La gestion des certificats d'unités est la fonctionnalité à utiliser lorsque vous souhaitez déployer des certificats de confiance sur vos unités à partir d'un emplacement central. Le rôle Assistant d'unités est chargé de la gestion des certificats et exige que le rôle Signature de certificats soit occupé par son autorité de certificat (CA).
Le rôle Assistant d'unité vous permet de configurer Security Center pour installer des certificats d'identité fiables sur vos unités vidéo et de contrôle d'accès, et de les renouveler automatiquement lorsqu'ils sont sur le point d’expirer.
- Installez le certificat racine de autorité de certificat (CA)sur les serveurs hébergeant les rôles Archiveur et Gestionnaire d'accès. Cela garantit que ces serveurs font confiance aux certificats signés par cette autorité de certificat (CA).REMARQUE : La tâche de cette autorité de certificat (CA) est gérée par le rôle Signature de certificats rôle module externe. Le pack de module externe est installé par défaut lorsque vous installez Security Center, mais le rôle Module externe n'est pas créé par défaut. Vous devez créer le rôle Module externe si vous voulez activer la gestion des certificats d'unités dans votre système.
- Installez les certificats signés par l'autorité de certificat fiable sur les unités vidéo et de contrôle d'accès de votre choix, afin de chiffrer les communications entre Security Center et les unités.REMARQUE : C’est le rôle qui se connecte aux unités. Dans ce contexte, le rôle est le client et les unités sont les serveurs. C’est pourquoi les certificats installés sur les unités sont appelés des certificats serveur.
Après l'installation réussie d'un certificat sur une unité, celle-ci bascule automatiquement de HTTP à HTTPS par défaut, et de RTSP à RTSPS si pris en charge par l'unité. À partir de là, le système gère le certificat d'unité.
Vous pouvez effectuer toutes les opérations de déploiement de certificats via la tâche Inventaire matériel et des tâches planifiées. Pour effectuer ces opérations, vous avez besoin de privilèges spéciaux.
Opérations de déploiement de certificats prises en charge
| Opération | Privilèges requis |
|---|---|
| Installez ou renouvelez manuellement les certificats sur certaines unités vidéo et de contrôle d'accès à l’aide de la tâche Inventaire matériel. Vous pouvez renouveler les certificats par unité ou par lots. |
Mettre à jour le certificat des unités de contrôle d'accès
Mettre à jour le certificat de l'unité vidéo |
| Renouvelez automatiquement les certificats à l'aide de l’action Renouveler les certificats d'unités via les tâches planifiées. |
Mettre à jour le certificat des unités de contrôle d'accès
Mettre à jour le certificat de l'unité vidéo Modifier les paramètres de gestion des certificats |
| Configurer les paramètres système pour la gestion des certificats dans Config Tool. Vous pouvez configurer des réglages, par exemple pour déterminer quand envoyer une notification lorsqu'un certificat est sur le point d’expirer, ou encore la période de validité des certificats. Vous pouvez également modifier le profil de certificat suivi par l'autorité de certificat à partir de Config Tool. |
Modifier les paramètres de gestion des certificats |
Modèles d'unités de contrôle d'accès pris en charge
- Cloud Link Roadrunner
- Synergis Cloud Link
- Legacy Synergis Cloud Link fonctionnant sur la version Synergis Softwire 11.2 ou ultérieure
Modèles d'unités vidéo pris en charge
Seuls certains modèles d'unités vidéo prennent en charge la fonction de gestion des certificats. Vous devrez parfois mettre à niveau le micrologiciel de l'unité pour pouvoir utiliser cette fonctionnalité. Pour la liste des fabricants qui prennent en charge cette fonctionnalité, voir Fabricants qui prennent en charge la gestion des certificats.Meilleures pratiques de gestion des certificats d'unités
- Surveillez l'état des certificats d'unité et mettez à jour les résultats via la tâche Inventaire matériel.
Vous pouvez enregistrer le rapport en tant que tâche publique et surveiller les résultats dans le tableau de bord. Pour en savoir plus, voir Créer un tableau de bord.
- Suivez les certificats mis à jour manuellement via la tâche Historiques d'activité.
Seul le renouvellement manuel des certificats est pris en compte en tant qu'activité d'utilisateur. Les certificats renouvelés automatiquement via les tâches planifiées ne sont pas consignés dans le rapport Historiques d'activité.
- Modifier le certificat d'une unité entraîne une brève interruption de l’enregistrement, alors choisissez une heure de la journée qui minimisera les perturbations.
- Veillez à ne pas changer le certificat et le mot de passe sur les mêmes unités en même temps.
- En cas de renouvellement automatique des certificats, ne dépassez pas 100 unités de contrôle d'accès ou 1000 unités vidéo.
Limitation
- L’interface graphique de l’Assistant d'unité peut se figer pendant plusieurs minutes si l'un des composants impliqués dans la signature de certificats (Répertoire, Assistant d'unité, Signature de certificats) bascule vers son serveur secondaire pendant que l’Assistant d'unité met à jour un grand nombre de certificats.
- Lorsqu'un certificat généré par Security Center expire, l'unité (de contrôle d'accès ou vidéo) continue de fonctionner normalement jusqu’à sa prochaine connexion. L'unité peut prendre jusqu’à 10 heures pour afficher le message d’expiration du certificat.
- Une unité Synergis™ prise en charge ne peut pas être mise à jour si son certificat autosigné actuel est généré depuis le Synergis™ Appliance Portal.
Si vous demandez au système de mettre à jour le certificat d'une telle unité, vous recevez le message d'erreur
Failed to generate certificate signing request. Pour contourner le problème, allez sur la page Propriétés de l’unité Synergis dans Config Tool, et cliquez sur Réinitialiser le certificat de confiance.
Regardez cette vidéo pour en savoir plus. Cliquez sur l’icône Sous-titres (CC) pour activer les sous-titres dans l’une des langues disponibles.