ウェブサーバ ダイアログから、カメラのウェブサーバオプションの設定が行えます。
証明書の作業に関する詳細は、 X.509証明書使用と作成の手順 を参照してください。
パラメータ |
説明 |
---|---|
ウェブサーバ用のポート |
出荷時設定では、ブラウザはカメラのウェブサーバにポート番号80(HTTP接続標準ポート)を使って接続できます。 カメラに対してイントラネットとインターネットからアクセスしたい場合には、セキュリティ上の理由から、ポートを2個用意してローカルアクセスとインターネットアクセスとが区別されます。 例1 インターネットのローカルネットワークからのアクセス
ローカルネットワーク内では、カメラはポート番号 80でアクセスでき、例えば、マルチビュー画面に組み込むことができます。インターネットからのアクセスはポートマッピングしたルータを使用します。ポート 80はローカルネットワークで使用されているので、ルータは別のカメラ用のポート(例: 8080)でインターネット接続します。 この場合、2個の値 80 と 8080 をポート用に入力しなければなりません。 注意
|
HTTPを有効にする |
カメラウェブサーバと 未暗号化 状態の接続をする場合、この設定を選択します。この場合、ウェブサーバは HTTPリクエスト用に ウェブサーバ用のポート で指定したポートを開けます。 注記HTTPを有効にする または HTTPSを有効にする オプションのどちらかを必ず有効にしてください。カメラのウェブサーバは他の接続を受け入れません。 |
パラメータ |
説明 |
---|---|
HTTPSを有効にする |
カメラウェブサーバと 暗号化された 接続をする場合、この設定を選択します。この場合、ウェブサーバは HTTPSリクエスト用に HTTPSサーバ用の SSL/TLSポート で指定したポートを開けます。 注記HTTPを有効にする または HTTPSを有効にする オプションのどちらかを必ず有効にしてください。カメラのウェブサーバは他の接続を受け入れません。 |
HTTPSサーバ用の SSL/TLSポート |
SSL接続の TCPポートを指定します。HTTPSには 1ポートのみ設定可能です。このフィールドが空欄で HTTPSを有効にする が使用可の場合、ウェブサーバは HTTPSリクエストにポート 443番 (デフォルト) を使用します。 |
X.509証明書をダウンロードします |
このボタンは、カメラに個別の X.509証明書が含まれる場合に有効です。現在カメラウェブサーバからローカル Pcに対して使用されている X.509証明書および対応の PEM形式の秘密鍵をダウンロードします。 |
X.509証明書要求をダウンロードします |
カメラが以前に X.509証明書要求を生成した場合のみ、このボタンは有効です ( 自己署名の X.509証明書および X.509証明書要求を生成します参照)。このボタンを使用すると、ローカル PCに生成された秘密鍵に対応した証明書を PEM形式でダウンロードすることができます。この証明書要求は外部の証明書認証局が署名し、その後 X.509証明書がカメラにアップロードされます ( カメラが現在使用している X.509証明書および秘密鍵を置き換えます参照)。 |
このセクションには、現在カメラが使用している証明書に関する情報が含まれます。
パラメータ |
説明 |
---|---|
発行者 |
承認団体の情報を表示します。情報の符号化は、 自己署名の X.509証明書および X.509証明書要求を生成します セクションフィールドに対応します。 |
主題 |
認証された本文に関する情報が表示されます (例:あなた)。情報の符号化は、 自己署名の X.509証明書および X.509証明書要求を生成します セクションフィールドに対応します。 |
有効期間 |
現在使用中の証明書の有効期限が表示されます。 |
パラメータ |
説明 |
---|---|
X.509証明書をダウンロードします |
カメラが現在使用している X.509証明書および秘密鍵を削除します。カメラの再起動後は、再び工場出荷時に提供される自己署名による X.509証明書を使用します (出荷時デフォルト)。 |
X.509証明書および秘密鍵をアップロードします |
カメラが現在使用している X.509証明書および秘密鍵を置き換えます。この X.509証明書および対応する秘密鍵は、外部の証明書認証局により作成、書名する必要があります。 |
X.509証明書をアップロードする |
現在使用している秘密鍵を保持したまま、使用中の X.509証明書を置き換えます。この機能を利用して、以前作成した証明書リクエストから生成された X.509証明書をアップロードしてください ( 自己署名の X.509証明書および X.509証明書要求を生成します参照)。 |
生成する |
自己署名の X.509証明書および X.509証明書要求を生成します セクションで入力した情報に基づいて、自己署名の X.509証明書、対応した秘密鍵および証明書要求を、新しく作成します。 |
ファイルから X.509 証明書をアップロードする |
X.509証明書をアップロードするためには、ローカル PC上の証明書ファイル (PEM形式) のファイル名を入力してください。ひとつのファイルに保存された X.509証明書および対応の秘密鍵をアップロードする場合は、フィールドのファイルにファイル名を入力してください。 |
ファイルから X.509秘密鍵をアップロードする |
