Introduction to certificates

ハイパーテキスト トランスファー プロトコル セキュア(HTTPS)は、ハイパーテキスト トランスファー プロトコル(HTTP)をコンピュータネットワークで安全に通信するために強化したものです。HTTPSでは、通信プロトコルはトランスポート レイヤー セキュリティ(TLS)、または、それ以前の手段であるセキュア ソケット レイヤー(SSL)を使用して暗号化されています。

XProtectVMS では、非対称暗号化(RSA)による TLS/SSL を使用して、安全な通信が確立されます。

TLS/SSLは、プライベートキー1つとパブリックキー1つのペアを使用して、安全な接続を認証、保護、管理します。

認証局(CA)は、ルート証明書を発行できるすべての機関です。これには、ルート証明書を発行するインターネットサービスや、証明書を手動で生成し配布するあらゆる機関が含まれます。CAは、ウェブサービス、すなわちHTTPS通信を使用するあらゆるソフトウェアに対して証明書を発行できます。この証明書には、プライベートキーとパブリックキーの2種類のキーが含まれています。パブリックキーは、パブリック証明書をインストールすることにより、ウェブサービスのクライアント(サービスクライアント)にインストールされます。プライベートキーはサーバー証明書の署名に使用するもので、サーバーにインストールする必要があります。サービスクライアントがウェブサービスを呼び出すと、ウェブサービスがパブリックキーを含むサーバー証明書をクライアントに送信します。サービスクライアントは、すでにインストールされたパブリックCA証明書を使用し、サーバー証明書を検証します。これで、プライベートサーバー証明書を使用して、クライアントサーバーとプライベートキーを交換し、安全なTLS/SSL接続を確立できます。

証明書が手動で配布される場合、クライアントが検証できるよう、証明書を事前にインストールしておく必要があります。

TLSについては、トランスポートレイヤーセキュリティを参照してください。

In XProtect VMS, the following locations are where you can enable TLS/SSL encryption:

  • In the communication between the management server and the recording servers, event servers, and mobile servers
  • On the recording server in the communication with clients, servers, and integrations that retrieve data streams from the recording server
  • In the communication between clients and the mobile server

In this guide, the following are referred to as clients:

  • XProtect Smart Client
  • Management Client
  • Management Server (for System Monitor and for images and AVI video clips in email notifications)
  • XProtect Mobile Server
  • XProtect Event Server
  • XProtect LPR
  • Milestone Open Network Bridge
  • XProtect DLNA Server
  • Sites that retrieve data streams from the recording server through Milestone Interconnect
  • Third-party MIP SDK integrations that support HTTPS
  • For solutions built with MIP SDK 2018 R3 or earlier that access recording servers:
    • If the integrations are made using MIP SDK libraries, they need to be rebuilt with MIP SDK 2019 R1
    • If the integrations communicate directly with the Recording Server APIs without using MIP SDK libraries, the integrators must add HTTPS support themselves
    • If in doubt, ask your vendor who supplied the integration

    • Certificate distribution

    The graphic illustrates the basic concept of how certificates are signed, trusted, and distributed in XProtect VMS.

    A certificate authority (CA) is anyone who can issue root certificates. A CA certificate acts as a trusted third-party, trusted by both the subject/owner (server) and by the party that verifies the certificate (clients) (see Create CA certificate).

    The public certificate must be trusted on all client computers. In this way the clients can verify the validity of the certificates issued by the CA (see Install certificates on the clients).

    The CA certificate is used to issue private server authentication certificates to the servers (see Create SSL certificate).

    The created private SSL certificates must be imported to the Windows Certificate Store on all servers (see Import SSL certificate).

    Requirements for the private SSL certificate:

    • Issued to the server so that the server's host name is included in the certificate, either as subject (owner) or in the list of DNS names that the certificate is issued to
    • Trusted on all computers running services or applications that communicate with the service on the servers, by trusting the CA certificate that was used to issue the SSL certificate
    • The service account that runs the server must have access to the private key of the certificate on the server.

    Certificates have an expiry date. You will not receive a warning when a certificate is about to expire. If a certificate expires, the clients will no longer trust the server with the expired certificate and thus cannot communicate with it.
    To renew the certificates, follow the steps in this guide as you did when you created certificates.