Table of Contents   MOBOTIX Online Help

Веб-сервер

В диалоговом окне Веб-сервер можно обрабатывать все настройки, касающиеся веб-сервера камеры.

Более подробную информацию по работе с сертификатами можно найти в разделе Способы создания и использования сертификатов X.509.

Общая конфигурация

Параметр Описание
Порт или порты для веб-сервера

В заводской настройке доступ к камере возможен через порт 80 (стандартный порт для запросов HTTP) веб-сервера.

Если, однако, потребуется, чтобы доступ к камере был возможен через локальную сеть (Интранет) и Интернет, в целях безопасности к веб-серверу камеры можно обращаться через два порта, чтобы разделить Интранет и Интернет.

Пример:

В локальной сети доступ к камере должен быть возможен через порт 80, и она должна быть интегрирована, например, в страницу мультиизображения. Доступ из Интернета осуществляется через маршрутизатор, выполняющий отображение порта на камеру. Поскольку порт 80 уже используется в Интранете, маршрутизатор переводит обращения из Интернета на другой порт камеры (например, 8080).

Для портов в таком случае следовало бы ввести значения 80 и 8080.

Эту настройку следует изменять только в том случае, если Вы уверены в том, какие последствия это может повлечь за собой. В случае неправильной настройки камера может стать более не доступной.

Указания: Изменение этой настройки вступает в силу только после повторного пуска.
  Если порты не установлены, доступ к камере возможен через стандартный порт 80 в веб-браузере.
Активация HTTP

Выберите эту настройку, чтобы обеспечить установку соединений с веб-сервером без использования кодов. В этом случае веб-сервер откроет порты для запросов HTTP, установленные в разделе Порт или порты для веб-сервера.

Указание: Проследите, чтобы всегда была установлена по меньшей мере одна из опций Активация HTTP или Активация HTTPS, так как в противном случае веб-сервер камеры больше не будет отвечать.
Активация HTTPS

Выберите эту настройку, чтобы обеспечить установку соединений с веб-сервером с использованием кодов. В этом случае веб-сервер откроет порт для запросов HTTP, установленный в разделе Порт или порты для веб-сервера.

Указание: Проследите, чтобы всегда была установлена по меньшей мере одна из опций Активация HTTP или Активация HTTPS, так как в противном случае веб-сервер камеры больше не будет отвечать.
Порт SSL/TLS для сервера HTTPS Установите порт TCP для соединений по протоколу SSL. Для HTTPS можно использовать только один порт. Если поле пустое и активирована опция Активация HTTPS, веб-сервер откроет порт 443 для HTTPS (стандартный порт).
Загрузка сертификата X.509 Этот порт появляется только в том случае, если камера имеет индивидуальный сертификат X.509. Используйте эту кнопку для того, чтобы загрузить используемый в текущий момент веб-сервером сертификат X.509 и соответствующий частный ключ на локальный компьютер в формате файла PEM.
Загрузка файла с запросом сертификата X.509 Этот порт появляется только в том случае, если до этого камера генерировала запрос сертификата (см. Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата). Используйте эту кнопку для того, чтобы загрузить на локальный компьютер запрос сертификата в формате файла PEM, подходящий для самостоятельно генерированного частного ключа. Этот запрос сертификата может быть подписан внешним органом по сертификатам, а полученный сертификат X.509 выгружен в камеру (см. Замена используемых камерой файлов X.509 с сертификатом и частным ключом).

Используемый камерой сертификат X.509 и частный ключ

В этом разделе отображаются данные сертификата, используемого в данный момент камерой.

Параметр Описание
Издатель

Указание информации сертифицирующего органа. Кодирование данных соответствует данным в полях раздела Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата.

Тема

Указание информации сертифицированного органа. Кодирование данных соответствует данным в полях раздела Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата.

Срок действия Срок действия используемого сертификата.

