Vai al contenuto

Precisioni per una piattaforma cyberelementi Cleanroomcluster

Macchina

Sistema operativo

cyberelements Cleanroom funziona su macchine Debian 12 (Bookworm) a 64 bit.
Si raccomanda di utilizzare macchine senza interfaccia grafica e di limitare i componenti installati al server SSH.

CPU

Una CPU con 4 core coprirà la maggior parte dei casi di utilizzo del prodotto.

RAM

Disco

Rete

Una piattaforma di cluster cyberelements Cleanroom richiederà:

  • 2 indirizzi IP reali per server Mediation Controller (portati dalla stessa interfaccia di rete)
  • 3 indirizzi IP virtuali per il funzionamento del cluster
  • 1 indirizzo IP per Edge Gateway o macchina HTML5 Gateway

Informazioni supplementari

Gli indirizzi IP reali e virtuali dei server Mediation Controller devono tutti appartenere alla stessa sottorete.

Incompatibilità con l'uso di IP virtuali

I server virtuali IP hanno un bilanciamento del carico gestito con IPVS (IP Virtual Server).
Il bilanciamento del carico richiede diversi prerequisiti per funzionare correttamente:

  • Disattivare le funzioni di inoltro del percorso inverso (RPF) per i controllori di mediazione e gli IP trasportati da queste macchine.
  • Assegnare un adattatore di rete E1000E anziché VMXNET3 su VMware per i server Mediation Controller.

I server Mediation Controller sono solitamente collocati in una DMZ, ma possono anche essere collocati in una DMZ privata o ospitati su un cloud pubblico. Questo dipenderà dal caso di utilizzo della piattaforma (ad esempio: accesso remoto per i fornitori di servizi o la protezione dell'accesso interno alle aree protette).

I server Edge Gateway sono solitamente collocati nella LAN, in VLAN che consentono loro di comunicare con le risorse di destinazione.

I server HTML5 Gateway possono essere collocati sia nella LAN che nella DMZ. Questa documentazione prevede l'installazione del componente HTML5 Gateway su server Edge Gateway, cioè nella LAN.

Per meglio identificare i diversi indirizzi delle macchine, essi saranno indicati nella documentazione come segue:

Nome dell'indirizzo IP Significato
RIP_MED_WEB_MASTER Indirizzo IP primario del server MASTER Mediation Controller, che fornisce l'accesso alle console web.
RIP_MED_WEB_SLAVE Indirizzo IP primario del server SLAVE Mediation Controller, che fornisce l'accesso alle console web.
RIP_MED_SSL_MASTER Secondo indirizzo IP del server MASTER Mediation Controller utilizzato dal componente SSL Router.
RIP_MED_SSL_SLAVE Secondo indirizzo IP del server SLAVE Mediation Controller utilizzato dal componente SSL Router.
VIP_MED_WEB Indirizzo IP virtuale del cluster Mediation Controller, che consente l'accesso alle console web.
VIP_MED_SSL Indirizzo IP virtuale del cluster Mediation Controller, che consente l'accesso al router SSL.
VIP_MED_ZEO Indirizzo IP virtuale del cluster Mediation Controller, che consente l'accesso a un database interno di configurazione del prodotto.
IP_GW Indirizzo IP del server Edge Gateway.
IP_HTML5_GW Indirizzo IP del server HTML5 Gateway.

Info

Le informazioni sui flussi fornite presuppongono che il Mediation Controller I server sono situati nella DMZ e che il Edge Gateway I server, che fungono anche da gateway HTML5, sono situati nella LAN.

Gli indirizzi IP del Mediation Controller possono essere indirizzi IP pubblici assegnati direttamente al server Mediation Controller o indirizzi IP pubblici che sono NATed agli indirizzi IP privati (consigliato).

