Inhaltsverzeichnis
Werbung
Interne Vorabbereitstellung und Bereitstellungsserver
HTTPS-Bereitstellung
Phone 7832-Multiplattform-Telefone unterstützen auch von Drittanbietern signierte Zertifikate, z. B. von
Verisign, Cybertrust usw.
Das eindeutige Clientzertifikat, das jedes Gerät während einer HTTPS-Sitzung anbietet, enthält identifizierende
Informationen, die in das Betrefffeld eingebettet sind. Diese Informationen können vom HTTPS-Server für
ein CGI-Skript, das zum Bearbeiten sicherer Anforderungen aufgerufen wird, verfügbar gemacht werden.
Der Zertifikatbetreff gibt den Produktnamen des Geräts (OU-Element), die MAC-Adresse (S-Element) und
die Seriennummer (L-Element) an. Das folgende Beispiel aus dem Betrefffeld des Clientzertifikats für
Multiplattform-Telefone vom Typ Cisco IP Phone 7832 enthält die folgenden Elemente:
OU=CP-7832-3PCC, L=88012BA01234, S=000e08abcdef
Geräte, die vor Firmware 2.0.x hergestellt wurden, enthalten keine individuellen SSL-Clientzertifikate. Wenn
diese Geräte auf eine Firmware-Version in der Struktur 2.0.x aktualisiert werden, können sie eine Verbindung
mit einem sicheren Server, der HTTPS verwendet, herstellen, sind jedoch nur in der Lage, ein generisches
Clientzertifikat bereitzustellen, wenn der Server sie dazu anfordert. Diese generische Zertifikat enthält in den
identifizierenden Feldern die folgende Informationen:
OU=cisco.com, L=ciscogeneric, S=ciscogeneric
Um festzustellen, ob ein Cisco IP Phone über ein individualisiertes Zertifikat verfügt, verwenden Sie die
Bereitstellungsmakrovariable $CCERT. Je nachdem, ob ein eindeutiges Clientzertifikat vorhanden ist, wird
der Variablenwert zu „Installiert" oder „Nicht installiert" erweitert. Bei Verwendung eines generischen
Zertifikats kann die Seriennummer des Geräts dem Feld „User-Agent" im HTTP-Anfrage-Header entnommen
werden.
HTTPS-Server können so konfiguriert werden, dass sie SSL-Zertifikate von sich verbindenden Clients
anfordern. Wenn die entsprechende Funktion aktiviert ist, kann der Server das Sipura
CA-Client-Stammzertifikat, das Cisco bereitstellt, verwenden, um das Clientzertifikat zu überprüfen. Der
Server kann die Zertifikatinformationen dann einem CGI-Skript zur weiteren Verarbeitung übergeben.
Der Speicherort des Zertifikatspeichers ist nicht bei allen Systemen gleich. In einer Apache-Installation lauten
die Dateipfade zur Speicherung des vom Bereitstellungsserver signierten Zertifikats, des zugehörigen privaten
Schlüssels und des Sipura CA-Client-Stammzertifikats wie folgt:
# Server Certificate:
SSLCertificateFile /etc/httpd/conf/provserver.crt
# Server Private Key:
SSLCertificateKeyFile /etc/httpd/conf/provserver.key
# Certificate Authority (CA):
SSLCACertificateFile /etc/httpd/conf/spacroot.crt
Weitere Informationen finden Sie in der Dokumentation zu einem HTTPS-Server.
Die Cisco Stammzertifizierungsstelle für Clientzertifikate signiert jedes eindeutige Zertifikat. Das entsprechende
Stammzertifikat wird den Serviceanbietern für die Clientauthentifizierung zur Verfügung gestellt.
Redundante Bereitstellungsserver
Der Bereitstellungsserver kann als IP-Adresse oder als vollqualifizierter Domänennamen (FQDN) angegeben
werden. Die Verwendung eines FQDN erleichtert die Bereitstellung redundanter Bereitstellungsserver. Wenn
der Bereitstellungsserver durch einen FQDN identifiziert wird, versucht das Cisco IP Phone den FQDN über
DNS zu einer IP-Adresse aufzulösen. Für die Bereitstellung werden nur DNS A-Einträge unterstützt. Die
DNS-SRV-Adressauflösung ist für die Bereitstellung nicht verfügbar. Das Cisco IP Phone fährt mit der
Cisco IP Conference Phone 7832-Multiplattform-Telefone Bereitstellungshandbuch
44
Werbung
Kapitel
Inhaltsverzeichnis
