Ssl-Serverzertifikat - Cisco 7800-Serie Handbuch

Kapitel 4 Bereitstellungsbeispiele
HTTPS-Methode
HTTPS verschlüsselt die Kommunikation zwischen einem Client und einem Server und schützt dadurch
den Nachrichtentext vor anderen Netzwerkgeräten. Die Verschlüsselungsmethode für den Textkörper
der Kommunikation zwischen einem Client und einem Server basiert auf symmetrischen Schlüsseln.
Bei Verwendung der Verschlüsselung mit symmetrischen Schlüsseln nutzen ein Client und ein Server
gemeinsam einen einzigen geheimen Schlüssel über einen sicheren Kanal, der durch die
Verschlüsselung mit öffentlichen und privaten Schlüssel geschützt ist.
Mit einem geheimen Schlüssel verschlüsselte Nachrichten können nur mit demselben Schlüssel
entschlüsselt werden. HTTPS unterstützt eine Vielzahl von symmetrischen
Verschlüsselungsalgorithmen. Das Cisco IP-Telefon kann neben der 128-Bit-RC4-Verschlüsselung eine
symmetrische 256-Bit-Verschlüsselung unter Verwendung des AES-Standards (American Encryption
Standard) implementieren.
HTTPS ermöglicht auch die Authentifizierung eines Servers und eines Clients, die an einer sicheren
Transaktion beteiligt sind. Diese Funktion stellt sicher, dass ein Bereitstellungsserver und einzelne
Clients nicht von anderen Geräten im Netzwerk manipuliert werden können. Diese Funktion ist im
Rahmen der Bereitstellung von Remote-Endpunkten unabdingbar.
Server- und Clientauthentifizierung erfolgen mittels Verschlüsselung mit öffentlichen und privaten
Schlüsseln und mit einem Zertifikat, das den öffentlichen Schlüssel enthält. Text, der mit einem
öffentlichen Schlüssel verschlüsselt worden ist, kann nur mit dem zugehörigen privaten Schlüssel
entschlüsselt werden (und umgekehrt). Das Cisco IP-Telefon unterstützt den Rivest-Shamir-Adleman
(RSA)-Algorithmus für die Verschlüsselung mit öffentlichen und privaten Schlüsseln.

SSL-Serverzertifikat

Für jeden sicheren Bereitstellungsserver wird ein SSL-Serverzertifikat (Secure Sockets Layer)
ausgestellt, das von Cisco direkt signiert wird. Die Firmware, die auf dem Cisco IP-Telefon ausgeführt
wird, erkennt nur Cisco Zertifikate als gültig an. Wenn ein Client über HTTPS eine Verbindung mit
einem Server herstellt, werden alle Serverzertifikate, die nicht von Cisco signiert sind, abgelehnt.
Diese Methode schützt Serviceanbieter vor unbefugten Zugriffen auf das Cisco IP-Telefon und jeglichen
Versuchen, den Bereitstellungsserver zu manipulieren. Ohne einen solchen Schutz könnte ein Angreifer
möglicherweise das Cisco IP-Telefon erneut bereitstellen, um in den Besitz von
Konfigurationsinformationen zu gelangen oder einen anderen VoIP-Dienst zu nutzen. Ohne den privaten
Schlüssel, der zu einem gültigen Serverzertifikat gehört, kann der Angreifer keine Verbindung mit dem
Cisco IP-Telefon herstellen.
Ein Serverzertifikat beziehen
Wenden Sie sich an einen Cisco Support-Mitarbeiter, der Sie beim Beziehen des Zertifikats unterstützt.
Schritt 1
Wenn Sie nicht mit einem bestimmten Support-Mitarbeiter zusammenarbeiten, senden Sie Ihre
Anforderung per E-Mail an ciscosb-certadmin@cisco.com.
Generieren Sie einen privaten Schlüssel für eine CSR (Certificate Signing Request, Anforderung zur
Schritt 2
Zertifikatsignierung). Dieser Schlüssel ist privat, und Sie müssen ihn nicht an den Cisco Support
weitergeben. Generieren Sie den Schlüssel mit dem Open-Source-Programm „openssl". Beispiel:
openssl genrsa -out <file.key> 1024
Generieren Sie eine CSR, die Felder enthält, die Ihr Unternehmen und Ihren Standort identifizieren.
Schritt 3
Beispiel:
openssl req -new -key <file.key> -out <file.csr>
Multiplattform-Telefone der Cisco IP Phone 7800-Serie und 8800-Serie – Bereitstellungshandbuch
Sichere HTTPS-Resynchronisierung
4-11