネジメントサーバーとの通信が行えるという基本コンセプトを表しています。
CA証明書は信頼されたサードパーティのように機能し、サブジェクト/所有者 (マネジメントサーバー) と、証明書を認証する側 (レコーディング サーバー) の双方に信頼されます。
CA証明書はすべてのレコーディング サーバー上で信頼されている必要があります。このようにして、レコーディング サーバーはCAによる証明書の信頼性を確認します
CA証明書は、マネジメントサーバーとレコーディングサーバー間で安全な接続を確立するために使用されます
CA証明書は、マネジメントサーバーを実行しているコンピュータにインストールする必要があります。
プライベートマネジメントサーバー証明書の要件:
- 認証名にマネジメントサーバーのホスト名が含まれるか、DNS認証される名前のリストの中にサブジェクト (所有者) としてマネジメントサーバーに発行されます。
- マネジメントサーバー証明書の発行に使用されたCA証明書が信頼されていることから、これがマネジメントサーバーでも信頼されていること。
- マネジメントサーバー証明書の発行に使用されたCA証明書を信用することによって、マネジメントサーバーに接続するすべてのレコーディング サーバーで信用されていること
マネジメントサーバーからレコーディングサーバーへの通信を暗号化(説明付き)
マネジメントサーバーとレコーティングサーバー間の双方向接続を暗号化できます。マネジメントサーバー上の暗号化を有効にすると、そのマネジメントサーバーに接続するすべてのレコーティングサーバーからの接続に適用されます。この通信の暗号化は、マネジメントサーバーの暗号化設定に従う必要があります。 そのため、マネジメントサーバーの暗号化が有効になっている場合、これをレコーディングサーバーでも有効にしなくてはならず、逆もまた同様です。暗号化を有効にする前に、マネジメントサーバーと全レコーディングサーバー(フェールオーバーレコーディングサーバーを含む)にセキュリティ証明書をインストールする必要があります。
証明書の配布
図では、証明書が署名され、信頼され、XProtect VMSで配布されて安全にマネジメントサーバーからの通信が行えるという基本コンセプトを表しています。
CA証明書は信頼されたサードパーティのように機能し、サブジェクト/所有者(レコーディングサーバー)側と、証明書を認証する側(マネジメントサーバー)の双方によって信頼されているとみなされます。
CA認証はマネジメントサーバーで信頼されている必要があります。 このようして、マネジメントサーバーはCAによる認証の信頼性を確認します
CA証明書は、レコーディングサーバーとマネジメントサーバー間で安全な接続を確立するために使用されます
CA認証は、レコーディングサーバーが実行されるコンピュータにインストールする必要があります。
プライベートレコーディングサーバー認証のための要件:
- 認証名にレコーディングサーバーのホスト名が含まれるか、DNS認証される名前のリストの中にサブジェクト (オーナー)としてレコーディングサーバーに発行されます。
- レコーディングサーバー証明書の発行に使用されたCA証明書を信用することによって、マネジメントサーバーで信用されていること
マネジメントサーバーとData Collector server間の暗号化(説明付き)
以下のタイプのリモート サーバーがある場合は、マネジメントサーバーとData Collector関連サーバー間の双方向接続を暗号化できます。
- Recording Server
- Event Server
- Log Server
- LPR Server
- Mobile Server
マネジメントサーバー上で暗号化を有効にする場合、マネジメントサーバーに接続するすべてのData Collectorサーバーからの接続にも暗号化の有効化が適用されます。この通信の暗号化は、マネジメントサーバーの暗号化設定に従う必要があります。 マネジメントサーバーの暗号化が有効になっている場合は、これを各リモート サーバーに関連のあるData Collectorサーバーでも有効にしなくてはならず、逆もまた同様です。暗号化を有効化する前に、マネジメントサーバーと、リモート サーバーに関連しているすべてのData Collectorサーバーでセキュリティ証明書をインストールする必要があります。
証明書の配布
図では、証明書が署名され、信頼され、XProtect VMSで配布されて安全にマネジメントサーバーからの通信が行えるという基本コンセプトを表しています。
CA証明書は、サブジェクト/所有者側(データコレクタサーバー)と証明書を認証する側(マネジメントサーバー)両方によって信頼されている信頼されたサードパーティとして機能します
CA認証はマネジメントサーバーで信頼されている必要があります。 このようして、マネジメントサーバーはCAによる認証の信頼性を確認します
CA証明書は、データコレクタサーバーとマネジメントサーバー間の安全な接続を確立するために使用されます
CA証明書は必ずデータコレクタサーバーを実行するコンピュータにインストールしてください
