Table of Contents   MOBOTIX Online Help

Serveur Web

La boîte de dialogue Serveur Web permet de définir les paramètres du serveur Web de la caméra.

Vous trouverez plus d'informations sur les certificats dans la section Utilisation et création des certificats X.509.

Configuration générale

Paramètre Description
Port(s) pour le serveur Web

La configuration par défaut définit le port 80 (port standard pour les requêtes HTTP) pour permettre au serveur Web d'accéder à la caméra.

Si vous devez rendre la caméra accessible via le réseau local (intranet) et Internet, il est possible d'accéder au serveur Web de la caméra via deux ports pour des raisons de sécurité afin de séparer distinctement ces deux réseaux.

Exemple :

Dans un réseau local, la caméra doit être accessible via le port 80 et, par exemple, être intégrée à une page Multi-vues. L'accès via Internet se fait par le biais d'un routeur, qui exécute un mappage de port sur la caméra. Comme le port 80 est déjà utilisé par l'intranet, le routeur dévie les requêtes en provenance d'Internet vers un autre port de la caméra (par exemple, 8080).

Dans ce cas, vous devriez saisir les valeurs 80 et 8080 pour les ports.

Ne modifiez ces paramètres que si vous êtes sûr du résultat. Si vous vous trompez lors de la saisie, la caméra risque de ne plus être accessible.

Indications : Cette modification ne prendra effet qu'après le redémarrage de la caméra.
  Si aucun port n'a été défini, la caméra est disponible sur le port standard 80 dans le navigateur Web.
Activation HTTP

Sélectionnez ce paramètre pour autoriser les connexions non cryptées au serveur Web. Dans ce cas, le serveur Web ouvre les ports définis dans Port ou ports pour le serveur Web pour les requêtes HTTP.

Indication : Assurez-vous qu'au moins l'une des options Activation HTTP ou Activation HTTPS soit activée, autrement le serveur Web de la caméra sera désactivé.
Activation HTTPS

Sélectionnez ce paramètre pour autoriser les connexions cryptées au serveur Web. Dans ce cas, le serveur Web ouvre le port défini dans Port SSL/TLS pour serveur HTTPS pour les requêtes HTTP.

Indication : Assurez-vous qu'au moins l'une des options Activation HTTP ou Activation HTTPS soit activée, autrement le serveur Web de la caméra sera désactivé.
Port SSL/TLS pour serveur HTTPS Spécifiez ici le port TCP pour les connexions SSL. Un seul port est autorisé pour HTTPS. Si le champ est vide et si l'option Activation HTTPS est activée, le serveur Web ouvre le port 443 pour HTTPS (port standard).
Télécharger le certificat X.509 Ce bouton s'affiche uniquement si la caméra dispose de son propre certificat X.509. Ce bouton permet de télécharger le certificat X.509 utilisé actuellement par le serveur Web, ainsi que la clé privée correspondante au format PEM sur l'ordinateur local.
Télécharger le fichier de requête du certificat X.509 Ce bouton s'affiche uniquement si la caméra a généré au préalable une requête de certificat (voir Créer un certificat X.509 auto-certifié et une requête de certificat). Ce bouton permet de télécharger sur l'ordinateur local une requête de certificat au format PEM correspondant à la clé privée qui s'autogénère. Cette demande de certificat peut être signée par une autorité de certification externe et le certificat X.509 qui en résulte être chargé dans la caméra (voir Remplacer les fichiers X.509 par le certificat et la clé privée utilisés par la caméra).

Certificat X.509 et clé privée utilisés par la caméra

Cette section permet d'afficher les données du certificat actuellement utilisé par la caméra.

Paramètre Description
Editeur

Répertorie les informations sur le centre de certification. Le codage des données correspond au champ de la section Créer un certificat X.509 auto-certifié et une requête de certificat.

Objet

Répertorie les informations sur le centre certifié. Le codage des données correspond au champ de la section Créer un certificat X.509 auto-certifié et une requête de certificat.

Validité Affiche la durée de validité du certificat utilisé.

Remplacer les fichiers X.509 par le certificat et la clé privée utilisés par la caméra.