Замена используемых камерой файлов X.509 с сертификатом и частным ключом

Параметр Описание
Удаление сертификата X.509 Удаление используемого сертификата X.509 и соответствующего частного ключа. После повторного пуска камера использует автоматически подписываемый сертификат X.509 камеры (состояние на момент поставки).
Выгрузка сертификата X.509 и частного ключа Замена используемого в настоящий момент сертификата X.509 и соответствующего частного ключа. Данный сертификат X.509 и соответствующий частный ключ должны быть созданы и подписаны внешним органом по сертификатам.
Выгрузка сертификата X.509 Замена используемого в настоящий момент сертификата X.509 и сохранение используемого в настоящий момент частного ключа. Используйте эту функцию, чтобы выгрузить сертификат X.509, генерированный по запросу сертификата, созданного до этого этой камерой (см. Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата).
Генерирование Создание на основе данных раздела Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата нового, автоматически подписываемого сертификата X.509, подходящего для него ключа и запроса сертификата.
Выгрузка файла с сертификатом X.509 Чтобы выгрузить сертификат X.509, введите здесь имя файла сертификата в формате файла PEM на своем локальном компьютере. Если Вы хотите выгрузить сертификат X.509 и подходящий для него частный ключ, и оба они сохранены в одном и том же файле, укажите здесь этот файл.
Выгрузка файла с частным ключом X.509 Чтобы выгрузить частный ключ, подходящий для вышеуказанного сертификата X.509, введите здесь имя файла в формате файла PEM на своем локальном компьютере. Если Вы хотите выгрузить сертификат X.509 и подходящий для него частный ключ, и оба они сохранены в одном и том же файле, укажите здесь этот файл.
Идентификационная фраза Если частный ключ защищен с помощью идентификационной фразы, укажите ее здесь.

Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата

Поля данных шаблона ввода соответствуют полям ввода сертификата X.509.

Параметр Описание
Общее имя

Сокращение: CN. Это единственное значение, которое необходимо ввести в данном разделе диалогового окна. Введите полное имя DNS (Fully Qualified Domain Name/полностью определенное имя домена) камеры. Можно также указать IP-адрес, однако делать этого не рекомендуется. Проследите, чтобы данные в этом поле соответствовали имени DNS, с помощью которого Вы хотите обратиться к камере в веб-браузере, потому что в противном случае сертификат будет недействительным.

Страна

Сокращение: C. Национальность владельца сертификата (необязательно).

Земля или провинция

Сокращение: ST. Федеральный штат или земля владельца сертификата (необязательно).

Место

Сокращение: L. Место проживания или расположения владельца сертификата (необязательно).

Организация

Сокращение: O. Фирма, организация и т.д. владельца сертификата (необязательно).

Структурное подразделение

Сокращение: OU. Отдел или рабочая группа владельца сертификата (необязательно).

Адрес эл.почты

Адрес электронной почты владельца сертификата (включен в общее имя, "CN"; необязательно).


Указание: Если запрос сертификата, созданный с помощью этой функции, должен быть подписан внешним органом по сертификатам, то решающими являются указания для дополнительных и обязательных полей данного органа по сертификатам, а не заданные значения этого шаблона ввода. Срок действия автоматически подписываемого сертификата X.509 составляет 10 лет. Размер пары ключей составляет 2048 бит.

Способы создания и использования сертификатов X.509

HTTPS с SSL/TLS не используется

Сертификаты X.509, использованные в этом диалоговом окне, никоим образом не воздействуют на другие области камеры и игнорируются, если HTTPS с SSL/TLS не активированы.

HTTPS с заводским сертификатом X.509

Как только HTTPS активирован и произведен повторный пуск камеры, HTTPS становится доступным. При этом камера использует заданный на заводе, автоматически сертифицируемый сертификат X.509, идентичный для всех камер MOBOTIX. Этот сертификат обеспечивает лишь грубую защиту при передаче данных и не может гарантировать аутентичности камеры. Поэтому злоумышленник может манипулировать потоком данных, даже если используется высококачественный способ кодирования (воздействие типа "Man in the middle/человек в центре").