Fonte Destinazione Porto di destinazione Commenti
Stazione di lavoro dell'utente VIP_MED_WEB TCP 443 (se si utilizza la porta standard) Consentire l'accesso alle console web e alle applicazioni in esecuzione direttamente nel browser.
Stazione di lavoro dell'utente VIP_MED_SSL TCP 443 (se si utilizza la porta standard) Stabilire un tunnel TLS per crittografare il flusso che passa attraverso il ciberneticoelementi Cleanroom cliente.
IP_GW VIP_MED_WEB TCP 443 (se si utilizza la porta standard) Quando Edge Gateway si trova su una rete remota. Connessione al sistema di accoppiamento Edge Gateway.
IP_GW VIP_MED_SSL TCP 443 (se si utilizza la porta standard) Quando il Edge Gateway Si connette al router SSL per creare un tunnel TLSv1.3 e perviene la comunicazione del prodotto attraverso di esso.
Fonti Destinazione Porto di destinazione Commenti
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Repositori Debian TCP 80 Richiesto per installare ** cyber** elementi Cleanroom dipendenze e mantenere il sistema aggiornato. La documentazione e le appliance virtuali utilizzano ftp.fr.debian.org e security.debian.org.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 packages.microsoft.com TCP 443 Repository Microsoft per l'installazione e l'aggiornamento dei driver MS SQL. Richiesto solo se si desidera l'accesso a un database MS SQL (le appliance virtuali hanno i driver MS SQL).
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 NTP time server UDP 123 Opzionale se il server ha bisogno di sincronizzare il suo orologio con un server nella DMZ. Per impostazione predefinita, vengono utilizzati i pool Debian: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org e 3.debian.pool.ntp.org.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Servitore SMTP TCP 25, 465, 587 Richiesto se si intende utilizzare un server SMTP per l'invio di posta elettronica e se si trova nella WAN.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Server DNS UDP 53 Richiesto per la risoluzione DNS. Può essere localizzato nella WAN o nella DMZ.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 api.neomia.ai TCP 443 (Facoltativo) Connessione alle API del prodotto MFA comportamentale biometrico Neomia Pulse {target="_blank"}.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 UE: keepersecurity.eu
US: keepersecurity.com
AU: keepersecurity.com.au
CA: keepersecurity.ca
JP: keepersecurity.jp		 TCP 443 (opzionale) Connessione al caveau Keeper EPM {target="_blank"} a seconda della sua posizione.
Fonti Destinazione Porto di destinazione Commenti
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 NTP time server UDP 123 Se il server ha bisogno di sincronizzare il suo orologio con un server nella DMZ.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Server SMTP TCP 25, 465, 587 Richiesto se si intende utilizzare un server SMTP per l'invio di posta elettronica e se si trova nella DMZ.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Server di database TCP 1433, 5432 o qualsiasi altra porta personalizzata Necessario se si desidera utilizzare un database esterno situato nella DMZ.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Server DNS UDP 53 Richiesto per la risoluzione DNS. Può essere localizzato nella DMZ o nella WAN.

Informazioni supplementari

I server Mediation Controller devono essere in grado di comunicare tra loro da e verso uno qualsiasi dei loro indirizzi, indipendentemente dal protocollo.

