Encryption

Introduction to certificates

Hypertext Transfer Protocol Secure (HTTPS) é uma extensão do Hypertext Transfer Protocol (HTTP) para a comunicação segura através de uma rede de computadores. No HTTPS, o protocolo de comunicação é criptografado usando o Transport Layer Security (TLS), ou seu predecessor, Secure Sockets Layer (SSL).

No VMS XProtect, a comunicação segura é obtida usando TLS/SSL com criptografia assimétrica (RSA).

O TLS/SSL usa um par de chaves — uma privada, uma pública — para autenticar, proteger e gerenciar conexões seguras.

Uma autoridade de certificação (AC) é qualquer pessoa que possa emitir certificados raiz. Pode ser um serviço de Internet que emite certificados raiz ou qualquer pessoa que gere e distribua manualmente um certificado. Uma autoridade de certificação pode emitir certificados para serviços da web, ou seja, para qualquer software que use comunicação https. Esse certificado contém duas chaves, uma privada e uma pública. A chave privada é instalada nos clientes de um serviço da web (clientes de serviço) pela instalação de um certificado público. A chave privada é usada para assinar certificados de servidor que devem ser instalados no servidor. Sempre que um cliente de serviço chama o serviço da web, ele envia o certificado do servidor, incluindo a chave pública, ao cliente. O cliente do serviço pode validar o certificado do servidor usando o certificado de AC público já instalado. O cliente e o servidor agora podem usar os certificados de servidor público e privado para trocar uma chave secreta e, assim, estabelecer uma conexão TLS/SSL segura.

Para certificados distribuídos manualmente, os certificados devem ser instalados antes que o cliente possa fazer tal verificação.

Veja Transport Layer Security para obter mais informações sobre TLS.

In XProtect VMS, the following locations are where you can enable TLS/SSL encryption:

• In the communication between the management server and the recording servers, event servers, and mobile servers
• On the recording server in the communication with clients, servers, and integrations that retrieve data streams from the recording server
• In the communication between clients and the mobile server

Certificate distribution

The graphic illustrates the basic concept of how certificates are signed, trusted, and distributed in XProtect VMS.

A CA certificate acts as a trusted third-party, trusted by both the Subject/owner (server) and by the party that verifies the certificate (clients).

The public CA certificate must be trusted on all client computers. In this way the clients can verify the validity of the certificates issued by the CA.

The CA certificate is used to issue private server authentication certificates to the servers.

The created private SSL certificates must be imported to the Windows Certificate Store on all servers.

Requirements for the private SSL certificate:

• Issued to the server so that the server's host name is included in the certificate, either as subject (owner) or in the list of DNS names that the certificate is issued to
• Trusted on all computers running services or applications that communicate with the service on the servers, by trusting the CA certificate that was used to issue the SSL certificate
• The service account that runs the server must have access to the private key of the certificate on the server.

Certificates have an expiry date. XProtect VMS will not warn you when a certificate is about to expire. If a certificate expires, the clients will no longer trust the server with the expired certificate and thus cannot communicate with it.
To renew the certificates, follow the steps in this guide as you did when you created certificates.

Para obter mais informações, consulte o guia de certificados sobre como proteger suas instalações do VMS XProtect.