Для чего нужны SSL сертификаты безопасности в 3CX Phone System

  • Tutorial

Несмотря на свои фантастические возможности, Интернет представляет собой довольно небезопасное место. Связано это с тем, что без применения специальных методов, мы имеем довольно смутное представление о том, с кем же все таки общаемся. Кроме того, что какая-то организация или персона рассказывает нам сама о себе, мы не имеем никаких возможностей подтвердить правдивость этих слов. И вот тут как раз нам помогают SSL сертификаты.


SSL сертификаты “для чайников”


Сертификат SSL представляет собой “удостоверение личности” ресурса, на который мы заходим. Если имя ресурса (как правило, доменное имя веб сайта) не совпадает в выданным для этого имени сертификатом, есть серьезные причины подозревать, что “царь не настоящий”. Представьте себе, что злоумышленники зарегистрировали доменное имя, очень похожее на FQDN вашего банка, и скопировали оригинальный интерфейс ввода данных кредитной карты. Если не использовать сертификат (как это часто было раньше), вы очень просто, быстро и незаметно отдадите свои деньги преступникам.


Аналогичная ситуация может произойти и с системой 3CX. Без надежного “удостоверения личности” сервера злоумышленники могут выманить учетные данные администратора или добавочных номеров, а затем наговорить на огромную сумму. Поэтому, начиная с 3CX v15, использование SSL сертификатов безопасности становится обязательным.


Когда вы подключаетесь к интерфейсу 3CX, вводя URL сервера (например, company.3cx.eu), вы всегда можете убедиться, что зашли действительно на свой сервер. Это показывает сертификат в поле Issued to:. Там указано FQDN имя сервера. SSL сертификат может быть выдан не только на конкретное имя хоста (company.3cx.eu), а и на весь домен верхнего уровня (*.3cx.eu). Такой сертификат покрывает все узлы в домене 3cx.eu, но стоит несколько дороже (называется wildcard certificate).


FQDN 3CX PBX


Вся суть сертификации ресурса содержится в строке Issued by: Информация в этой строке – основное отличие между т.н. самоподписанным (“самозваным”) сертификатом и сертификатом, который выдал публичный, доверенный и уважаемый орган сертификации. Это может быть Let’s Encrypt, GoDaddy, VeriSign, GeoTrust и др. Используя самоподписанный сертификат, вы показываете, что доверяете сами себе, но это совершенно не означает, что вам будет готов доверять кто-то другой. Например, самоподписанный сертификат для домена www.bank-of-igor.com не вызовет никакого доверия – кто поручится за людей, стоящим за этим банком? Практически недоверие выглядит в виде такого предупреждения браузера.


Your connection is not private


Получаем SSL сертификат


Но что делать, чтобы другие люди (или устройства) начали мне доверять? Как подтвердить, что администраторы 3CX, программные клиенты 3CX и аппаратные IP телефоны действительно подключаются к доверенной системе? Все что нужно сделать – обратиться  в орган сертификации (“министерство внутренних дел”), который несет ответственность за проверку вашей системы различными способами. После проверки он выдает ей сертификат. Поскольку серьезному органу сертификации доверяют все, нет причины не доверять и его сертификатам.


С чего начать получение доверенного сертификата?


Если представить публичный сертификат (расширение .crt, но может иметь еще несколько расширений) как ваш дом, видный всем, то ключ к сертификату (расширение .key) – это ключ от вашего дома, позволяющий войти в него именно вам. В компьютерных терминах – ключ позволяет шифровать и расшифровывать трафик между вами и сервером, гарантируя при этом подлинность сервера.


Подготавливая запрос на получение сертификата, вы сперва генерируете секретный ключ (который может защищаться паролем) для вашего сертификата. Однако тут есть одна проблема. Ключ от квартиры всегда должен храниться только у вас – его нельзя передавать третьим лицам. Ведь ничего не стоит сотрудникам этих организаций воспользоваться ключом в преступных целях. Поэтому процесс получения сертификата предусматривает еще одно звено – специальный временный запрос на получение сертификата (certificate signing request, расширение .csr), который генерируется на основе вашего секретного ключа. Именно этот запрос, а не сам ключ, вы передаете органу сертификации.


В запросе на получение сертификата указывается информация о вашей компании и доменное имя, для которого необходимо выпустить сертификат. Затем вы отправляете CSR запрос в орган сертификации. Орган сертификации, как было сказано, удостоверяет вашу “порядочность” и высылает вам назад сгенерированный SSL сертификат. Также орган сертификации гарантирует, что только вы, владелец ключа к сертификату, имеете право на этот сертификат и на ресурс, для которого он выдан.


И секретный ключ и публичный сертификат хранятся на веб сервере 3CX.


Я хочу только протестировать 3CX


Но что делать, если вы хотите только протестировать 3CX, не тратя времени на получение сертификата на сервер? Вы можете быстро сгенерировать самоподписанный SSL сертификат. Достаточно указать ваше FQDN имя и сертификат будет готов. Однако учтите, что такая конфигурация не поддерживается 3CX в дальнейшем. Кроме того, вы не сможете проводить автоматическую удаленную настройку поддерживаемых IP телефонов – они поддерживают только доверенные сертификаты.


Полезные ссылки


3CX Ltd.
Windows VoIP АТС с видеоконференциями Webmeeting
Реклама
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее

Комментарии 0

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое