Im Dialog Webserver können Sie alle Einstellungen bearbeiten, die den Webserver der Kamera betreffen.
Weitere Informationen zum Arbeiten mit Zertifikaten finden Sie im Abschnitt Vorgehensweisen zur Verwendung und Erzeugung von X.509-Zertifikaten.
|
Parameter |
Beschreibung |
|---|---|
|
Port bzw. Ports für den Webserver |
In der werkseitigen Voreinstellung ist die Kamera über Port 80 (Standard-Port für HTTP-Anfragen) des Webservers zu erreichen. Wenn es jedoch erforderlich ist, dass die Kamera über das lokale Netzwerk (Intranet) und das Internet erreichbar ist, kann der Webserver der Kamera aus Sicherheitsgründen über zwei Ports angesprochen werden, um Intranet und Internet sauber zu trennen. Beispiel 1. Zugriff aus dem lokalen Netzwerk und über das Internet
Im lokalen Netz soll die Kamera über Port 80 erreichbar sein und z. B. in eine Multiview-Seite integriert werden. Der Zugriff aus dem Internet erfolgt über einen Router, der Portmapping auf die Kamera ausführt. Da Port 80 bereits im Intranet verwendet wird, leitet der Router Zugriffe aus dem Internet auf einen anderen Port der Kamera (z. B. 8080). Für die Ports wären in einem solchen Fall die Werte 80 und 8080 einzutragen. Hinweise
|
|
HTTP aktivieren |
Wählen Sie diese Einstellung, um unverschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall die unter Port bzw. Ports für den Webserver festgelegten Ports für HTTP-Anfragen. HinweisStellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert. |
|
Parameter |
Beschreibung |
|---|---|
|
HTTPS aktivieren |
Wählen Sie diese Einstellung, um verschlüsselte Verbindungen zum Webserver zu ermöglichen. Der Webserver öffnet in diesem Fall den unter SSL/TLS-Port für HTTPS-Server festgelegten Port für HTTPS-Anfragen. HinweisStellen Sie sicher, dass immer wenigstens eine der Optionen HTTP aktivieren bzw. HTTPS aktivieren aktiviert ist, da der Webserver der Kamera sonst nicht mehr reagiert. |
|
SSL/TLS-Port für HTTPS-Server |
Legen Sie den TCP-Port für SSL-Verbindungen hier fest. Es ist nur ein Port für HTTPS möglich. Ist das Feld leer und HTTPS aktivieren aktiviert, öffnet der Webserver Port 443 für HTTPS (Standard-Port). |
|
X.509-Zertifikat herunterladen |
Dieser Button erscheint nur, wenn die Kamera über ein individuelles X.509-Zertifikat verfügt. Verwenden Sie diesen Button, um das derzeitig vom Webserver benutzte X.509-Zertifikat und den dazugehörigen privaten Schlüssel im PEM-Dateiformat auf den lokalen Rechner herunterzuladen. |
|
X.509-Zertifikat-Anfragedatei herunterladen |
Dieser Button erscheint nur, wenn die Kamera zuvor eine Zertifikat-Anfrage (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen) generiert hat. Verwenden Sie diesen Button, um eine Zertifikat-Anfrage im PEM-Dateiformat auf den lokalen Rechner herunterzuladen, die zu dem selbst generierten privaten Schlüssel passt. Diese Zertifikat-Anfrage kann von einer externen Zertifikat-Autorität signiert und das resultierende X.509-Zertifikat in die Kamera hochgeladen werden (siehe Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen). |
|
Parameter |
Beschreibung |
|---|---|
|
MxWeb aktivieren |
Wählen Sie diese Einstellung, um die Benutzerschnittstelle MxWeb zu aktivieren. Die Kamera wird beim nächsten Neustart einen speziellen Webserver für MxWeb starten. Die Standard-Benutzerschnittstelle im Browser ist davon nicht betroffen und kann wie gewohnt weiter verwendet werden. HinweisDa MxWeb und ONVIF denselben Webserver verwenden, wird diese Einstellung beim nächsten Neustart automatisch gewählt, wenn die ONVIF-Schnittstelle aktiv ist. |
|
Port für den MxWeb HTTP/WS-Server |
Legen Sie hier den TCP-Port für HTTP- und WS- (Web Socket) Verbindungen fest, der von MxWeb verwendet werden soll. Ist das Feld leer, verwendet der Webserver Port |
|
Port für den MxWeb HTTPS/WSS-Server |
Legen Sie hier den TCP-Port für HTTPS- und WSS- (Secure Web Socket) Verbindungen fest, der von MxWeb verwendet werden soll. Ist das Feld leer, verwendet der Webserver Port |
In diesem Abschnitt werden die Daten des aktuell von der Kamera verwendeten Zertifikats angezeigt.
