Table of Contents   MOBOTIX Online Help

Web 服务器

打开 Web 服务器对话框,设置摄像机的 Web 服务器选项。

有关使用证书的进一步信息,请参阅使用和创建 X.509 证书的步骤部分。

常规接口设置

参数 说明
Web 服务器的端口

根据出厂默认设置,浏览器可使用端口 80(用于 HTTP 请求的标准端口)连接到摄像机的 Web 服务器。

但是,如果要分别从局域网 (Intranet) 和 Internet 访问摄像机,则可以出於安全原因定义两个 Web 服务器端口,以便可以清楚地隔离局域网和 Internet 对摄像机的访问。

示例:

例如在本地网络内,摄像机可通过端口 80 被访问并被集成到多视图界面中。来自 Internet 的访问则使用路由器通过映射端口连接到摄像机。由于端口 80 已经在本地网络中使用,因此路由器将 Internet 的访问引导到摄像机的其他端口(例如 8080)。

在此情况下,必须为这两个端口输入值 808080

请您只有在完全清楚后果的情况下才修改这些设置。只要一个错误的设置就可能导致摄像机无法访问。

注: 对此设置的任何修改都要重启摄像机后才能生效。
  如果未指定端口,可以使用默认端口 80 访问摄像机。
启用 HTTP

如果要未加密 连接摄像机的 Web 服务器,则选择此设置。在此情况下,Web 服务器将打开在 Web 服务器的一个或多个端口中为 HTTP 请求设定的端口。

注: 必须至少激活启用 HTTP启用 HTTPS 选项中的一个,因为摄像机的 Web 服务器不会接受其他任何连接。
启用 HTTPS

如果要加密 连接摄像机的 Web 服务器,则选择此设置。在此情况下,Web 服务器将打开在 HTTPS 服务器的 SSL/TLS 端口中为 HTTPS 请求设定的端口。

注: 必须至少激活启用 HTTP启用 HTTPS 选项中的一个,因为摄像机的 Web 服务器不会接受其他任何连接。
HTTPS 服务器的 SSL/TLS 端口 在此字段中为 SSL 连接设定 TCP 端口。只能为 HTTPS 设置一个端口。如果此字段为空,且激活了启用 HTTPS,则 Web 服务器将对 HTTPS 请求使用端口 443(默认)。
下载 X.509 证书 只有当摄像机拥有用户提供的 X.509 证书时,此按钮才激活。使用此按钮可将摄像机的 Web 服务器当前使用的 X.509 证书和 PEM 格式的相应私钥下载到本地计算机中。
下载 X.509 证书请求 仅当摄像机以前生成了 X.509 证书请求时,此按钮才激活(请参阅生成自签名 X.509 证书和 X.509 证书请求)。使用此按钮可将 PEM 格式的证书请求(符合已生成的私钥)下载到本地计算机。此证书请求可由外部认证机构签发,产生的 X.509 证书可上传到摄像机中(请参阅替换摄像机当前使用的 X.509 证书和私钥)。

摄像机当前使用的 X.509 证书和私钥

此部分包含摄像机当前使用的证书的信息。

参数 说明
发行者

显示认证机构的信息。信息的编码相当于生成自签名 X.509 证书和 X.509 证书请求部分中的字段。

标题文本

显示认证正文的信息(例如 you)。信息的编码相当于生成自签名 X.509 证书和 X.509 证书请求部分中的字段。

有效期 显示当前使用的证书的有效期。

替换摄像机当前使用的 X.509 证书和私钥

参数 说明
删除 X.509 证书 删除摄像机当前使用的 X.509 证书和相应私钥。重启摄像机后,摄像机将再次使用出厂时提供的自签名的 X.509 证书(出厂默认设置)。
上传 X.509 证书和私钥 替换摄像机当前使用的 X.509 证书和相应私钥。此 X.509 证书和相应私钥必须由外部认证机构创建和签名。
上传 X.509 证书 替换当前使用的 X.509 证书,但保留当前使用的私钥。使用此功能上传 X.509 证书,该证书由摄像机先前创建的一个证书请求而生成(请参阅生成自签名 X.509 证书和 X.509 证书请求)。
生成 根据在生成自签名 X.509 证书和 X.509 证书请求部分中输入的信息,创建新的自己签名的 X.509 证书、相应的私钥和证书请求。
从文件上传 X.509 证书 为了上传 X.509 证书,请在计算机中输入证书文件(PEM 格式)的文件名。如果要上传存储在一个文件中的 X.509 证书和相应的私钥,可以在此字段中输入文件的文件名。
从文件上传 X.509 私钥 为了上传 X.509 证书的相应私钥,请在计算机中输入该文件(PEM 格式)的文件名。如果要上传存储在一个文件中的 X.509 证书和相应的私钥,可以在此字段中输入文件的文件名。
密码短语 如果私钥已用密码短语加密,则输入该密码短语。