X.509証明書に対応した秘密鍵をアップロードするためには、ローカル Pc上のファイル (PEM形式) のファイル名を入力してください。ひとつのファイルに保存された X.509証明書および対応の秘密鍵をアップロードする場合は、フィールドのファイルにファイル名を入力してください。 |
パスフレーズ |
秘密鍵がパスフレーズで暗号化されている場合は、パスフレーズを入力してください。 |
フォームのフィールドは、 X.509証明書のフィールに対応します。
パラメータ |
略称 |
説明 |
---|---|---|
一般名 |
CN |
ダイアログのこのセクションでのみ必要な情報です。このカメラの完全な DNS名 (完全に資格のあるドメイン名) を入力してください。IPアドレスも入力できますが、推奨されていません。ウェブブラウザからカメラにアクセスする際に使用する DNS名と、このフィールド完全一致しているか確認してください。そうでない場合証明書は無効です。 |
国 |
C |
証明書所有者の国籍 (オプション)。 |
都道府県 |
ST |
証明書所有者の都道府県 (オプション)。 |
地域 |
L |
証明書所有者の市/ロケーション (オプション)。 |
組織 |
O |
証明書所有者の会社、組織など (オプション)。 |
組織単位 |
OU |
証明書所有者の部署/グループ (オプション)。 |
Eメールアドレス |
− |
証明書所有者のEメールアドレス (オプションで CNに含まれる)。 |
もし、この機能を使用して外部証明書認証局が証明書要求に署名する場合、証明書認証局のオプションまたは必須項目のガイドラインに従い、このフォームの推薦には従わないでください。自己署名の X.509証明書は 10年間有効です。キーペアの長さは 2048 bitsです。
このダイアログに使用される X.509証明書は、カメラの他のエリアに影響はなく、SSL/TLSを使用する HTTPSが無効の場合は無視されます。
HTTPSが有効になり、カメラが再起動すると、 HTTPSを使用することができます。カメラは工場出荷時に提供される自己署名の X.509証明書を使用し、全ての MOBOTIX カメラで同一です。この証明書は、カメラの信憑性を保証できないので、あまり多くのセキュリティを提供しません。カメラは高性能な暗号化方式を使用していますが、潜在的な攻撃者によるデータストリームの操作が懸念されます ("中間者"攻撃)。
カメラが現在使用している X.509証明書および秘密鍵を置き換えますセクションの、 生成する をクリックし、 自己署名の X.509証明書および X.509証明書要求を生成しますに適切な情報を入力してください。次に、 設定 ボタンをクリックします。カメラは、個別の自己署名された X.509証明書を生成します (処理に時間がかかります)。同時に生成される証明書要求は使用されません。カメラが再起動すると、新しく自己署名した X.509証明書が使用されます。
カメラを 再起動する 前に必ず変更を永久保存してください ( 設定、 閉じる をクリックしてプロンプトを承認してください)。
再起動後に初めてカメラにアクセスする時、ウェブブラウザは、証明書を確認できないことを伝え、証明書を承認するかどうか尋ねます。次のステップは、セキュリティに関連しています:認証済みのカメラに接続しているという確認が持てる場合にだけ、証明書を承認してください (例:クロスオーバケーブルを使用して PCに直接カメラを接続している場合 など)。証明書は、カメラ毎に承認する必要があります。この証明書はデータ転送のセキュリティには十分ですが、最適ではありません。カメラの信憑性は、カメラ証明書が事前に把握される場合にのみ確認されます。
オプション 1:カメラに X.509証明書および秘密鍵をアップロードすることができます。そのためには、 カメラが現在使用している X.509証明書および秘密鍵を置き換えますのセクションから、 X.509証明書および秘密鍵をアップロードします の機能を使用してください。外部の認証局から X.509証明書および秘密鍵を購入することができます。または、自身で証明書認証局を起動することができます (例: OpenSSLなどを使用して)。この場合、事前に証明書要求の生成は必要ありません。既にカメラに証明書要求が存在する場合、この機能を実行した時点で削除されます。すべてのカメラが、証明書認証局から個別の証明書が必要です。
オプション 2:カメラに証明書要求を作成します。証明書要求は自己署名の X.509証明書と一緒に作成されます ( 個別に自己署名された X.509証明書を使用する HTTPS参照)。カメラが証明書要求を作成すると、 X.509証明書要求をダウンロード の横にある ダウンロード ボタンをクリックして、 ウェブサーバセクションからファイルをダウンロードすることができます。この証明書要求ファイル、は署名のため証明書認証局へ送信します。証明書認証局から X.509証明書を受信するまで、カメラは自己署名による X.509証明書を使用します。
カメラが現在使用している X.509証明書および秘密鍵を置き換えます セクションの ファイルから X.509 証明書をアップロードする を使用して、証明書認証局から署名された X.509証明書を、認証したいカメラにアップロードします。このオプションは、秘密鍵が再び信頼性を高め、カメラを置き去りにしないという利点があります。すべてのカメラが、証明書認証局から個別の証明書が必要です。証明書要求、証明書および秘密鍵は同類です。別のカメラで作成された証明書要求と一致する証明書は、カメラにアップロードすることができません。