|
Parameter |
Beschreibung |
|---|---|
|
Herausgeber |
Listet die Informationen der zertifizierenden Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen. |
|
Betreff |
Listet die Informationen der zertifizierten Stelle auf. Die Kodierung der Angaben entspricht den Feldern im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen. |
|
Gültigkeit |
Zeigt die Gültigkeitsdauer des verwendeten Zertifikats an. |
|
Parameter |
Beschreibung |
|---|---|
|
X.509-Zertifikat löschen |
Löscht das aktuell verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Nach einem Neustart der Kamera verwendet diese wieder das selbstsignierte X.509-Zertifikat der Kamera (Auslieferungszustand). |
|
X.509-Zertifikat und privaten Schlüssel hochladen |
Ersetzt das derzeit verwendete X.509-Zertifikat und den dazugehörigen privaten Schlüssel. Dieses X.509-Zertifikat und der dazugehörige private Schlüssel müssen von einer externen Zertifikat-Autorität erzeugt und signiert sein. |
|
X.509-Zertifikat hochladen |
Ersetzt das derzeit verwendete X.509-Zertifikat und behält den derzeitig verwendeten privaten Schlüssel bei. Verwenden Sie diese Funktion, um ein X.509-Zertifikat hochzuladen, das aus einer zuvor von dieser Kamera erzeugten Zertifikat-Anfrage generiert wurde (siehe Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen). |
|
Generieren |
Erzeugt aus den im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen Daten ein neues, selbstsigniertes X.509-Zertifikat, den dazu passenden privaten Schlüssel und eine Zertifikat-Anfrage. |
|
Datei mit X.509-Zertifikat hochladen |
Um ein X.509-Zertifikat hochzuladen, geben Sie hier den Dateinamen der Zertifikatdatei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an. |
|
Datei mit X.509-Privatschlüssel hochladen |
Um einen zu obigem X.509-Zertifikat passenden privaten Schlüssel hochzuladen, geben Sie hier den Dateinamen der Datei im PEM-Dateiformat auf ihrem lokalen Rechner an. Falls Sie ein X.509-Zertifikat und den dazu passenden privaten Schlüssel hochladen möchten und beide in der selben Datei gespeichert sind, geben Sie diese Datei hier an. |
|
Passphrase |
Wenn der private Schlüssel mit einer Passphrase gesichert ist, geben Sie dieses bitte hier an. |
Die Datenfelder der Eingabemaske entsprechen den Datenfeldern eines X.509-Zertifikats.