プライベートデータコレクタサーバー証明書の要件:
- サブジェクト(所有者)として証明書にデータコレクタサーバーのホスト名を含めるか、証明書が発行されるDNS名のリスト内に含める形で証明書にデータコレクタサーバーのホスト名を含めるため、データコレクタサーバーに発行されること
- データコレクタサーバー証明書の発行に使用されたCA証明書を信頼することによって、マネジメントサーバーで信頼されていること
レコーディングサーバーからデータを取得しているクライアントとサーバーを暗号化(説明付き)
レコーディングサーバーを暗号化可能にする場合、すべてのクライアント、サーバー、ならびにレコーディングサーバーからデータストリームを受け取るインテグレーションは暗号化されます。この文書では「クライアント」と呼んでいます:
- XProtect Smart Client
- Management Client
- Management Server(eメール 通知によるシステム モニター向け、とイメージと AVI ビデオクリップ向け)
- XProtect Mobile Server
- XProtect Event Server
- XProtect LPR
- Milestone Open Network Bridge
- XProtect DLNA Server
- を通してレコーディングサーバーからデータ ストリームを取得するサイトMilestone Interconnect
- サードパーティMIP SDKインテグレーション
証明書の配布
図では、証明書が署名され、信頼され、XProtect VMSで配布されて安全にレコーディングサーバーとの通信が行えるという基本コンセプトを表しています。
CA証明書は信頼されたサードパーティのように機能し、サブジェクト/所有者(レコーディングサーバー)側と、証明書を認証する側(全クライアント)の双方によって信頼されているとみなされます。
CA認証はすべてのクライアント上で信頼されている必要があります。このようにして、クライアントはCAによる認証の信頼性を確認します。
CA証明書は、レコーディングサーバーと全クライアント/サービス間で安全な接続を確立するために使用されます
CA認証は、レコーディングサーバーが実行されるコンピュータにインストールする必要があります。
プライベートレコーディングサーバー認証のための要件:
- 認証名にレコーディングサーバーのホスト名が含まれるか、DNS認証される名前のリストの中にサブジェクト (オーナー)としてレコーディングサーバーに発行されます。
- レコーディングサーバー認証の発行に使用されたCA認証を信頼することによって、レコーディングサーバーからデータストリームを取得するサービスを実行しているすべてのコンピュータで信頼されています
- レコーディングサーバーを実行するサービスアカウントは、レコーディングサーバー上のプライベート認証キーへアクセスします。
レコーディングサーバーの暗号化が有効化されており、システムがフェールオーバーレコーディングサーバーを適用している場合は、Milestone はフェールオーバー レコーディングサーバー も暗号化する準備をすることをお勧めします。
レコーディングサーバー データ 暗号化(説明付き)
XProtect VMSでは、暗号化はモバイル サーバーごとに有効化または無効化されます。モバイル サーバーで暗号化を有効にする際、クライアント、サービス、データ ストリームを取得するインテグレーションすべてとの通信を暗号化するか選択することができます。
モバイル サーバーの証明書配布
この図は、証明書が署名され、信頼され、XProtect VMSで配布されて安全にモバイル サーバーとの通信が行えるという基本コンセプトを表しています。
CA証明書は信頼されたサードパーティのように機能し、サブジェクト/所有者 (モバイル サーバー) と証明書を確認する側 (クライアントすべて) 双方に信頼されます。
CA認証はすべてのクライアント上で信頼されている必要があります。このようにして、クライアントはCAによる証明書の信頼性を確認します
CA証明書 は、モバイル サーバーとクライアントおよびサービス間の安全な接続を確立するために使用されます
CA証明書はモバイル サーバーを実行しているコンピュータにインストールしてください。
CA認証要件:
- モバイル サーバーのホスト名は、サブジェクト/所有者として、またはDNS認証される名前リストの認証名に含まれていなくてはなりません
- 認証証明書は、モバイル サーバーからデータ ストリームを取得するサービスを実行しているすべてのデバイスで信頼される必要があります
- モバイル サーバーを実行するサービス アカウントは、CA認証の秘密キーへのアクセス権限が必要です
クライアントに対するモバイルサーバー暗号化の条件
安全上の理由からMilestoneでは、ユーザーアカウントの設定を管理する際、モバイルサーバーとクライアント間で安全な通信を使用するよう推奨しています。
暗号化せずにHTTP通信を使用する場合は、XProtect Web Clientのプッシュ ツー トーク機能は利用できません。