Fonte Destinazione Porto di destinazione Commenti
IP_GW Repositori Debian TCP 80 Richiesto per installare ** cyber** elementi Cleanroom dipendenze e mantenere il sistema aggiornato. La documentazione e le appliance virtuali utilizzano ftp.fr.debian.org e security.debian.org.
IP_GW Server DNS UDP 53 Richiesto per la risoluzione DNS. Opzionale se un server DNS è disponibile sulla LAN o DMZ.
IP_GW NTP time server UDP 123 Opzionale se il server ha bisogno di sincronizzare il suo orologio con un server nella LAN o DMZ. Per impostazione predefinita, vengono utilizzati i pool Debian: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org e 3.debian.pool.ntp.org.
IP_GW provider di SMS TCP 443 (opzionale) Connessione alle API dei provider di SMS supportate da ** elementi cyber** Cleanroom.
Fonte Destinazione Porto di destinazione Commenti
IP_GW
IP_HTML5_GW		 VIP_MED_WEB
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 TCP 443 (se si utilizza la porta standard) Connessione al sistema di accoppiamento Edge Gateway
IP_GW
IP_HTML5_GW		 VIP_MED_SSL
RIP_MED_SSL_MASTER
RIP_MED_SSL_SLAVE		 TCP 443 (se si utilizza la porta standard) Connessione al router SSL per stabilire un tunnel TLSv1.3 e indirizzare le comunicazioni del prodotto attraverso di esso.
Stazione di lavoro cliente VIP_MED_WEB
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 TCP 443 (se si utilizza la porta standard) Connessione alle varie console web del prodotto.
Stazione di lavoro client VIP_MED_SSL
RIP_MED_SSL_MASTER
RIP_MED_SSL_SLAVE		 TCP 443 (se si utilizza la porta standard) Creazione di un tunnel TLS per crittografare il flusso che passa attraverso ** cyber** elementi Cleanroom client.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Connessione TCP 22 SSH al server Mediation Controller.
Fonte Destinazione Porto di destinazione Commenti
IP_GW Server DNS UDP 53 Richiesto per la risoluzione DNS. Opzionale se viene utilizzato un server DNS per la WAN o DMZ.
IP_GW Servitori LDAP o AD TCP 389 o 636 ** cyber** elementi Cleanroom connessione a un server LDAP o AD.
IP_GW Servers AD TCP 139 e 445 rotazione delle password degli account AD, utilizzata solo se la rotazione tramite LDAPS non è possibile.
IP_GW Servitori RDP TCP/UDP 3389 (se si utilizza la porta standard) Connessione da ** cyber** elementi Cleanroom ai server RDP.
IP_GW server SSH TCP 22 (se si utilizza la porta standard) Connessione da ** cyber** elementi Cleanroom a server SSH.
IP_GW server VNC TCP 5900 (se si utilizza la porta standard) Connessione da ** cyber** elementi Cleanroom ai server VNC.
IP_GW Web server TCP 80 o 443 (se si utilizza la porta standard) Connessione da ** cyber** elementi Cleanroom a web server.
IP_GW Server Citrix Storefront TCP 443 (se si utilizza la porta standard) Connessione da ** cyber** elementi Cleanroom ai server Citrix Storefront.
IP_GW Servitori di applicazioni Citrix TCP 1494 Connessione da ** cyber** elementi Cleanroom a server di applicazioni Citrix (avvio di un'applicazione o desktop con il client ICA).
IP_GW File server TCP 139 e 445 Connessione da ** cyber** elementi Cleanroom a file server.
IP_GW Server di database TCP 1433, 5432 o qualsiasi altra porta personalizzata Richiesto se si desidera utilizzare un database esterno situato sulla LAN (ad esempio, per trasferire il database Vault).
IP_GW Servitori RDP TCP 139 e 445 Impiego dell'agente di registrazione tramite la console di amministrazione.
Stazione di lavoro client IP_GW TCP [porta definita dall'amministratore] Connessione di accesso SSH diretta.
Stazione di lavoro client IP_GW TCP 3389 Connessione di accesso RDP diretta.
Servitori RDP IP_GW TCP 8443 Connessione tra l'agente di registrazione e Edge Gateway per caricare la registrazione della sessione utente.
Stazione di lavoro dell'amministratore IP_GW Connessione TCP 22 SSH al server Edge Gateway

Base dati

cyberelements Cleanroom utilizza diversi database (DB) per il suo funzionamento.

  1. Database di configurazione del sistema. Questa DB è utilizzata per memorizzare tutte le impostazioni dell'interfaccia di amministrazione /system e ** deve essere denominata default**.
  2. Ogni organizzazione creata sulla base di dati di configurazione dell'organizzazione. Mediation Controller Il server richiederà un database diverso per contenere tutte le impostazioni e i log dell'organizzazione.
  3. database Vault. Ogni organizzazione creata attiva la creazione di un DB specifico per il vault del prodotto, che viene memorizzato di default sul server Mediation Controller. Questo database può essere esternalizzato alla LAN a condizione che un Edge Gateway possa accedervi.

Quando si utilizzano database esterni (caso nominale in Cluster), i tipi di database supportati sono:

Licenza

Il server Mediation Controller richiede una licenza per funzionare.
La licenza può essere ottenuta da Systancia utilizzando il seguente modulo di richiesta di licenza: Richiedi una licenza

Certificati

cyberelements Cleanroom utilizza la crittografia TLS per le comunicazioni interne e HTTPS per garantire l'accesso al web, richiedendo l'uso di vari certificati x509. Le informazioni di seguito riassumono i diversi certificati richiesti, il loro scopo e le impostazioni minime.

--8<-- [fine:introduzione del certificato]

--8<-- [avvio:avvertimento certificato]

Contrast di sicurezza del certificato

Indipendentemente dal certificato utilizzato, assicurarsi che sia conforme al livello di sicurezza OpenSSL 2, che può essere riassunto come segue:

  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit.
  • La firma del certificato non deve essere MD5 o SHA-1 (preferibilmente SHA-512).