|
Parameter |
Abkürzung |
Beschreibung |
|---|---|---|
|
Allgemeiner Name |
CN |
Dies ist die einzige unbedingt notwendige Angabe in diesem Abschnitt des Dialogs. Geben Sie den vollständigen DNS-Namen (Fully Qualified Domain Name) der Kamera an. Es ist auch möglich, eine IP-Adresse anzugeben, dies wird jedoch nicht empfohlen. Achten Sie darauf, dass die Angabe in diesem Feld mit dem DNS-Namen übereinstimmt, unter dem Sie die Kamera in einem Webbrowser ansprechen, da das Zertifikat ansonsten ungültig ist. |
|
Land |
C |
Nationalität des Zertifikatbesitzers (optional). |
|
Bundesland oder Provinz |
ST |
Bundesstaat bzw. Bundesland des Zertifikatbesitzers (optional). |
|
Ort |
L |
Wohnort bzw. Standort des Zertifikatbesitzers (optional). |
|
Organisation |
O |
Firma, Organisation, etc. des Zertifikatbesitzers (optional). |
|
Organisationseinheit |
OU |
Abteilung bzw. Arbeitsgruppe des Zertifikatbesitzers (optional). |
|
E-Mail-Adresse |
− |
E-Mail-Adresse des Zertifikatbesitzers (in CN enthalten, optional). |
Soll eine mit dieser Funktion erzeugte Zertifikat-Anfrage von einer externen Zertifikat-Autorität signiert werden, sind die Richtlinien für optionale und notwendige Datenfelder dieser Zertifikat-Autorität maßgeblich, nicht die Vorgaben dieser Eingabemaske. Das selbstsignierte X.509-Zertifikat hat eine Laufzeit von 10 Jahren. Das Schlüsselpaar hat eine Länge von 2048 Bit.
Dieser Abschnitt beschreibt die Konfiguration zum Bezug eines X.509-Zertifikats mithilfe des ACMEv2-Protokolls (ACME = Automatic Certificate Management Environment).
|
Parameter |
Beschreibung |
|
|---|---|---|
|
ACME-Client aktivieren |
Wählen Sie diese Einstellung, um den ACME-Client zu aktivieren. Die Kamera wird dann beim nächsten Neustart ein Zertifikat bei der konfigurierten Zertifizierungsstelle beziehen und verwenden. |
|
|
ACME-API URL |
URL der zu verwendenden Zertifizierungsstelle. Die Zertifizierungsstelle muss das ACMEv2-Protokoll unterstützen. |
|
|
ACME-Domain |
Geben Sie hier den vollständigen DNS-Namen (Fully Qualified Domain Name) der Kamera an, über den die Kamera erreichbar ist. Achten Sie darauf, dass die Angabe in diesem Feld mit dem DNS-Namen der Kamera übereinstimmt (Adresse der Kamera im Webbrowser), da das Zertifikat ansonsten ungültig ist. Die Kamera muss über diesen DNS-Namen auch für die verwendete Zertifizierungsstelle erreichbar sein. |
|
|
ACME-Zertifikat |
Sobald ein Zertifikat über den ACME-Client bezogen wurde, werden dessen Daten hier angezeigt (Herausgeber = konfigurierte Zertifizierungsstelle, Betreff = ACME-Domain, für die das Zertifikat bezogen wurde, Gültigkeit = Gültigkeitsdauer des Zertifikats). Ein solches Zertifikat kann hier auch wieder zurückgesetzt bzw. gelöscht werden. Das ist insbesondere dann erforderlich, wenn die Kamera über den ACME-Client ein neues Zertifikat (z. B. nach Änderung der ACME-Domain) beziehen soll. |
Der ACME-Client auf der Kamera unterstützt das ACME-Protokoll Version 2 und verwendet zur Domain-Validierung die sog. HTTP-Challenge. Beim erstmaligen Bezug des Zertifikats muss die Kamera von der Zertifizierungsstelle über unverschlüsseltes HTTP (HTTP Port 80) unter dem als ACME-Domain konfigurierten DNS-Namen erreichbar sein. Zur Verlängerung eines bereits von der Zertifizierungsstelle bezogenen Zertifikats ist der HTTP-Zugriff hingegen i. d. R. nicht mehr erforderlich. Die Verlängerung des Zertifikats wird von der Kamera bei aktivem ACME-Client automatisch durchgeführt, sobald das aktuelle ACME-Zertifikat weniger als 30 Tage gültig ist.
