Videokommunikationsflüsse verschlüsseln

Dieser Abschnitt bietet einen Überblick über die Verschlüsselung der Kommunikationsflüsse zwischen Desigo CC und dem VMS Milestone / Siveillance.

Hinweis: Zusätzlich zur hier beschriebenen Konfiguration der Verschlüsselung wird zur vollständigen Sicherung der Videoinstallation empfohlen, Active Directory für den Benutzer des VideoApiService-Kontos zu verwenden. Weitere Informationen finden Sie unter VideoApiService-Konto in Windows anlegen.

Sie können die vom VMS an die Client-Stationen gesendeten Video-Streams verschlüsseln. Ferner können Sie die bidirektionale Kommunikation zwischen dem VMS-Managementserver und dem/den VMS-Aufzeichnungsserver(n) verschlüsseln, wenn sich diese auf unterschiedlichen Computern befinden.

VMS-Komponenten auf einem Computer	VMS-Komponenten auf verschiedenen Computern
In diesem Fall gibt es auf VMS-Seite nur einen Computer, auf dem sowohl der VMS-Managementserver als auch der VMS-Aufzeichnungsserver gehostet werden.	In diesem Fall umfasst die VMS-Architektur einen VMS-Aufzeichnungsserver auf einem anderen Computer als dem VMS-Managementserver.

VMS-Komponenten auf einem Computer

VMS-Komponenten auf verschiedenen Computern

In diesem Fall gibt es auf VMS-Seite nur einen Computer, auf dem sowohl der VMS-Managementserver als auch der VMS-Aufzeichnungsserver gehostet werden.

In diesem Fall umfasst die VMS-Architektur einen VMS-Aufzeichnungsserver auf einem anderen Computer als dem VMS-Managementserver.

