Безопасная конфигурация Hikvision: HTTPS, сертификаты

1. Зачем вообще HTTPS на камере или видеорегистраторе

IP-камера или NVR Hikvision — это по сути маленький веб-сервер. К нему заходят:

• через браузер (Chrome, Edge, Firefox);
• через клиентское ПО (iVMS-4200, HikCentral, сторонние VMS);
• через интеграции по ISAPI/SDK.

Если используется HTTP, логин, пароль и все настройки идут в сети «голыми» — их можно перехватить на любом участке маршрута.

HTTPS — это тот же HTTP, но поверх шифрования TLS (SSL/TLS). HTTPS — это протокол шифрования на базе SSL/TLS и HTTP, который повышает безопасность веб-доступа к камере.

Чтобы это шифрование заработало, устройство должно предъявить сертификат сервера — маленький файл с криптографическим «паспортом» устройства.

2. Две ключевые галочки в разделе HTTPS

Для большинства сетевых камер Hikvision (серии G1/G2/G3 и т. п.) путь к настройкам выглядит так:

Configuration → Network → Advanced Settings/Network Service → HTTPS

В разделе HTTPS вы почти всегда увидите две галочки:

1. Enable (Включить HTTPS)
2. Enable HTTPS Browsing (Включить браузинг HTTPS)

Согласно официальному Network Camera User Manual, логика следующая:

• Enable

1. включает поддержку HTTPS на устройстве;
2. после этого камера доступна и по HTTP, и по HTTPS;
3. открывается HTTPS-порт (по умолчанию 443, либо тот, который вы задали);
4. по HTTPS начинают работать веб-интерфейс, ISAPI/SDK, соединения из iVMS-4200, VMS и т. д.

• Enable HTTPS Browsing

1. делает веб-доступ только по HTTPS;
2. при попытке зайти по http://IP устройство обычно перенаправляет на https://IP;
3. все попытки открыть веб-морду по чистому HTTP перестают работать.

Для NVR логика такая же: в Network Video Recorder Network Security Guide, раздел HTTPS говорится, что включение HTTPS позволяет шифровать веб-доступ, при этом порт (например 443) явно задаётся в настройках.

3. Что такое сертификат и какие варианты есть у Hikvision

Доступны три подхода:

3.1. Самоподписанный сертификат (Self-signed)

• Генерируется прямо на камере или NVR.
• Бесплатен, идеально подходит для локальной сети (LAN).
• Браузер ругается: «Ненадёжный сертификат», потому что сертификат не подписан внешним центром.
• В руководствах Hikvision это описано как нормальный вариант для локальной сети, но при повышенных требованиях безопасности рекомендуется использовать сертификат от доверенного центра (CA).

3.2. Сертификат от центра сертификации (CA)

• Это может быть корпоративный AD CS или публичный CA.
• Процесс:

1. Создаём на устройстве запрос на сертификат (CSR, certificate request).
2. Отправляем CSR в CA.
3. Полученный подписанный сертификат загружаем обратно в устройство.

3.3. Импорт уже готового сертификата

• Если вы сгенерировали ключ и сертификат на другом хосте (OpenSSL, корпоративный PKI-шаблон и т. п.), его часто можно импортировать в камеру/NVR.
• Поддерживаемый формат зависит от модели и прошивки. В типовом quick-guide явно указан формат PEM для NVR: «Only PEM format certificate is supported; NVR can only recognize the certificate which is generated based on the request exported by itself».

4. Что сделать до включения HTTPS

Перед тем как ставить галочки в разделе HTTPS, стоит выполнить три базовых шага. 

4.1. Сильный пароль администратора

• При активации устройства вы обязаны задать пароль администратора; слабые пароли прямо отмечены как рискованные.
• Только администратор может управлять настройками HTTPS и сертификатами.

4.2. Корректное время и часовой пояс

• Настройка: Configuration → System → Time Settings (или аналогичный путь на NVR).
• Если время на устройстве «уехало»:

1. сертификат может оказаться «ещё не действителен»;
2. или «уже просрочен»;
3. тогда браузеры и клиенты будут ругаться, даже если сертификат сам по себе корректен.

4.3. Актуальная прошивка

• В руководствах Hikvision настойчиво рекомендует регулярно обновлять прошивку до последних версий ради исправления уязвимостей и ошибок.
• Обновлять прошивку нужно строго под вашу модель и регион, скачивая с официального портала Hikvision.

5. Сценарий с самоподписанным сертификатом

Это наиболее простой и универсальный вариант для квартир, небольших офисов и малых объектов.

Шаг 1. Открыть раздел HTTPS

В веб-интерфейсе камеры или NVR:

Configuration → Network → Advanced Settings → HTTPS

Шаг 2. Создать самоподписанный сертификат

1. В области установки сертификата выберите Create Self-signed Certificate.
2. Нажмите Create.
3. Заполните поля:

• Country (C) — страна (например, UA, RU, PL);
• Host Name/IP — IP-адрес или доменное имя вашего устройства;
• Validity — срок действия (в днях/годах, в зависимости от прошивки, рекомендуется 2-3 года);
• остальные поля (Organization, City) можно заполнить условно.