Die in diesem Dialog verwendeten X.509-Zertifikate haben keinerlei Auswirkungen auf andere Bereiche der Kamera und werden ignoriert, wenn HTTPS mit SSL/TLS nicht aktiviert ist.
Sobald HTTPS aktiviert und die Kamera neu gestartet wurde, ist HTTPS verfügbar. Die Kamera nutzt dabei ein werkseitig vorgegebenes, selbstsigniertes X.509-Zertifikat, das bei allen MOBOTIX-Kameras identisch ist. Dieses Zertifikat sichert die Datenübertragung nur grob und kann die Authentizität der Kamera nicht garantieren. Daher ist es für einen Angreifer möglich, den Datenstrom zu manipulieren, auch wenn ein hochwertiges Verschlüsselungsverfahren zum Einsatz kommt ("Man in the middle"-Angriff).
Klicken Sie hierzu im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen auf Generieren und füllen Sie die Datenfelder im Abschnitt Selbst zertifiziertes X.509-Zertifikat und Zertifikat-Anfrage erzeugen aus. Klicken Sie anschließend auf Setzen. Die Kamera erstellt jetzt ein für diese Kamera individuelles, selbstsigniertes X.509-Zertifikat (dieser Vorgang dauert einige Zeit). Die gleichzeitig erzeugte Zertifikat-Anfrage wird nicht weiter benötigt. Nach dem nächsten Neustart nutzt die Kamera das neu erstellte X.509-Zertifikat.
Stellen Sie sicher, dass Sie die Konfiguration vor Neustart der Kamera sichern (Setzen, dann Schließen klicken und Bestätigung der Abfrage).
Beim ersten Zugriff auf die Kamera nach dem Neustart wird Ihr Webbrowser Ihnen mitteilen, dass er das Zertifikat nicht verifizieren kann und Sie fragen, ob Sie dieses Zertifikat dennoch akzeptieren möchten. Dieser Schritt ist sicherheitsrelevant: Akzeptieren Sie das Zertifikat nur, wenn Sie durch andere Maßnahmen garantieren können, dass Sie wirklich mit der gewünschten Kamera verbunden sind (z. B. direkte Verbindung Rechner - Kamera über Crossover-Kabel). Dieser Vorgang des Akzeptierens ist für jede Kamera erneut durchzuführen. Dieses Zertifikat sichert die Datenübertragung ausreichend, aber noch nicht optimal. Die Authentizität der Kamera kann nur verifiziert werden, wenn das Zertifikat der Kamera bereits im Vorhinein bekannt ist.
Variante 1: Sie können ein X.509-Zertifikat und den privaten Schlüssel in die Kamera hochladen. Nutzen Sie dazu die Funktion X.509-Zertifikat und privaten Schlüssel hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen. Sie können X.509-Zertifikat und privaten Schlüssel bei einer externen Zertifikat-Autorität kaufen oder Sie können eine eigene private Zertifikat-Autorität betreiben, z. B. auf Basis von OpenSSL. In diesem Fall ist es nicht nötig, vorher eine Zertifikat-Anfrage zu generieren. Eine eventuell in der Kamera vorhandene Zertifikat-Anfrage wird beim Ausführen dieser Funktion gelöscht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität.
Variante 2: Sie erzeugen mit der Kamera eine Zertifikat-Anfrage. Die Zertifikat-Anfrage wird gemeinsam mit dem selbstsignierten X.509-Zertifikat erstellt (siehe HTTPS mit individuellem, selbstsigniertem X.509-Zertifikat). Sobald die Zertifikat-Anfrage erzeugt wurde, können Sie diese herunterladen, indem Sie im Abschnitt Webserver hinter X.509-Zertifikat-Anfragedatei herunterladen auf den Button Herunterladen klicken. Senden Sie diese Zertifikat-Anfrage zur Signierung an ihre Zertifikat-Autorität. Bis Sie das X.509-Zertifikat von der Zertifikat-Autorität erhalten, nutzt die Kamera ihr selbstsigniertes X.509-Zertifikat.
