Https Mit Clientzertifikatauthentifizierung - Cisco 8832 Serie Administratorhandbuch

HTTPS mit Clientzertifikatauthentifizierung

Schritt 7
Überprüfen Sie, ob der Server ordnungsgemäß funktioniert, indem Sie basic.txt mit einem
Standard-Webbrowser vom HTTPS-Server auf den lokalen PC herunterladen.
Schritt 8
Überprüfen Sie das Serverzertifikat, das der Server bereitstellt.
Der Browser erkennt wahrscheinlich das Zertifikat nicht als gültig an, wenn er nicht so vorkonfiguriert wurde,
dass er Cisco als Stammzertifizierungsstelle akzeptiert. Die Telefone erwarten allerdings ein solches signiertes
Zertifikat.
Ändern Sie den Parameter Profile_Rule des Testgeräts, sodass er einen Verweis auf den HTTPS-Server enthält,
z. B.:
<Profile_Rule>
https://my.server.com/basic.txt
</Profile_Rule>
In diesem Beispiel wird davon ausgegangen, dass der Name des HTTPS-Servers my.server.com lautet.
Schritt 9 Klicken Sie auf Alle Änderungen übernehmen.
Schritt 10
Beachten Sie die Syslog-Ablaufverfolgung, die das Telefon sendet.
Die Syslog-Meldung sollten angeben, dass durch die Resynchronisierung das Profil vom HTTPS-Server
abgerufen wurde.
Schritt 11
(optional) Verwenden Sie einen Ethernet-Protokoll-Analyzer im Telefon-Subnetz, um sicherzustellen, dass
die Pakete verschlüsselt werden.
In dieser Übung wurde die Clientzertifikatverifizierung nicht aktiviert. Die Verbindung zwischen dem Telefon
und dem Server wird verschlüsselt. Die Übertragung ist jedoch nicht sicher, da jeder Client eine Verbindung
mit dem Server herstellen und die Datei abrufen kann, wenn er den Dateinamen und den Speicherort des
Verzeichnisses kennt. Für eine sichere Resynchronisierung muss auch der Server den Client authentifizieren,
wie in der in
wird.
HTTPS mit Clientzertifikatauthentifizierung
In der werksseitigen Standardkonfiguration fordert der Server von Clients kein SSL-Clientzertifikat an. Die
Übertragung des Profils ist nicht sicher, da jeder Client eine Verbindung mit dem Server herstellen und das
Profil anfordern kann. Sie können die Konfiguration bearbeiten, um die Clientauthentifizierung zu aktivieren.
Der Server braucht ein Clientzertifikat, um das Telefon zu authentifizieren, bevor er die
Verbindungsanforderung akzeptiert.
Deswegen kann die Resynchronisierung mit einem Browser, der nicht über die richtigen Anmeldeinformationen
verfügt, nicht unabhängig getestet werden. Der SSL-Schlüsselaustausch in der HTTPS-Verbindung zwischen
dem Testtelefon und dem Server kann mit dem Utility ssldump beobachtet werden. Das Utility trace zeigt die
Interaktion zwischen Client und Server.
Administratorhandbuch für Multiplattform-Telefone der Cisco IP-Konferenztelefon 8832-Serie Version 11.3(1) und höher
52
HTTPS mit Clientzertifikatauthentifizierung, auf Seite 52
Bereitstellung Cisco IP-Telefon
beschriebenen Übung veranschaulicht