生成自己签名的 X.509 证书和 X.509 证书请求

该字段与 X.509 证书的字段相应。

参数 说明
常规名称

缩写:CN。这是此部分对话框中唯一必需的信息。输入此摄像机的完整 DNS 名称(完整合格域名)。也可以输入 IP 地址,但是不建议这样做。请注意,此字段必须与在 Web 浏览器中访问摄像机的 DNS 名称相符,因为否则认证无效。

国家/地区

缩写:C。证书持有者的国籍(可选)。

州或省

缩写:ST。证书持有者的州/省(可选)。

地区

缩写:L。证书持有者的城市/地区(可选)。

组织

缩写:O。证书持有者的单位、组织等(可选)。

组织单位

缩写:OU。证书持有者的部门/工作组(可选)。

电子邮件地址

证书持有者的电子邮件地址 (包含在 CN 中,可选)。


注: 如果外部认证机构应该签署使用此功能生成的证书请求,请必须遵守认证机构关于此表格的可选和必填字段的指南,而不必苟泥于这里列出的输入格式。自己签名的 X.509 证书的有效期为 10 年。密钥对的长度为 2048 位。

使用和创建 X.509 证书的步骤

未使用具有 SSL/TLS 的 HTTPS

此对话框中使用的 X.509 证书不影响摄像机的其他区域,而且在激活了具有 SSL/TLS 的 HTTPS 时忽略。

具有出厂默认 X.509 证书的 HTTPS

只要激活了 HTTPS 并且重启了摄像机,就可以使用 HTTPS。然后摄像机将使用对于所有 MOBOTIX 摄像机都相同的,出厂时提供的自签名 X.509 证书。此证书不会提供更多安全性,因为它不能保证摄像机的身份验证。这导致潜在的攻击者操控数据流,即使摄像机使用高性能的加密机制(“中间人”攻击)。

具有个别、自签字的 X.509 证书的 HTTPS

替换摄像机当前使用的 X.509 证书和私钥部分中,单击生成并且在生成自签名的 X.509 证书和 X.509 证书请求中输入适当的信息。然后,单击设置按钮。摄像机将生成个别的、自签名 X.509 证书(此过程可能需要一些时间)。同一时间创建的证书请求将不被使用。重启摄像机后,将使用新的自签名 X.509 证书。

注: 必须永久保存更改,然后再重启摄像机(单击设置,再单击关闭并同意提示)。

重启后首次访问摄像机时,Web 浏览器将告诉您它无法验证证书并且询问您是否无论如何都接受该证书。下一步是关于安全性:只有当绝对确信确实连接到认证的摄像机(例如使用交叉缆线将摄像机直接连接到计算机)时才接受该证书。请注意,必须接受每个访问摄像机的证书。此证书足够保证数据传输的安全,但是还不是最佳的。因为只有当预先知道摄像机的证书时才能验证摄像机的真实性。

具有个别、外部认证的 X.509 证书的 HTTPS

选择 1:可以将 X.509 证书和私钥上传到摄像机。为此,使用替换摄像机当前使用的 X.509 证书和私钥部分中的上传 X.509 证书和私钥功能。可以从外部认证机构购买 X.509 证书和私钥,或者运行自己的认证机构,例如使用 OpenSSL。在此情况下,不需要预先生成证书请求。执行此功能时,摄像机中已经存在的证书请求将被删除。每台摄像机都需要一个来自认证机构的个别证书。

选择 2:在摄像机中创建证书请求。证书请求将和自签名 X.509 证书一起创建(请参阅具有个别、自签名 X.509 证书的 HTTPS)。只要摄像机创建了证书请求,就可以通过单击下载 X.509 证书请求后面的下载按钮在 Web 服务器中下载此文件。将此证书请求文件发送到认证机构进行签名。在收到认证机构的 X.509 证书之前,摄像机将使用自签名的 X.509 证书。