Laden Sie das von der Zertifikat-Autorität ausgestellte X.509-Zertifikat mit der Funktion Datei mit X.509-Zertifikat hochladen im Abschnitt Von der Kamera verwendete X.509-Dateien mit dem Zertifikat und dem privaten Schlüssel ersetzen in die gewünschte Kamera. Diese Variante hat den Vorteil, dass der private Schlüssel die Kamera nicht verlässt, was dessen Vertrauenswürdigkeit erhöht. Jede Kamera benötigt ein individuelles Zertifikat von der Zertifikat-Autorität. Zertifikat-Anfrage, Zertifikat und der private Schlüssel bilden eine Einheit. Es ist nicht möglich, ein Zertifikat in eine Kamera zu laden, das aus der Zertifikat-Anfrage einer anderen Kamera generiert wurde.
Ein solches Zertifikat sichert die Datenübertragung optimal, da die Authentizität der Kamera anhand des Root-Zertifikats der Zertifikat-Autorität verifiziert werden kann; "Man in the middle"-Angriffe sind nicht mehr möglich. Es ist darüber hinaus auch nicht nötig, dem Browser jede Kamera einzeln bekannt zu machen, wie bei der Verwendung eines selbstsignierten X.509-Zertifikats. Es muss lediglich einmal das Root-Zertifikat der Zertifikat-Autorität in den Browser geladen werden. Die Root-Zertifikate kommerzieller Zertifikat-Autoritäten sind i.d.R. schon fest in die Browser eingebaut.
|
Parameter |
Beschreibung |
|---|---|
|
Intrusion Detection aktivieren |
Diese Einstellung ermöglicht die Abwehr von unerwünschten Angreifern. Für den Fall, dass ein Angreifer versuchen sollte, Benutzernamen und Passwörter der Kamera mit "Brute Force"-Methoden zu erraten, kann die Kamera nach einer gewissen Anzahl von Fehlversuchen eine Alarmierung auslösen und ggf. den Zugriff auf die Kamera automatisch sperren. |
|
Benachrichtigungsschwelle |
Die Benachrichtigungsschwelle legt die Anzahl zulässiger Fehlversuche bei der Anmeldung fest (Mindestwert ist 5). Eine Alarmierung erfolgt, sobald diese Zahl überschritten wird. AchtungAuch wenn ein berechtigter Benutzer erstmalig auf eine Kamera zugreift, verursacht dies einen fehlgeschlagenen Anmeldeversuch. Durch diesen ersten Versuch erfährt der Browser des Benutzers erst, dass eine Anmeldung stattfindet und der Benutzer nach Benutzername und Passwort gefragt werden muss. Dies ist eine prinzipielle Schwäche des HTTP-Protokolls und daher unvermeidbar. |
|
Zeitüberschreitung |
Aufeinanderfolgende Zugriffe eines Benutzers auf eine URL werden zusammengefasst und intern als ein einzelner Eintrag in der Webserver-Logdatei gespeichert. In diesem Eintrag wird nur gespeichert, wann der erste sowie der letzte Zugriff erfolgte und wieviele Zugriffe dieses Benutzers insgesamt in dieser Zeitspanne aufgezeichnet wurden. Erfolgt ein erneuter Zugriff eines Benutzers innerhalb der Zeitspanne Zeitüberschreitung nach dem letzten Zugriff, wird dieser erneute Zugriff zu dem schon vorhandenen Eintrag in der Webserver-Logdatei hinzugefügt (Zugriffszähler um eins erhöhen, Datum und Uhrzeit des letzten Zugriffs aktualisieren). Erfolgt der erneute Zugriff des Benutzers nach Ablauf der Zeitüberschreitung, erzeugt dieser Zugriff einen neuen, separaten Eintrag in der Webserver-Logdatei. Dies gilt für berechtigte und unberechtige Zugriffe. Eine Zeitüberschreitung von wenigen Minuten trennt die einzelnen Zugriffsversuche deutlicher voneinander. Dies erhöht allerdings auch die Gefahr von Fehlalarmen, da ein erfolgreicher Zugriff nicht mehr einem vorangegangenen Fehlversuch zugeordnet werden kann. Der Standardwert ist 60 Minuten und stellt einen guten Kompromiss dar. |