Paramètre Description
Supprimer le certificat X.509 Supprime le certificat X.509 en cours d'utilisation et la clé privée correspondante. Après son redémarrage, la caméra utilise à nouveau le certificat X.509 autogénéré (fourni lors de l'achat).
Télécharger le certificat X.509 et la clé privée. Remplace le certificat X.509 en cours d'utilisation et la clé privée correspondante. Ce certificat X.509 et la clé privée correspondante doivent être fournis et signés par une autorité de certification externe.
Télécharger le certificat X.509 Remplace le certificat X.509 en cours d'utilisation mais conserve la clé privée. Ce fonction permet de télécharger un certificat X.509 généré par une requête de certificat à partir de cette caméra (voir Créer un certificat X.509 auto-certifié et une requête de certificat).
Générer Génère un nouveau certificat X.509 autosigné à partir des données de la section Créer un certificat X.509 auto-certifié et une requête de certificat, ainsi qu'une clé privée et une requête de certificat correspondante.
Télécharger le fichier contenant le certificat X.509 Pour télécharger un certificat X.509, spécifiez ici le nom du fichier pour le certificat au format PEM sur votre ordinateur local. Si vous souhaitez télécharger le certificat X.509 et la clé privée correspondante et les enregistrer dans le même fichier, saisissez le nom de ce fichier ici.
Télécharger le fichier contenant la clé privée X.509 Pour télécharger une clé privée pour le certificat X.509 ci-dessus, spécifiez ici le nom du fichier pour le fichier au format PEM sur votre ordinateur local. Si vous souhaitez télécharger le certificat X.509 et la clé privée correspondante et les enregistrer dans le même fichier, saisissez le nom de ce fichier ici.
Phrase de passe Lorsqu'une clé privée est protégée par une phrase de passe, veuillez la saisir ici.

Créer un certificat X.509 auto-certifié et une requête de certificat

Les champs de données du masque de saisie correspondent aux champs de données d'un certificat X.509.

Paramètre Description
Nom général

Abréviation : CN. Cet élément est très important pour cette zone de la boîte de dialogue. Saisissez le nom DNS complet (Fully Qualified Domain Name) de la caméra. Vous pouvez également saisir une adresse IP, ce qui est déconseillé. Assurez-vous que le contenu de ce champ correspond au nom DNS permettant d'identifier la caméra dans un serveur Web, sinon le certificat ne sera pas valide.

Pays

Abréviation : C. Nationalité du propriétaire du certificat (facultatif).

Etat ou province

Abréviation : ST. Etat ou province du propriétaire du certificat (facultatif).

Localité

Abréviation : L. Lieu de résidence du propriétaire du certificat (facultatif).

Organisation

Abréviation : O. Entreprise, organisation, etc.. du propriétaire du certificat (facultatif).

Unité organisationnelle

Abréviation : OU. Service ou groupe de travail du propriétaire du certificat (facultatif).

Adresse électronique

Adresse électronique du propriétaire du certificat (contenue dans CN, facultative).


Indication : Si une autorité de certification externe doit signer une requête de certificat créée via cette fonction, ce sont les champs de données obligatoires et facultatifs de cette autorité qui sont pris en compte, et non les modèles de ce masque de saisie. La durée de validité du certificat X.509 autosigné s'élève à 10 ans. La longueur de la paire de clés est de 2 048 bits.

Utilisation et création des certificats X.509

Le port SSL/TLS pour serveur HTTPS ne doit pas être utilisé.

Les certificats X.509 utilisés dans cette boîte de dialogue n'influencent aucun domaine de la caméra et seront ignorés si le serveur HTTPS n'est pas activé via SSL/TLS.

HTTPS avec le certificat X.509 par défaut

Dès que HTTPS est activé et la caméra redémarrée, HTTPS est disponible. La caméra utilise par défaut un certificat X.509 autosigné, identique pour toutes les caméras MOBOTIX. Ce certificat assure la sécurité du transfert de données brutes uniquement et ne peut pas garantir l'authenticité de la caméra. Ainsi, une menace peut s'introduire dans le flux de données même si une procédure de chiffrement complexe est mise en place (menace "Man in the middle").