証明書認証局のルート証明書に対して、カメラの信憑性が確認されるので、このような証明書はデータ転送で最適な安全性を保証します。"中間者"攻撃は不可能です。 また、自己署名の X.509証明書の場合と同様に、全カメラの証明書をダウンロードする必要はありません。必要があるのは、証明書認証局のルート証明書をブラウザに一度インポートすることです。多くの場合商業認定機関のルート証明書は、既にブラウザに存在します。
パラメータ |
説明 |
---|---|
侵入検知を有効にする |
この設定では、攻撃に対して自動防御を提供します。カメラにアクセスするため侵入者が "強引" な方法でユーザ名やパスワードを予想すると、必要に応じてカメラは自動的にアラームを送信し、一定回数以上予想に失敗すると、脅威のある IPアドレスとしてロックアウトします。 |
通知しきい値 |
通知しきい値 は、カメラへの接続確立を試みる時に、一定回数以内で許可された予想の失敗を制御します (最低値は 5回)。万が一この回数を超過すると、アラームが送信されます。 注意有効な資格情報を持つユーザーが初めてカメラにアクセスした場合でも、失敗を引き起こします。ユーザの Pcのブラウザは、このブラウザで認証資格が必要であるかどうか確認するために、最初の失敗は必要なものです (ユーザ名/パスワードダイアログがブラウザに表示されます)。HTTPプロトコルの弱点は "設計による" もので、不可避です。 |
タイムアウト |
URLにアクセスするときのユーザの連続した試みは、 ウェブサーバログファイルにひとつのエントリとして組み合わせます。このエントリには、ユーザがいつカメラにアクセスしたのか、また指定した時間に何回このユーザがアクセスを試みたのか情報が含まれています。もし、 タイムアウト で指定した時間内にユーザがカメラにアクセスする場合、追加アクセスは ウェブサーバログファイル の既存のエントリに追加されます (アクセス数が +1増加します、最後のアクセス日付や時間を更新します)。 タイムアウトで時間を指定した後にユーザの新しいアクセスが発生すると、このアクセスは ウェブサーバログファイルで新しいエントリを作成します。この手順は、すべての認可および不正アクセスに適用されます。 数分の タイムアウト 値は、個々のアクセス試みを簡単に区別します。しかし、成功したアクセスの試みは、前の失敗した試行に追加することができないので、誤アラームを増加させる可能性があります。デフォルト値は 60 分です。 |
デッドタイム |
デッドタイム では、 2つの連続したアラーム通知間の最小時間を制御します。通知が送信されると、デッドタイムが有効期限切れし、失敗の試みの回数が再度通知しきい値を超過すると、新しい通知が送信されます。デフォルト値は 60 分です。このパラメータを 0 分に設定すると、アクセスの試みに毎回通知を送信するよう促します。 |
IP アドレスをブロックする |
IP-レベルアクセスコントロール を設定すると、カメラは IP アドレスをブロックする 機能を使用して、失敗ログインを試みると、自動的に IPアドレスをブロックします。 通知しきい値 に到達するとロックがトリガされます。これは一時的で、カメラの次の再起動時に解除されます。 注記IP-レベルアクセスコントロール ダイアログで IPアドレスがアクセスを付与されると、この IPアドレスは自動的にロックすることが できません 。自動的な IPアドレスのロックを有効にする場合、 IP-レベルアクセスコントロール ダイアログからアクセスルールの 許可 を削除してください。 |
Eメール通知 |
選択した Eメールプロファイルで指定した宛先にログイン情報を Eメール送信します。 注記Eメール通知を送信する場合、カメラは Eメールプロファイルで指定したアタッチメントとは別に、 ウェブサーバログファイル をアタッチメントとして付け加えます。 |
電話 |
選択した 電話プロファイルで指定したオプションを基にして電話をかけます。 |
ネットワークメッセージ |
選択した IP Notifyプロファイルで指定したアドレスおよびログイン情報を基にして、IP Notify (ネットワーク) メッセージを送信します。 |
侵入検知 でトリガしたアラームは、他のアラーム機能や、カメラのイベントストレージから独立しています。 侵入検知 でトリガしたアラームは、カメラ画像のイベントストレージに表示されます。以下の手順を進めてください:
カメラから自身に IP Notify アラームを作成します ( IP Notifyプロファイル ダイアログで新しいプロファイルを作成、例: 127.0.0.1:8000
を 相手先アドレスとして使用)。
イベント設定 ダイアログで、 IP レシーブ (RC) イベントを正しく有効にし、設定します。
設定 ボタンをクリックすると、次にカメラが再起動するまでの間、設定内容が保存され有効になります。
出荷時設定 ボタンをクリックして、このダイアログに工場出荷時設定値をロードします (このボタンはすべてのダイアログにはありません)。
リストア ボタンをクリックすると、カメラに永久保存される前の直近の変更が元に戻ります。
閉じる ボタンをクリックするとダイアログが終了します。ダイアログを終了している間、システムは設定全体に変更があるかどうか確認をします。設定に変更が検出されると、システム設定値を永久に保存するかどうか確認されます。
en, jp |