Cisco 7800-Serie Handbuch Seite 54

Sichere HTTPS-Resynchronisierung
openssl req –new –out provserver.csr
Dieser Befehl generiert ein Paar aus einem öffentlichen und einem privaten Schlüssel, das in der Datei
„privkey.pem" gespeichert wird.
Senden Sie die CSR-Datei (provserver.csr) zum Signieren an Cisco. (Weitere Informationen finden Sie
Schritt 3
unter https://supportforums.cisco.com/docs/DOC-9852.) Zurückgegeben wird ein signiertes
Serverzertifikat (provserver.cert) zusammen mit einem Sipura Clientstammzertifikat der
Zertifizierungsstelle, spacroot.cert).
Speichern Sie das signierte Serverzertifikat, die Datei mit dem privaten Schlüsselpaar und das
Schritt 4
Clientstammzertifikat an den entsprechenden Speicherorten auf dem Server.
Im Fall einer Apache-Installation unter Linux lauten diese Speicherorte in der Regel wie folgt:
# Server Certificate:
SSLCertificateFile /etc/httpd/conf/provserver.cert
# Server Private Key:
SSLCertificateKeyFile /etc/httpd/conf/pivkey.pem
# Certificate Authority:
SSLCACertificateFile /etc/httpd/conf/spacroot.cert
Starten Sie den Server neu.
Schritt 5
Kopieren Sie die Konfigurationsdatei
Schritt 6
beschrieben wird) in das virtuelle Stammverzeichnis des HTTPS-Servers.
Überprüfen Sie, ob der Server ordnungsgemäß funktioniert, indem Sie mit einem Standard-Webbrowser
Schritt 7
„basic.txt" vom HTTPS-Server auf den lokalen PC herunterladen.
Überprüfen Sie das Serverzertifikat, das der Server bereitstellt.
Schritt 8
Der Browser erkennt wahrscheinlich nicht, dass das Zertifikat gültig ist, sofern der Browser nicht so
vorkonfiguriert wurde, dass er Cisco als Stammzertifizierungsstelle akzeptiert. Cisco IP-Telefon
erwarten allerdings ein solches signiertes Zertifikat.
Ändern Sie den Parameter Profile_Rule des Testgeräts, sodass er einen Verweis auf den HTTPS-Server
enthält, z. B.:
<Profile_Rule>
https://my.server.com/basic.txt
</Profile_Rule>
In diesem Beispiel wird davon ausgegangen, dass der Name des HTTPS-Servers
Klicken Sie auf Alle Änderungen übernehmen.
Schritt 9
Beachten Sie die Syslog-Ablaufverfolgung, die das Cisco IP-Telefon sendet.
Schritt 10
Die Syslog-Meldung sollten angeben, dass durch die Resynchronisierung das Profil vom HTTPS-Server
abgerufen wurde.
(Optional) Verwenden Sie einen Ethernet-Protokoll-Analyzer im Cisco IP-Telefon-Subnetz, um
Schritt 11
sicherzustellen, dass die Pakete verschlüsselt werden.
In dieser Übung wurde die Clientzertifikatverifizierung nicht aktiviert. Die Verbindung zwischen dem
Cisco IP-Telefon und dem Server wird verschlüsselt. Die Übertragung ist jedoch nicht sicher, da jeder
Client eine Verbindung mit dem Server herstellen und die Datei abrufen kann, wenn er den Dateinamen
und den Speicherort des Verzeichnisses kennt. Für eine sichere Resynchronisierung muss auch der
Server den Client authentifizieren, wie in der im Abschnitt
Clientzertifikatauthentifizierung"
Multiplattform-Telefone der Cisco IP Phone 7800-Serie und 8800-Serie – Bereitstellungshandbuch
4-8
(die in der Übung
basic.txt
„HTTPS mit
beschriebenen Übung veranschaulicht wird.
Kapitel 4 Bereitstellungsbeispiele
„TFTP-Resynchronisierung"
my.server.com
lautet.