--8<-- [fine:avvertimento del certificato]

- 8 <-- [start:certificate-med-web]

Raccomandazione

Il certificato web dovrebbe essere rilasciato preferibilmente da un'autorità di certificazione (CA) pubblica riconosciuta come affidabile.
Questo garantisce che gli utenti non ricevano avvisi relativi al certificato utilizzato (a condizione che sia valido e copra il nome con cui l'utente ha avviato la connessione) senza alcuna azione aggiuntiva.

Il certificato web deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 398 giorni (13 mesi).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name l'attributo deve avere come valore il nome DNS (o il codice jolly) per il quale il certificato è destinato.
  • L'attributo Key Usage deve avere i valori critical, digitalSignature e keyEncipherment.
  • L'attributo Extended Key Usage deve avere il valore id-kp-serverAuth (OpenSSL utilizza il valore serverAuth).
  • Il Subject Alternative Name l'attributo deve contenere almeno una voce corrispondente al nome DNS primario; possono essere aggiunte altre voci per coprire altri nomi DNS o indirizzi IP.

Formato di certificato accettato: P12 o PEM (con due file, uno per il certificato e uno per la chiave privata).

- 8 <-- [start:certificate-med-ssl]

Il certificato SSL Router deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere come valore l'indirizzo IP o un nome DNS che reindirizza a IP_MED_SSL.
  • L'attributo Key Usage deve avere i valori critical, digitalSignature e keyEncipherment.
  • L'attributo Extended Key Usage deve avere il valore serverAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificate-med-ssl]

- 8 <-- [start: certificato-med-watchdog]

Il certificato Watchdog deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name L'attributo deve avere un valore che rappresenti un nome di identificazione per il Watchdog, ad esempio Watchdog.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificate-med-watchdog]

Il certificato client cyberelements Cleanroom deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che rappresenti un nome di identificazione del cliente, ad esempio cyberelements-cleanroom-client.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12 con una password di ** almeno 8 caratteri alfanumerici** (non sono supportati caratteri speciali, lettere accentuate o trattini).

--8<-- [fine:certificate-med-client]

Il certificato Cleanroom interserver cyberelements deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere come valore un nome di identificazione, ad esempio interserver-cleanroom.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12 con una password di almeno 8 caratteri senza caratteri speciali.

Il certificato Edge Gateway deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <GW_NAME>@<ORGANIZATION_NAME>, dove <GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-gw]

- 8 <-- [start:certificate-gw-careserver]

Il certificato di servizio di registrazione deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name L'attributo deve contenere il nome FQDN o almeno il nome del Edge Gateway la macchina come valore.
  • L'attributo Key Usage deve avere i valori critical, digitalSignature e keyEncipherment.
  • L'attributo Extended Key Usage deve avere il valore serverAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificate-gw-careserver]

Il certificato di gateway HTML5 deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <HTML5_GW_NAME>@<ORGANIZATION_NAME>, dove <HTML5_GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

Il certificato deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name Questo attributo deve avere un valore che sia il nome breve, FQDN, o qualsiasi altro nome che identifichi in modo univoco la macchina.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-registrazione diretta]

Questo server usa cinque diversi certificati:

  • Un certificato web per attivare HTTPS.
  • Un certificato per il componente del router SSL responsabile della creazione di tunnel TLS e del traffico di routing tra di essi.
  • Un certificato per la componente Watchdog responsabile del controllo del corretto funzionamento del router SSL.
  • Un certificato per il client cyberelements Cleanroom che gli consenta di connettersi al router SSL e di stabilire un tunnel TLSv1.3.
  • Un certificato per gli scambi interserver tra controllori di mediazione (solo per il server SLAVE).

Certificato web

Certificato SSL del router

Certificato di cane da guardia

cyberelements Cleanroom certificato cliente

Il certificato client cyberelements Cleanroom deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che rappresenti un nome di identificazione del cliente, ad esempio cyberelements-cleanroom-client.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12 con una password di ** almeno 8 caratteri alfanumerici** (non sono supportati caratteri speciali, lettere accentuate o trattini).

--8<-- [fine:certificate-med-client]

Il certificato Cleanroom interserver cyberelements deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere come valore un nome di identificazione, ad esempio interserver-cleanroom.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12 con una password di almeno 8 caratteri senza caratteri speciali.