HTTPS avec un certificat X.509 autosigné

Dans la section Remplacer les fichiers X.509 par le certificat et la clé privée utilisés par la caméra, cliquez sur Générer et remplissez le champ de la section Créer un certificat X.509 auto-certifié et une requête de certificat. Cliquez ensuite sur Définir. La caméra crée un certificat X.509 autosigné (ce processus dure un certain temps). La requête de certificat générée en parallèle n'est plus nécessaire. Au prochain redémarrage, la caméra utilise le nouveau certificat X.509 généré.

Indication : Assurez-vous d'avoir sauvegardé la configuration de la caméra avant son redémarrage (cliquez sur Définir, puis sur Fermer et confirmez).

Lors du premier accès à la caméra après son redémarrage, votre navigateur Web vous informe qu'il est impossible de vérifier le certificat et vous demande si vous souhaitez l'accepter. Cette étape est indispensable pour la sécurité. Vous devez accepter ce certificat uniquement si vous pouvez garantir par d'autres moyens que vous êtes connecté à la caméra de votre choix (par ex., connexion directe entre l'ordinateur et la caméra via un câble croisé). Ce processus d'approbation doit être effectué pour chaque caméra. Ce certificat assure la sécurité suffisante du transfert de données, mais pas encore de manière optimale. L'authenticité de la caméra peut être vérifiée uniquement si le certificat de la caméra est déjà connu au préalable.

HTTPS avec un certificat X.509 signé en externe

Modèle n°1 : Vous pouvez télécharger un certificat X.509 et une clé privée de la caméra. Pour ce faire, utilisez la fonction Télécharger le certificat X.509 et la clé privée de la section Remplacer les fichiers X.509 par le certificat et la clé privée utilisés par la caméra. Vous pouvez vous procurer un certificat X.509 et une clé privée auprès d'une autorité de certification externe ou vous pouvez utiliser votre propre autorité de certificat privée, par exemple sur la base d'OpenSSL. Dans ce cas, il n'est pas nécessaire de générer la requête de certificat au préalable. Lors de l'exécution de cette fonction, une requête de certificat générée est supprimée. Chaque caméra nécessite un certificat individuel fourni par l'autorité de certification.

Modèle n°2 : Vous pouvez générer une requête de certificat avec la caméra. La requête de certificat est créée en parallèle avec un certificat X.509 autosigné (voir HTTPS avec un certificat X.509 autosigné). Dès que la requête de certificat est créée, vous pouvez la télécharger en cliquant sur le bouton Télécharger dans la section Serveur Web après Télécharger le fichier de requête du certificat X.509. Envoyez cette requête à l'autorité de certification pour signature. Jusqu'à ce que vous receviez le certificat X.509, la caméra utilise son propre certificat X.509 autosigné.

Chargez le certificat X.509 fourni par l'autorité de certification dans la caméra de votre choix via la fonction Télécharger le fichier contenant le certificat X.509 dans la section Remplacer les fichiers X.509 par le certificat et la clé privée utilisés par la caméra. Cette version offre un avantage car la clé privée n'accorde pas d'autorisation à la caméra, ce qui renforce sa fiabilité. Chaque caméra nécessite un certificat individuel fourni par l'autorité de certification. Une unité comprend une requête de certificat, un certificat et une clé privée. Il est impossible de charger dans une caméra un certificat généré par une requête d'une autre caméra.

Ce certificat assure la sécurité optimale du flux de données car l'authenticité de la caméra peut être vérifiée via un certificat root de l'autorité de certification. Les menaces "Man in the middle" n'existent plus. Il n'est également pas nécessaire de faire reconnaître chaque caméra par le navigateur, comme lors de l'utilisation d'un certificat X.509 autosigné. Vous devez charger une seule fois le certificat root de l'autorité de certification dans le navigateur. En règle générale, les certificats root fournis par les autorités de certification commerciales sont déjà intégrés au navigateur.

Paramètres de la détection d'intrus

Les paramètres de la section Détection d'intrus permettent de protéger la caméra contre les intrusions malveillantes. Si des intrus essaieraient d'obtenir le nom d'utilisateur et le mot de passe de la caméra par la méthode de force brute, la caméra peut générer une alerte après un certain nombre d'échecs et, le cas échéant, verrouiller automatiquement son accès.

