Https Mit Clientzertifikatauthentifizierung; Https-Clientfilterung Und Dynamischer Inhalt - Cisco 7800-Serie Handbuch

Kapitel 4 Bereitstellungsbeispiele

HTTPS mit Clientzertifikatauthentifizierung

In der werksseitigen Standardkonfiguration fordert der Server von Clients kein SSL-Clientzertifikat an.
Die Übertragung des Profils ist nicht sicher, da jeder Client eine Verbindung mit dem Server herstellen
und das Profil anfordern kann. Sie können die Konfiguration bearbeiten, um die Clientauthentifizierung
zu aktivieren. Der Server braucht ein Clientzertifikat, um das Cisco IP-Telefon zu authentifizieren,
bevor er die Verbindungsanforderung akzeptiert.
Deswegen kann die Resynchronisierung mit einem Browser, der nicht über die richtigen
Anmeldeinformationen verfügt, nicht unabhängig getestet werden. Der SSL-Schlüsselaustausch in der
HTTPS-Verbindung zwischen dem Cisco IP-Telefon-Testgerät und dem Server kann mit dem Utility
ssldump beobachtet werden. Das Utility trace zeigt die Interaktion zwischen Client und Server.
Übung zu HTTPS mit Clientzertifikatauthentifizierung
Aktivieren Sie die Clientzertifikatauthentifizierung auf dem HTTPS-Server.
Schritt 1
Legen Sie in Apache (v.2) folgende Einstellung in der Serverkonfigurationsdatei fest:
Schritt 2
SSLVerifyClient
Stellen Sie außerdem sicher, dass die Datei „spacroot.cert" so gespeichert wurde, wie in der Übung
„Grundlegende HTTPS-Resynchronisierung"
Starten Sie den HTTPS-Server neu, und beobachten Sie die Syslog-Ablaufverfolgung des Cisco
Schritt 3
IP-Telefons.
Bei jeder Resynchronisierung mit dem Server wird jetzt eine symmetrische Authentifizierung
durchgeführt, sodass das Serverzertifikat und das Clientzertifikat überprüft werden, bevor das Profil
übertragen wird.
Erfassen Sie mit ssldump eine Resynchronisierungsverbindung zwischen dem Cisco IP-Telefon und dem
Schritt 4
HTTPS-Server.
Wenn die Überprüfung des Clientzertifikats auf dem Server ordnungsgemäß aktiviert ist, zeigt die
ssldump-Ablaufverfolgung den symmetrischen Austausch der Zertifikate (zuerst vom Server an den
Client und anschließend vom Client an den Server), bevor die verschlüsselten Pakete, die das Profil
enthalten, übertragen werden.
Wenn die Clientauthentifizierung aktiviert ist, kann nur ein Cisco IP-Telefon mit einer MAC-Adresse,
die einem gültigen Clientzertifikat entspricht, das Profil vom Bereitstellungsserver anfordern. Der
Server lehnt Anforderungen von einem normalen Browser oder anderen nicht autorisierten Geräten ab.

HTTPS-Clientfilterung und dynamischer Inhalt

Wenn der HTTPS-Server so konfiguriert ist, dass ein Clientzertifikat erforderlich ist, werden durch die
im Zertifikat enthaltenen Informationen das Cisco IP-Telefon, welches die Resynchronisierung
durchführt, identifiziert und die richtigen Konfigurationsinformationen bereitgestellt.
Der HTTPS-Server macht die Zertifikatinformationen für CGI-Skripts (oder kompilierte CGI
Programme) verfügbar, die als Bestandteil der Resynchronisierungsanforderung aufgerufen werden. Zur
Veranschaulichung wird in dieser Übung die Open Source-Skriptsprache Perl verwendet und davon
ausgegangen, dass Apache (v.2) als HTTPS-Server verwendet wird.
require
Multiplattform-Telefone der Cisco IP Phone 7800-Serie und 8800-Serie – Bereitstellungshandbuch
Sichere HTTPS-Resynchronisierung
gezeigt.
4-9