Bescheinigungen vorbereiten

	VMS-Komponenten auf einem Computer	VMS-Komponenten auf getrennten Rechnern
Erstellen Sie das Stammzertifikat für die Verschlüsselung	Erstellen Sie mit der SMC ein Stammzertifikat, das Sie für die Verschlüsselung verwenden: Wählen Sie in der SMC-Struktur Zertifikat. Klicken Sie Zertifikat erstellen und wählen Sie Root-Zertifikat erstellen (.pfx). Geben Sie einen beschreibenden Namen für die .cer- und .pfx-Zertifikatsdateien ein, z. B. VMS-Root. Geben Sie einen Pfad an, unter dem die erstellten Zertifikate gespeichert werden sollen. Geben Sie ausserdem einen beschreibenden Namen für den Betreffein, z. B. VMS Encryption Root. Geben Sie das Passwort für das Stammzertifikat an und bestätigen Sie es. Notieren Sie sich dies, da Sie es für die Erstellung der Host-Zertifikate benötigen. Klicken Sie Speichern. Die Dateien [VMS root].cer und [VMS root].pfx werden im angegebenen Pfad gespeichert.
SSL-Host-Zertifikat für VMS-Computer erstellen	Host-Zertifikat erstellen, das für den VMS-Computer ausgestellt wurde: Klicken Sie nun in der SMC erneut auf Zertifikat erstellen und wählen Sie Host-Zertifikat erstellen (.pfx). Suchen Sie im Feld Root-Zertifikat das oben erstellte Zertifikat [VMS root].pfx und wählen Sie es aus. Geben Sie das Passwort in das Feld Root-Zertifikatspasswort ein. Geben Sie einen beschreibenden Namen für die .cer- und .pfx-Zertifikatsdateien ein, z. B. VMS-Host. Geben Sie einen Pfad an, unter dem die Zertifikate gespeichert werden sollen. Dies kann derselbe Ort sein, an dem Sie den Stamm gespeichert haben. Geben Sie in das Feld Subject name den vollständigen Namen des VMS-Computers ein. Notieren Sie sich dies, da Sie es benötigen, um das PFX-Host-Zertifikat in den VMS-Computer zu importieren. Notieren Sie sich dies, da Sie es benötigen, um das PFX-Host-Zertifikat in den VMS-Computer zu importieren. Klicken Sie Speichern. Die Dateien [VMS host].cer und [VMS host].pfx werden im angegebenen Pfad gespeichert.	Gehen Sie wie links vor, aber erstellen Sie in diesem Fall zwei Host-Zertifikate: eines für den VMS-Verwaltungsserver und ein anderes für den VMS-Aufzeichnungsserver. Hinweis: Stellen Sie sicher, dass der Subject-Name jedes erstellten Host-Zertifikats mit dem vollständigen Computernamen übereinstimmt, für den Sie es erstellen.
Stammzertifikat auf dem VMS-Computer installieren	Installieren Sie das .CER-Root-Zertifikat auf dem VMS-Computer unter Local Machine > Trusted Root: Kopieren Sie die Datei [VMS root].cer auf den VMS-Computer. Rechtsklicken Sie die Zertifikatsdatei und wählen Sie Zertifikat installieren. Bestimmen Sie im Assistenten für den Zertifikatsimport, dass das Zertifikat im Speicher des lokalen Computers installiert werden soll, und klicken Sie Weiter. Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern. Klicken Sie Durchsuchen... , wählen Sie Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie OK. Klicken Sie Finish.	Gehen Sie wie links beschrieben vor, aber installieren Sie in diesem Fall das Root-Zertifikat sowohl auf dem VMS-Management-Server als auch auf dem VMS-Aufzeichnungsserver.
SSL-Host-Zertifikat auf dem VMS-Computer installieren	Installieren Sie auf dem VMS-Computer das PFX-Hostzertifikat unter Local Machine > Personal: Kopieren Sie das Zertifikat [VMS-Host].pfx auf den VMS-Computer. Klicken Sie mit der rechten Maustaste auf die Zertifikatsdatei und wählen Sie Pfx installieren. Bestimmen Sie im Assistenten für den Zertifikatsimport, dass das Zertifikat im Speicher des lokalen Computers installiert werden soll, und klicken Sie Weiter. Bestätigen Sie den Dateinamen des Zertifikats und geben Sie an der Eingabeaufforderung das Passwort ein. Bestimmen Sie, dass das Zertifikat im persönlichen Speicher abgelegt werden sollen. Klicken Sie Finish.	Gehen Sie wie links vor, aber in diesem Fall: Installieren Sie auf dem VMS-Management-Server-Computer das für diesen Computer erstellte Host-Zertifikat. Installieren Sie auf dem VMS-Aufzeichnungsserver-Computer das für diesen Computer erstellte Host-Zertifikat.
Überprüfen Sie, ob die Zertifikate installiert sind	Fügen Sie in der Microsoft-Verwaltungskonsole (MMC): das Snap-In Zertifikate hinzu und legen Sie fest, dass es Zertifikate für das Computerkonto auf dem lokalen Computerverwaltet. Das VMS-Stammzertifikat sollte in der mittleren Ansicht des Teilbaums Vertrauenswürdige Stammzertifizierungsstellen aufgeführt sein. Das Host-Zertifikat, das für den VMS-Computer ausgestellt wurde, sollte in der mittleren Ansicht des Teilbaums Personal aufgelistet sein