Quand une alerte est-elle générée ?

Le seuil de notification définit le nombre d'échecs de connexion autorisés (au moins 5 tentatives). Une alerte est générée dès que ce nombre est dépassé.

Attention : Même lorsque l'utilisateur habilité accède à la caméra pour la première fois, la tentative de connexion échoue. Lors de ce premier essai, le navigateur de l'utilisateur identifie le processus de connexion et l'utilisateur est invité à saisir son nom d'utilisateur et son mot de passe. Cette défaillance du protocole HTPP est intentionnelle et de ce fait inévitable.

Dépassement du délai et temps mort

Les accès consécutifs de l'utilisateur à un URL sont regroupés et enregistrés sous une entrée distincte dans le fichier journal du serveur Web. Cette entrée comprend la date et l'heure du premier et du dernier accès, ainsi que le nombre d'accès total pour cet utilisateur au cours de la période définie. Si après son dernier accès, l'utilisateur accède à la caméra au cours de la période Dépassement du délai, cet accès est ajouté à l'entrée déjà définie dans le fichier journal du serveur Web (nombre d'accès augmenté de un, date et heure du dernier accès actualisées).

Si l'utilisateur réussit à se connecter après le dépassement du délai, cet accès génère une nouvelle entrée distincte dans le fichier journal du serveur Web. Ceci est valable pour des accès autorisés et non. La détection d'intrus utilise les données du fichier journal du serveur Web et, de ce fait, est influencée par le dépassement du délai.
Un dépassement du délai de quelques minutes sépare les différentes tentatives d'accès de façon plus évidente. Toutefois, cela augmente le danger de fausses alertes car une connexion réussie ne peut plus être attribuée à une tentative avortée. La valeur par défaut est de 60 minutes et offre un bon compromis.

Le temps mort représente la durée minimum entre deux alertes. Après une notification, une alerte est envoyée lorsque cette période a expiré et lorsque le nombre de tentatives de connexion échouées a été dépassé. La valeur standard est de 60 minutes. La valeur 0 entraîne l'envoi d'une alerte à chaque tentative de connexion échouée.

Chemins de notification

Lorsqu'une alerte est générée, vous disposez des chemins de notification suivants :

Indication : Lorsqu'une alerte est envoyée par courrier électronique, le fichier journal du serveur Web est inséré en tant que pièce jointe, quelle que soit la pièce jointe configurée dans le profil de courrier électronique.

L'alerte de la détection d'intrus est indépendante des autres mécanismes d'alerte et de l'enregistrement d'événements de la caméra. Si une alerte apparaît dans l'enregistrement d'événements via la détection d'intrus, procédez comme suit :

Verrouillage automatique d'une adresse IP

Si l'option Restriction d'accès par IP est activée, la fonction Bloquer l'adresse IP permet de verrouiller automatiquement l'adresse IP pour laquelle plusieurs tentatives de connexion ont échoué. Ce verrouillage n'est pas définitif et ne dure que jusqu'au prochain redémarrage de la caméra. Il se produit lorsque le seuil de notification est atteint.

Indication : Si une adresse IP dispose d'un accès autorisé à la caméra via la boîte de dialogue Restriction d'accès par IP, cette adresse IP ne peut pas être verrouillée automatiquement. Si vous souhaitez activer le verrouillage automatique pour une adresse IP, vous devez supprimer toutes les règles d'accès pour Autoriser dans la boîte de dialogue Restriction d'accès par IP.

Storing the Configuration

Click on the Set button to activate your settings and to save them until the next reboot of the camera.

Click on the Factory button to load the factory defaults for this dialog (this button may not be present in all dialogs).

Click on the Restore button to undo your most recent changes that have not been stored in the camera permanently.

Click on the Close button to close the dialog. While closing the dialog, the system checks the entire configuration for changes. If changes are detected, you will be asked if you would like to store the entire configuration permanently.

 In order to enable these settings, you need to store the configuration and reboot the camera!

cn, de, en, es, fr, it, jp, ru

© 2001-2017 MOBOTIX AG, Germany · http://www.mobotix.com/