HTTPS с индивидуальным, автоматически сертифицируемым сертификатом X.509

Для этого нажмите в разделе Замена используемых камерой файлов X.509 с сертификатом и частным ключом кнопку Генерировать и заполните поля данных в разделе Создание автоматически сертифицируемого сертификата X.509 и запроса сертификата. После этого нажмите кнопку Установить. Теперь камера создаст индивидуальный для этой камеры, автоматически сертифицируемый сертификат X.509 (этот процесс занимает некоторое время). Созданный одновременно запрос сертификата более не требуется. После выполнения повторного пуска камера будет использовать новый созданный сертификат X.509.

Указание: Не забудьте перед повторным пуском сохранить конфигурацию камеры (нажмите кнопку Установить, затем Закрыть и подтвердить запрос).

При первом обращении к камере после ее повторного пуска веб-браузер сообщит Вам, что он не может проверить подлинность сертификата, и спросит Вас, хотите ли Вы все же признать этот сертификат. Этот шаг имеет значение для обеспечения безопасности: сертификат следует признать только в том случае, если посредством других мер Вы можете гарантировать тот факт, что Вы действительно соединены с нужной камерой (например, прямое соединение компьютера и камеры с помощью кроссоверного кабеля. Такую процедуру признания сертификата необходимо заново производить для каждой камеры. Этот сертификат обеспечивает защиту при передаче данных в достаточной степени, но не оптимально. Аутентичность камеры можно проверить лишь в том случае, если сертификат камеры известен заранее.

HTTPS с индивидуальным, сертифицируемым извне сертификатом X.509

Вариант 1: Вы можете выгрузить сертификат X.509 и частный ключ в камеру. Используйте для этого функцию Выгрузка сертификата X.509 и частного ключа в разделе Замена используемых камерой файлов X.509 с сертификатом и частным ключом. Вы можете купить сертификат X.509 и частный ключ у внешнего органа по сертификатам или сами стать частным органом по сертификатам, например, на основе системы OpenSSL. В этом случае нет необходимости предварительно генерировать запрос сертификата. Запрос сертификата, возможно имеющийся в камере, при выполнении этой функции удаляется. Для каждой камеры нужен индивидуальный сертификат органа по сертификатам.

Вариант 2: Вы создаете с помощью камеры запрос сертификата. Запрос сертификата создается вместе с автоматически сертифицируемым сертификатом X.509 (см. HTTPS с индивидуальным, автоматически сертифицируемым сертификатом X.509). Как только создан запрос сертификата, его можно загрузить, нажав в разделе Веб-сервер после функции Загрузка файла с запросом сертификата X.509 кнопку Загрузка. Отправьте этот запрос сертификата для сертификации в свой орган по сертификатам. Пока Вы получите сертификат X.509 от органа по сертификатам, камера будет использовать свой автоматически сертифицируемый сертификат X.509.

Загрузите выданный органом по сертификатам сертификат X.509 с помощью функции Выгрузка файла с сертификатом X.509 в разделе Замена используемых камерой файлов X.509 с сертификатом и частным ключом в нужную камеру. Преимущество этого варианта в том, что частный ключ не покидает камеру, что увеличивает доверие к нему. Для каждой камеры нужен индивидуальный сертификат органа по сертификатам. Запрос сертификата, сертификат и частный ключ образуют единое целое. Невозможно загрузить в камеру сертификат, генерированный по запросу сертификата другой камеры.

Такой сертификат обеспечивает оптимальную защиту при передаче данных, поскольку аутентичность камеры может быть проверена при помощи корневого сертификата органа по сертификатам; воздействие типа "Man in the middle/человек в центре" более не возможно. Кроме того, нет необходимости представлять браузеру каждую камеру по отдельности, как это бывает при использовании автоматически подписываемого сертификата X.509. Нужно лишь один раз загрузить корневой сертификат органа по сертификатам в браузер. Корневые сертификаты коммерческих органов по сертификатам, как правило, уже жестко интегрированы в браузер.

Настройки функции обнаружения непредусмотренного появления

Параметры раздела Функция обнаружения непредусмотренного появления обеспечивают защиту от нежелательных злоумышленников. На тот случай, если злоумышленник попытается узнать имена пользователей и пароли камеры с помощью методов "грубой силы", после определенного количества неудачных попыток камера может инициировать функцию сигнализации и при необходимости автоматически блокировать доступ к камере.

Когда генерируется сигнал тревоги?