Konfigurieren der Stream-Verschlüsselung

	VMS-Komponenten auf einem Computer	VMS-Komponenten auf getrennten Rechnern
Erteilung einer Leseberechtigung für den Benutzer des Aufzeichnungsserverdienstes	Auf jedem VMS-Server muss dem Benutzer des Aufzeichnungsserverdienstes eine Leseberechtigung für den privaten Schlüssel des SSL-Zertifikats erteilt werden. Starten Sie die Microsoft Management Console (MMC), fügen Sie das Snap-In Zertifikate hinzu und stellen Sie es so ein, dass Zertifikate für das Computerkonto auf dem lokalen Computer verwaltet werden. Wählen Sie in der Struktur Persönlich > Zertifikate, um die Zertifikate im mittleren Bereich anzuzeigen. Klicken Sie mit der rechten Maustaste auf das zuvor installierte Host-Zertifikat [VMS host].pfx und wählen Sie Alle Aufgaben > Private Schlüssel verwalten. Wählen Sie den Benutzer des Aufzeichnungsservers und aktivieren Sie das Kontrollkästchen Lesen zulassen. Klicken Sie OK.	Gehen Sie wie links beschrieben vor, aber führen Sie in diesem Fall die Schritte auf dem separaten VMS-Aufzeichnungsserver-Computer aus, und wählen Sie das Host-Zertifikat aus, das Sie auf diesem Computer installiert haben.
Verschlüsselung des Streams aktivieren	Starten Sie auf dem VMS-Computer das Tool Server Configurator. Wählen Sie die Seite Verschlüsselung. Legen Sie unter Streaming-Medienzertifikat die Verschlüsselung auf Ein fest. Wählen Sie aus der Dropdown-Liste das Host-Zertifikat ([VMS-Host].pfx) des VMS-Computers aus, das Sie wie oben beschrieben vorbereitet haben. Wählen Sie Anwenden. Videostreams werden nun verschlüsselt und sind nur auf Computern sichtbar, auf denen Sie das Stammzertifikat installieren, das das ausgewählte Hostzertifikat signiert hat.	Gehen Sie wie links beschrieben vor, aber führen Sie in diesem Fall die Schritte auf dem separaten VMS-Aufzeichnungsserver-Computer aus, und wählen Sie das Host-Zertifikat aus, das Sie auf diesem Computer installiert haben.
Root-Zertifikat auf allen Streaming-Clients installieren	Wenn die Verschlüsselung des Videostroms aktiviert ist, muss das Stammzertifikat auf jeder Desigo CC-Client-Station und auf allen Milestone/Siveillance-Clients, die Daten vom VMS streamen, installiert werden.. Clients ohne das Stammzertifikat können keine Videostreams anzeigen. Installieren Sie für jeden Computer die Root-Zertifikat wie folgt: a. Kopieren Sie die Datei [VMS-Root].cer auf den Computer. b. Rechtsklicken Sie die Zertifikatsdatei und wählen Sie Zertifikat installieren. c. Bestimmen Sie im Assistenten für den Zertifikatsimport, dass das Zertifikat im Speicher des lokalen Computers installiert werden soll, und klicken Sie Weiter. d. Wählen Sie Alle Zertifikate in folgendem Speicher speichern. e. Klicken Sie Durchsuchen , wählen Sie Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie OK. f. Klicken Sie Fertigstellen.

VMS-Komponenten auf einem Computer

VMS-Komponenten auf getrennten Rechnern

Erteilung einer Leseberechtigung für den Benutzer des Aufzeichnungsserverdienstes

Auf jedem VMS-Server muss dem Benutzer des Aufzeichnungsserverdienstes eine Leseberechtigung für den privaten Schlüssel des SSL-Zertifikats erteilt werden.

Starten Sie die Microsoft Management Console (MMC), fügen Sie das Snap-In Zertifikate hinzu und stellen Sie es so ein, dass Zertifikate für das Computerkonto auf dem lokalen Computer verwaltet werden.
Wählen Sie in der Struktur Persönlich > Zertifikate, um die Zertifikate im mittleren Bereich anzuzeigen.
Klicken Sie mit der rechten Maustaste auf das zuvor installierte Host-Zertifikat [VMS host].pfx und wählen Sie Alle Aufgaben > Private Schlüssel verwalten.
Wählen Sie den Benutzer des Aufzeichnungsservers und aktivieren Sie das Kontrollkästchen Lesen zulassen.
Klicken Sie OK.

Gehen Sie wie links beschrieben vor, aber führen Sie in diesem Fall die Schritte auf dem separaten VMS-Aufzeichnungsserver-Computer aus, und wählen Sie das Host-Zertifikat aus, das Sie auf diesem Computer installiert haben.

Verschlüsselung des Streams aktivieren

Starten Sie auf dem VMS-Computer das Tool Server Configurator.
Wählen Sie die Seite Verschlüsselung.
Legen Sie unter Streaming-Medienzertifikat die Verschlüsselung auf Ein fest.
Wählen Sie aus der Dropdown-Liste das Host-Zertifikat ([VMS-Host].pfx) des VMS-Computers aus, das Sie wie oben beschrieben vorbereitet haben.
Wählen Sie Anwenden.

Videostreams werden nun verschlüsselt und sind nur auf Computern sichtbar, auf denen Sie das Stammzertifikat installieren, das das ausgewählte Hostzertifikat signiert hat.

