Rfc-8188-Basierte Http-Inhaltsverschlüsselung - Cisco 8832 Serie Administratorhandbuch

RFC-8188-basierte HTTP-Inhaltsverschlüsselung
Wenn server nicht angegeben wird, wird der über DHCP (Option 66) angegebene TFTP-Server verwendet.
Hinweis
Für Upgrade-Regeln muss der Server angegeben werden.
Wenn port nicht angegeben wird, wird der Standard-Port für das angegebene Schema verwendet. TFTP
verwendet UDP-Port 69, HTTP verwendet TCP-Port 80, HTTPS verwendet TCP-Port 443.
Es muss ein Dateipfad vorhanden sein. Dieser muss nicht unbedingt zu einer statischen Datei verweisen,
sondern kann dynamischen Inhalt angeben, der über CGI abgerufen wird.
Die Makroerweiterung gilt innerhalb von URLs. Im Folgenden erhalten Sie Beispiele für gültige URLs:
/$MA.cfg
/cisco/cfg.xml
192.168.1.130/profiles/init.cfg
tftp://prov.call.com/cpe/cisco$MA.cfg
http://neptune.speak.net:8080/prov/$D/$E.cfg
https://secure.me.com/profile?Linksys
Beim Verwenden der DHCP-Option 66 wird die leere Syntax nicht von der Upgrade-Regel unterstützt. Dies
gilt nur für Profile Rule*.
RFC-8188-basierte HTTP-Inhaltsverschlüsselung
Das Telefon unterstützt die RFC 8188-basierte HTTP-Inhaltsverschlüsselung mit AES-128-GCM-Schlüssel
für Konfigurationsdateien. Mit dieser Verschlüsselungsmethode kann jede Entität die HTTP-Nachrichten-Header
lesen. Nur die Entitäten, die das Input Keying Material (IKM) kennen, können die Nutzlast lesen. Wenn das
Telefon mit IKM bereitgestellt wird, können das Telefon und der Bereitstellungsserver Konfigurationsdateien
sicher austauschen und Netzwerkelementen von Drittanbietern gleichzeitig ermöglichen, die Nachrichten-Header
zu Analyse- und Überwachungszwecken zu verwenden.
Der XML-Konfigurationsparameter IKM_HTTP_Encrypt_Content enthält das IKM auf dem Telefon.
Aus Sicherheitsgründen ist dieser Parameter nicht auf der Webseite der Telefon-Verwaltung zugänglich. Er
ist ebenfalls nicht in der Konfigurationsdatei des Telefons sichtbar, auf die Sie über die IP-Adresse des Telefons
oder über die Konfigurationsberichte des Telefons zugreifen können, die an den Bereitstellungsserver gesendet
werden.
Wenn Sie die RFC 8188-basierte Verschlüsselung verwenden, stellen Sie Folgendes sicher:
• Stellen Sie das Telefon mit dem IKM bereit, indem Sie das IKM mit dem XML-Parameter
• Wenn diese Verschlüsselung auf die vom Bereitstellungsserver an das Telefon gesendeten
• Wenn das Telefon diese Verschlüsselung auf die Konfigurationsberichte anwenden soll, die es an den
Administratorhandbuch für Multiplattform-Telefone der Cisco IP-Konferenztelefon 8832-Serie Version 11.3(1) und höher
84
IKM_HTTP_Encrypt_Content in der Konfigurationsdatei angeben, die vom Bereitstellungsserver
an das Telefon gesendet wird.
Konfigurationsdateien angewendet wird, stellen Sie sicher, dass der HTTP-Header der Inhalts-Codierung
in der Konfigurationsdatei „aes128gcm" aufweist.
Ohne diesen Header erhält die AES-256-CBC-Methode Vorrang. Ungeachtet des IKM wendet das Telefon
die AES-256-CBC-Entschlüsselung an, wenn ein AES-256-Schlüssel in einer Profilregel vorhanden ist.
Bereitstellungsserver sendet, stellen Sie sicher, dass kein AES-256-CBC-Schlüssel in der Berichtsregel
angegeben ist.
Bereitstellung Cisco IP-Telefon