使用替换摄像机当前使用的 X.509 证书和私钥部分中的从文件上传 X.509 证书,将认证机构签名的 X.509 证书上传到要认证的摄像机。此选项的好处是私钥不会离开摄像机,从而再次增强其可信性。每台摄像机都需要一个来自认证机构的个别证书。证书请求、证书和私钥是一起的。不可能向摄像机中上传与其他摄像机创建的证书请求匹配的证书。

这种证书可保证数据传输的最佳安全性,因为摄像机的真实性可以根据认证机构的根证书进行验证。“中间人”攻击不再可能。此外,不必像自签名的 X.509 证书一样下载每个摄像机的证书。只需要向浏览器中一次导入认证机构的根证书。通常近代的浏览器中已经存在商业认证机构的根证书。

入侵检测设置

入侵检测部分中的参数提供一层额外保护,以阻止意外入侵者的攻击。如果入侵者试图使用“硬算”方法猜出用户名和密码来访问摄像机,在一定的失败尝试次数后,摄像机将发送警报,并自动锁定攻击 IP 地址(如果需要)。

摄像机何时触发警报?

通知临界值是试图登录摄像机时允许失败的次数(最小值为 5)。如果超过此值,则将发送警报。

注意: 即使是有有效凭证的用户,当他首次访问摄像机时,也可能因此而失败。用户计算机上的浏览器需要通过此首次失败尝试来识别此网站是否需要身份验证凭证,从而提示浏览器显示其用户名/密码对话框。HTTP 协议的这个弱点是“原则性的”,因此是不可避免的。

超时和死锁时间

一个用户试图访问 URL 时的连续尝试的信息将被合并总结,并存到 Web 服务器日志文件的一个条目中。此条目只包含有关用户何时访问摄像机以及在指定的时间段内此用户的访问尝试次数等信息。如果用户在上次访问后又在设定的超时时间段内再次访问摄像机,则此次访问将添加到 Web 服务器日志文件的已有条目中(将访问计数加一,更新上次访问的日期和时间)。

如果用户的新访问发生在超时指定的时间间隔后,则此次访问将在 Web 服务器日志文件中创建新条目。此过程适用于所有授权的和未授权的访问。入侵检测使用 Web 服务器日志文件中的数据,因此受超时参数影响。
几分钟的超时值将使区分个别访问尝试更容易。另一方面,这又会增加误报的可能性,因为一个成功的访问尝试无法添加到前面的失败尝试中。默认值为 60 分钟,这是一个很好的折衷数。

死锁时间是两次连续的警报通知之间必须间隔的最少时间。在发送了一条通知后,只有在死锁时间已过并且登录尝试失败次数再次超过通知临界值时,新通知才会被发送。默认值为 60 分钟。如果将此参数设置为 0,摄像机在每次访问尝试时都会发送通知。

通知选项

如果摄像机触发警报,可以使用以下选项发送通知:

注: 发送电子邮件通知时,摄像机将始终附加 Web 服务器日志文件作为附件,该附件独立于在电子邮件预案中指定的附件。

入侵检测触发的警报独立于摄像机的其他警报机制和事件存储。如果要使入侵检测触发的警报存储在事件存储中,并显示摄像机图像,应该执行以下操作:

自动阻挡 IP 地址

如果已经设置 IP 层访问控制,则摄像机可以使用阻挡 IP 地址功能自动阻挡已进行了不成功登录尝试的 IP 地址。当达到通知临界值时就会触发此锁定;此锁定是临时的,只在下次重启摄像机之前有效。

注: 如果某 IP 地址已经在 IP 层访问控制对话框中授权访问,则此 IP 地址不会被自动锁定。如果要激活所有 IP 地址的自动锁定,则应该在 IP 层访问控制对话框中删除所有允许访问规则。

Storing the Configuration

Click on the Set button to activate your settings and to save them until the next reboot of the camera.

Click on the Factory button to load the factory defaults for this dialog (this button may not be present in all dialogs).

Click on the Restore button to undo your most recent changes that have not been stored in the camera permanently.

Click on the Close button to close the dialog. While closing the dialog, the system checks the entire configuration for changes. If changes are detected, you will be asked if you would like to store the entire configuration permanently.

 In order to enable these settings, you need to store the configuration and reboot the camera!

cn, de, en, es, fr, it, jp, ru

© 2001-2017 MOBOTIX AG, Germany · http://www.mobotix.com/