Il certificato Edge Gateway deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <GW_NAME>@<ORGANIZATION_NAME>, dove <GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-gw]

- 8 <-- [start:certificate-gw-careserver]

Il certificato di servizio di registrazione deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name L'attributo deve contenere il nome FQDN o almeno il nome del Edge Gateway la macchina come valore.
  • L'attributo Key Usage deve avere i valori critical, digitalSignature e keyEncipherment.
  • L'attributo Extended Key Usage deve avere il valore serverAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificate-gw-careserver]

Il certificato di gateway HTML5 deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <HTML5_GW_NAME>@<ORGANIZATION_NAME>, dove <HTML5_GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

Il certificato deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name Questo attributo deve avere un valore che sia il nome breve, FQDN, o qualsiasi altro nome che identifichi in modo univoco la macchina.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-registrazione diretta]

Certificato interserver

Il certificato Cleanroom interserver cyberelements deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere come valore un nome di identificazione, ad esempio interserver-cleanroom.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12 con una password di almeno 8 caratteri senza caratteri speciali.

Questo server usa due diversi certificati:

  • Un certificato per l'autenticazione del componente Edge Gateway con il router SSL.
  • Un certificato per il servizio di registrazione in modo che gli agenti di registrazione possano connettersi ad esso.

Info

Un Edge Gateway Il server può avere più Edge Gateway In questo caso, la domanda di certificati è Edge Gateway istanze (tranne nel caso specifico dell'architettura di cluster).

Tuttavia, un Edge Gateway Il server ha un solo servizio di registrazione, quindi sarà richiesto un solo certificato per macchina.

Edge Gateway Certificato

Il certificato Edge Gateway deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <GW_NAME>@<ORGANIZATION_NAME>, dove <GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-gw]

- 8 <-- [start:certificate-gw-careserver]

Il certificato di servizio di registrazione deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name L'attributo deve contenere il nome FQDN o almeno il nome del Edge Gateway la macchina come valore.
  • L'attributo Key Usage deve avere i valori critical, digitalSignature e keyEncipherment.
  • L'attributo Extended Key Usage deve avere il valore serverAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificate-gw-careserver]

Il certificato di gateway HTML5 deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <HTML5_GW_NAME>@<ORGANIZATION_NAME>, dove <HTML5_GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

Il certificato deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name Questo attributo deve avere un valore che sia il nome breve, FQDN, o qualsiasi altro nome che identifichi in modo univoco la macchina.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-registrazione diretta]

Certificato di servizio di registrazione

Questo server utilizza un unico certificato: quello per l'autenticazione del componente HTML5 Gateway con il router SSL.

Info

Un server HTML5 Gateway può avere più istanze di HTML5 Gateway, richiedendo tanti certificati quanti sono le istanze di HTML5 Gateway (tranne nel caso specifico dell'architettura cluster).

Certificato di gateway HTML5

Il certificato di gateway HTML5 deve essere conforme ai seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • L'attributo Common Name deve avere un valore che identifica il Edge Gateway logico. Questo nome assume la seguente forma <HTML5_GW_NAME>@<ORGANIZATION_NAME>, dove <HTML5_GW_NAME> corrisponde al nome del Edge Gateway (come inserito nella console di amministrazione) e <ORGANIZATION_NAME> corrisponde al nome dell'organizzazione a cui il Edge Gateway si connetterà.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

Per l'accesso diretto, l'agente di registrazione diretta utilizza un certificato per autenticarsi con il servizio di registrazione di un Edge Gateway.

Il certificato deve soddisfare i seguenti vincoli per i suoi attributi:

  • Il periodo di validità del certificato non deve superare i 1095 giorni (3 anni).
  • La funzione hash utilizzata per la firma deve far parte della famiglia SHA-2; si consiglia SHA-512.
  • Il certificato e i certificati delle autorità di certificazione devono avere una chiave privata di almeno 2048 bit con crittografia RSA, DSA e DH; per le chiavi a curva ellittica (ECC), devono essere di almeno 224 bit. secp384r1 dimensione della curva di 384 bit.
  • Il Common Name Questo attributo deve avere un valore che sia il nome breve, FQDN, o qualsiasi altro nome che identifichi in modo univoco la macchina.
  • L'attributo Key Usage deve avere i valori critical e digitalSignature.
  • L'attributo Extended Key Usage deve avere il valore clientAuth.

Formato di certificato accettato: P12.

--8<-- [fine:certificato-registrazione diretta]