Root-Zertifikat auf allen Streaming-Clients installieren

Wenn die Verschlüsselung des Videostroms aktiviert ist, muss das Stammzertifikat auf jeder Desigo CC-Client-Station und auf allen Milestone/Siveillance-Clients, die Daten vom VMS streamen, installiert werden.. Clients ohne das Stammzertifikat können keine Videostreams anzeigen.

Installieren Sie für jeden Computer die Root-Zertifikat wie folgt:
a. Kopieren Sie die Datei [VMS-Root].cer auf den Computer.
b. Rechtsklicken Sie die Zertifikatsdatei und wählen Sie Zertifikat installieren.
c. Bestimmen Sie im Assistenten für den Zertifikatsimport, dass das Zertifikat im Speicher des lokalen Computers installiert werden soll, und klicken Sie Weiter.
d. Wählen Sie Alle Zertifikate in folgendem Speicher speichern.
e. Klicken Sie Durchsuchen , wählen Sie Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie OK.
f. Klicken Sie Fertigstellen.

Konfigurieren der VMS-Server-Verschlüsselung

	VMS-Komponenten auf einem Computer	VMS-Komponenten auf getrennten Rechnern
Bidirektionale Verschlüsselung des VMS-Managementservers aktivieren	N.A.	Dieser Schritt verschlüsselt die wechselseitige Kommunikation zwischen dem VMS-Verwaltungsserver und dem VMS-Aufzeichnungsserver. Starten Sie auf dem VMS-Managementserver den Serverkonfigurator. Wählen Sie die Seite Verschlüsselung. Setzen Sie unter Serverzertifikat die Verschlüsselung auf Ein. Wählen Sie aus der Dropdown-Liste das .PFX-Hostzertifikat aus, das für den VMS-Verwaltungsserver ausgestellt wurde, den Sie auf diesem Rechner installiert haben (siehe oben). Klicken Sie Anwenden. Da die Verschlüsselung nun auf der Seite des VMS-Managementservers aktiviert ist, müssen Sie sie auch auf dem VMS-Aufzeichnungsserver aktivieren. Öffnen Sie auf dem VMS-Aufzeichnungsserver-Computer den Server Configurator und wiederholen Sie die Schritte 2 bis 5, wobei Sie diesmal nur das PFX-Hostzertifikat auswählen, das Sie auf dem Aufzeichnungsserver installiert haben. Die bidirektionale Kommunikation ist jetzt verschlüsselt.

VMS-Komponenten auf einem Computer

VMS-Komponenten auf getrennten Rechnern

Bidirektionale Verschlüsselung des VMS-Managementservers aktivieren

N.A.

Dieser Schritt verschlüsselt die wechselseitige Kommunikation zwischen dem VMS-Verwaltungsserver und dem VMS-Aufzeichnungsserver.

Starten Sie auf dem VMS-Managementserver den Serverkonfigurator.
Wählen Sie die Seite Verschlüsselung.
Setzen Sie unter Serverzertifikat die Verschlüsselung auf Ein.
Wählen Sie aus der Dropdown-Liste das .PFX-Hostzertifikat aus, das für den VMS-Verwaltungsserver ausgestellt wurde, den Sie auf diesem Rechner installiert haben (siehe oben).
Klicken Sie Anwenden.
Da die Verschlüsselung nun auf der Seite des VMS-Managementservers aktiviert ist, müssen Sie sie auch auf dem VMS-Aufzeichnungsserver aktivieren.
Öffnen Sie auf dem VMS-Aufzeichnungsserver-Computer den Server Configurator und wiederholen Sie die Schritte 2 bis 5, wobei Sie diesmal nur das PFX-Hostzertifikat auswählen, das Sie auf dem Aufzeichnungsserver installiert haben.

Die bidirektionale Kommunikation ist jetzt verschlüsselt.

Verschlüsselung des Ereignisservers

Ab Milestone/Siveillance VMS Version v22.1a 2022 R1 gibt es im VMS-Serverkonfigurator auch einen Schalter zum Auswählen eines Zertifikats für Ereignisserver und Add-Ins. Wenn Sie einen separaten Computer als Ereignisserver haben, können Sie diesen Kommunikationskanal ebenfalls auf VMS-Seite schützen. Weitere Informationen finden Sie in der Dokumentation zum VMS.