|
Totzeit |
Die Totzeit ist die Mindestzeit zwischen zwei Alarmierungen. Nach erfolgter Benachrichtigung erfolgt eine erneute Alarmierung erst, wenn diese Zeit abgelaufen ist und wieder die Anzahl vergeblicher Anmeldeversuche überschritten wurde. Der Standardwert ist 60 Minuten. Ein Wert von 0 verursacht eine Alarmierung bei jedem fehlgeschlagenen Anmeldeversuch. |
|
IP-Adresse blockieren |
Wurde die IP-basierte Zugriffsbeschränkung aktiviert, kann die Funktion IP-Adresse blockieren verwendet werden, um die IP-Adresse, von der aus die fehlgeschlagenen Anmeldeversuche unternommen wurden, automatisch zu sperren. Die Sperrung ist temporär bis zum nächsten Neustart der Kamera und erfolgt bei Erreichen der Benachrichtigungsschwelle. HinweisWird einer IP-Adresse im Dialog IP-basierte Zugriffsbeschränkung Zugriff auf die Kamera gewährt, dann kann diese IP-Adresse nicht automatisch gesperrt werden. Möchten Sie die automatische Sperrung für beliebige IP-Adressen aktivieren, sollten Sie im Dialog IP-basierte Zugriffsbeschränkung alle Zugriffsregeln für Gewähren löschen. |
|
Benachrichtigung per E-Mail |
Sendet eine E-Mail anhand der im jeweiligen E-Mail-Profil festgelegten Adress- und Anmeldeinformationen. HinweisBei einer Alarmierung per E-Mail wird als Anhang immer die Webserver-Logdatei mitgeschickt, unabhängig davon, was als Anhang im verwendeten E-Mail-Profil konfiguriert wurde. |
|
Telefonanruf |
Setzt einen Anruf anhand der im jeweiligen Telefonprofil festgelegten Optionen ab. |
|
Netzwerkmeldung |
Sendet eine Netzwerknachricht anhand der im jeweiligen Profil für Netzwerkmeldungen festgelegten Adress- und Anmeldeinformationen. |
Die Alarmierung der Intrusion Detection ist unabhängig von den anderen Alarmierungsmechanismen und der Ereignisspeicherung der Kamera. Soll eine Alarmierung durch Intrusion Detection in der Ereignisspeicherung für Bilder der Kamera erscheinen, gehen Sie wie folgt vor:
Konfigurieren Sie als Alarmierung eine Netzwerknachricht auf die Kamera selbst (neues Profil im Dialog Profile für Netzwerkmeldungen auf die Kamera selbst, z. B. mit 127.0.0.1:8000 als Zieladresse).
Aktivieren Sie in den Ereigniseinstellungen das Ereignis Netzwerkmeldung (RC) entsprechend.
Klicken Sie auf Setzen, um die Einstellungen zu aktivieren und bis zum nächsten Neustart der Kamera zu sichern.
Klicken Sie auf Voreinstellung, um diesen Dialog auf die werkseitigen Voreinstellungen zurückzusetzen (dieser Button wird nicht in allen Dialogen angezeigt).
Klicken Sie auf Wiederherstellen, um alle Änderungen seit dem letzten permanenten Speichern der Konfiguration zu verwerfen.
Beenden Sie den Dialog durch Klick auf Schließen. Hierbei wird geprüft, ob Änderungen der Gesamtkonfiguration vorliegen. Ist dies der Fall, werden Sie gefragt, ob die Gesamtkonfiguration dauerhaft gesichert werden soll.
| de, en |