1. Нажмите OK.

После этого в разделе сертификатов отобразится информация о текущем сертификате.

Шаг 3. Включить HTTPS

1. Поставьте галочку Enable (или «Включить HTTPS»).
2. Убедитесь, что созданный сертификат выбран как Server Certificate (на некоторых прошивках он подставляется автоматически).
3. Сохраните настройки.

Результат:

• устройство начинает использовать HTTPS-порт (обычно 443);
• клиенты вроде iVMS-4200 могут работать через зашифрованный SDK-канал (Enhanced SDK/TLS, если он есть в прошивке).

Шаг 4. Решить, включать ли «Enable HTTPS Browsing»

Согласно мануалу, эта галочка переводит веб-доступ в режим только HTTPS. 

Практичеcкие рекомендации:

• Если вы готовы полностью перейти на HTTPS и знаете, как вернуться (через SADP или локальный GUI NVR) — можно включать Enable HTTPS Browsing.
• Если вы только тестируете HTTPS или боитесь потерять доступ, особенно при доступе через NVR/Virtual Host, — сначала оставьте эту галочку выключенной.

Важно: на части устройств после включения HTTPS Browsing весь HTTP-доступ перестаёт работать, и веб-интерфейс доступен только по https://….

Шаг 5. Проверка

1. Откройте в браузере https://IP-адрес:порт (порт — 443, если не меняли).
2. Браузер предупредит о небезопасном сертификате — это ожидаемо для self-signed.
3. Добавьте исключение или примите риск (в пределах вашей политики безопасности).
4. Зайдите в настройки HTTPS и убедитесь, что:

• галочка Enable включена;
• ваш сертификат отображается как установленный.

6. Настройка клиентов: браузеры, iVMS-4200 и VMS

6.1. Веб-браузер

Сценарий следующий:

При self-signed сертификате браузер всегда показывает предупреждение — это зафиксировано и в IPC Security Guide, и в руководствах по NVR: самоподписанный сертификат не выдан доверенным центром, поэтому появится окно с предупреждением, которое можно пропустить вручную.

Для камер с plug-in-free просмотром (новые Web-интерфейсы) в руководстве указано: при доступе по HTTPS необходимо включить WebSocket/WebSockets в разделе Network Service, иначе живое видео может не работать.

6.2. iVMS-4200 и другие клиенты Hikvision

В новых мануалах для камер встречается опция Enhanced SDK Service / SDK over TLS: при её включении:

• клиентское ПО добавляет устройство с шифрованием SDK-трафика;
• Hikvision рекомендует включать этот режим и использовать его для защиты данных в канале «клиент → устройство».

Практически это выглядит так:

1. На устройстве включаете HTTPS и/или Enhanced SDK Service.
2. В iVMS-4200 добавляете устройство как обычно; при необходимости экспортируете сертификат с устройства и помещаете его в папку сертификатов клиента (это прямо указано в разделе HTTPS Settings мануала камеры).

7. Срок действия сертификата — что говорит Hikvision и что делать на практике

Важно: в открытых документах Hikvision для камер и NVR нет жёсткого лимита по сроку действия сертификата. Важны только его валидность и корректность.

Поэтому:

• Официальные требования Hikvision: сертификат должен быть действующим (не просрочен и не «из будущего»), формат и связка «CSR ↔ сертификат» должны соответствовать ожиданиям устройства.
• Практика информационной езопасности:

1. 1–3 года — типичный разумный срок для сервера;
2. чем длиннее срок, тем дольше вы живёте с последствиями компрометации ключа.

8. Дополнительные настройки безопасности вокруг HTTPS

HTTPS — это не «серебряная пуля». Hikvision в своих security-guide подчёркивает, что это лишь часть общей модели защиты. 

8.1. Пароли, пользователи и роли

• Используйте сильные пароли и не оставляйте дефолтных логинов. 
• Создавайте отдельные учётные записи для операторов и гостей с минимальным набором прав:

1. администратору — конфигурация и безопасность;
2. оператору — просмотр и управление;
3. пользователю — только просмотр.

• Регулярно удаляйте неиспользуемые учётки.

8.2. Отключение ненужных сервисов

В IPC и NVR Security Guide прямо сказано: по умолчанию включено ограниченное число сервисов, а остальные стоит активировать только при необходимости (ONVIF, CGI, UPnP, SNMP, Multicast, Platform Access и т. д.).

Рекомендуется:

• отключить UPnP, если устройство не должно само открывать порты в роутере;
• отключить SNMP, если вы его не используете;
• не включать ISAPI, SADP, Multicast, если нет явной задачи.

8.3. Ведение и экспорт логов

Оба security-guide подчёркивают важность логов:

• Логи содержат операции, события, исключения, IP источника, пользователя и т. д.;
• Логи нельзя редактировать, при переполнении новые записи перезаписывают старые.

Практика:

• включите логирование;
• периодически выгружайте логи (особенно после изменения настроек безопасности);
• храните их отдельно от устройства.

8.4. NTP и синхронизация времени

И для камер, и для NVR Hikvision рекомендует настроить NTP-сервер, чтобы время было точным — это важно и для валидности сертификата, и для корректной маркировки записей и логов.