Https-Bereitstellung - Cisco 7800-Serie Handbuch

Kapitel 3 Interne Vorabbereitstellung und Bereitstellungsserver
Tabelle 3-1
HTTP-Statuscode
501 Nicht implementiert
502 Ungültiges Gateway
503 Service nicht
verfügbar
504 Gateway-
Zeitüberschreitung
5xx

HTTPS-Bereitstellung

Um die Sicherheit der Remoteverwaltung von Geräten zu erhöhen, unterstützt das Cisco IP-Telefon
HTTPS für die Bereitstellung. Jedes Cisco IP-Telefon besitzt neben einem Sipura
CA-Server-Stammzertifikat ein eindeutiges SSL-Clientzertifikat (und den zugehörigen privaten
Schlüssel). Das Serverstammzertifikat ermöglicht dem Cisco IP-Telefon, autorisierte
Bereitstellungsserver zu erkennen und nicht autorisierte Server abzulehnen. Auf der anderen Seite
ermöglicht das Clientzertifikat dem Bereitstellungsserver, das jeweilige Gerät zu identifizieren, das die
Anforderung sendet.
Damit ein Serviceanbieter die Bereitstellung über HTTPS verwalten kann, muss für jeden
Bereitstellungsserver, mit dem sich ein Cisco IP-Telefon über HTTPS resynchronisiert, ein
Serverzertifikat generiert werden. Das Serverzertifikat muss mit dem Cisco Server CA-Stammschlüssel
signiert sein, dessen Zertifikat auf allen bereitgestellten Geräten vorhanden ist. Um ein signiertes
Serverzertifikat zu erhalten, muss der Serviceanbieter eine Zertifikatsignieranforderung an Cisco
senden. Cisco signiert das Serverzertifikat und sendet es zur Installation auf dem Bereitstellungsserver
an den Serviceanbieter zurück.
Das Bereitstellungsserverzertifikat muss das Feld „Common Name" (CN) und den FQDN des Hosts,
auf dem der Server ausgeführt wird, im Betreff enthalten. Es kann nach dem FQDN des Hosts optionale
Informationen enthalten, die durch einen Schrägstrich (/) getrennt angegeben werden. Die folgenden
Beispiele sind CN-Einträge, die vom Cisco IP-Telefon als gültig akzeptiert werden:
CN=sprov.callme.com
CN=pv.telco.net/mailto:admin@telco.net
CN=prof.voice.com/info@voice.com
Zusätzlich zur Überprüfung des Serverzertifikats prüft das Cisco IP-Telefon die IP-Adresse des Servers
anhand einer DNS-Suche des Servernamens, der im Serverzertifikat angegeben ist.
Das Utility OpenSSL kann eine Zertifikatsignieranforderung generieren. Das folgende Beispiel zeigt
den Befehl openssl, der ein Paar aus einem öffentlichen und einem privaten 1024-Bit-RSA-Schlüssel
und eine Zertifikatsignieranforderung erzeugt:
openssl req –new –out provserver.csr
Telefonverhalten in Reaktion auf HTTP-Antworten (Fortsetzung)
Beschreibung
Der Server erkennt die
Anforderungsmethode nicht, oder er
kann die Anforderung nicht erfüllen.
Der Server fungiert als Gateway oder
Proxy und erhält vom
Upstream-Server eine ungültige
Antwort.
Der Server ist derzeit nicht verfügbar
(überlastet oder zu Wartungszwecken
heruntergefahren). Dies ist ein
temporärer Zustand.
Der Server fungiert als Gateway
oder Proxy und erhält vom
Upstream-Server nicht rechtzeitig
eine Antwort.
Andere Serverfehler
Multiplattform-Telefone der Cisco IP Phone 7800-Serie und 8800-Serie – Bereitstellungshandbuch
Bereitstellungsserver-Setup
Verhalten des Telefons
Das Verhalten von Cisco IP Phone
entspricht C.
Das Verhalten von Cisco IP Phone
entspricht C.
Das Verhalten von Cisco IP Phone
entspricht C.
C
C
3-7