С помощью параметра Порог уведомления устанавливается количество допустимых неудачных попыток для инициации сигнализации (минимальное значение - 5). Сигнал тревоги генерируется в случае превышения этого значения.

Внимание: Даже если к камере впервые обращается имеющий полномочия пользователь, это считается неудачной попыткой регистрации. Лишь при этой первой попытке браузер пользователя узнает, что производится регистрация и у пользователя необходимо запросить имя пользователя и пароль. В этом заключается принципиальная слабость протокола HTTP, что неизбежно.

Превышение времени и время запаздывания

Следующие друг за другом обращения пользователя к URL-адресу объединяются и сохраняются внутри системы в виде одной-единственной записи в файле журнала веб-сервера. В этой записи сохраняется только информация о том, когда был произведен первый и последний доступ и сколько всего доступов этого пользователя в этот промежуток времени было записано. Если в течение промежутка времени Превышение времени после последнего доступа, этот повторный доступ добавляется к уже имеющейся записи в файле журнала веб-сервера (увеличение показания счетчика доступов на одно значение, обновление даты и времени последнего доступа).

Если повторный доступ пользователя выполняется по истечении значения параметра Превышение времени, при этом доступе генерируется новая, отдельная запись в файле журнала веб-сервера. Это касается как уполномоченного доступа, так и неправомерного. Функция обнаружения непредусмотренного появления использует данные файла журнала веб-сервера, поэтому на него воздействует значение параметра Превышение времени.
Превышение времени, составляющее несколько минут, более четко разделяет друг от друга отдельные попытки доступа. Правда, это увеличивает также опасность ошибочных сигналов, поскольку удачный доступ больше не может быть соотнесен с предшествующей ошибочной попыткой. Стандартное значение составляет 60 минут и представляет собой хороший компромисс.

Время запаздывания - это минимальный интервал между двумя сигналами тревоги. После выполнения уведомления повторный сигнал тревоги генерируется лишь тогда, когда истечет это время и снова будет превышено количество неудачных попыток регистрации. Стандартное значение составляет 60 минут. Значение 0 способствует генерации сигнала тревоги при каждой неудачной попытке регистрации.

Способы уведомления

Если генерируется сигнал тревоги, в Вашем распоряжении будут следующие способы уведомления:

Указание: При генерации сигнала тревоги с помощью электронного сообщения в виде приложения всегда отправляется файл журнала веб-сервера, независимо от того, что было выбрано в качестве конфигурации в использованном профиле электронных сообщений.

Сигнализация об обнаружении непредусмотренного появления независимо от других механизмов сигнализации и сохранения событий камеры. Если будет произведена сигнализация вследствие обнаружения непредусмотренного появления в памяти событий для изображений камеры, выполните следующие действия:

Автоматическое сохранение IP-адреса

Если активирована опция Ограничение доступа на основе IP-адреса, можно использовать функцию Блокирование IP-адреса, чтобы автоматически блокировать IP-адрес, с которого были предприняты неудачные попытки регистрации. Это блокирование временно действует до следующего повторного пуска камеры и происходит при достижении порога уведомления.

Указание: Если для IP-адреса предоставляется доступ к камере в диалоговом окне Ограничение доступа на основе IP-адреса, то автоматическое блокирование этого IP-адреса невозможно. Если нужно активировать функцию автоматического блокирования любых IP-адресов, необходимо в диалоговом окне Ограничение доступа на основе IP-адреса удалить все варианты доступа для опции Разрешение.

Storing the Configuration

Click on the Set button to activate your settings and to save them until the next reboot of the camera.

Click on the Factory button to load the factory defaults for this dialog (this button may not be present in all dialogs).

Click on the Restore button to undo your most recent changes that have not been stored in the camera permanently.

Click on the Close button to close the dialog. While closing the dialog, the system checks the entire configuration for changes. If changes are detected, you will be asked if you would like to store the entire configuration permanently.

 In order to enable these settings, you need to store the configuration and reboot the camera!

cn, de, en, es, fr, it, jp, ru

© 2001-2017 MOBOTIX AG, Germany · http://www.mobotix.com/