Https Mit Client-Zertifikat Authentifizieren; Https-Server Für Clientfilterung Und Dynamischen Inhalt Konfigurieren - Cisco 8832 Serie Administratorhandbuch

Bereitstellung Cisco IP-Telefon

HTTPS mit Client-Zertifikat authentifizieren

Prozedur
Schritt 1 Aktivieren Sie die Clientzertifikatauthentifizierung auf dem HTTPS-Server.
Schritt 2
Legen Sie in Apache (v.2) folgende Einstellung in der Serverkonfigurationsdatei fest:
SSLVerifyClient
Stellen Sie außerdem sicher, dass die Datei „spacroot.cert" so gespeichert wurde, wie in der Übung
Grundlegende HTTPS-Resynchronisierung, auf Seite 50
Schritt 3
Starten Sie den HTTPS-Server neu, und beobachten Sie die Syslog-Ablaufverfolgung des Telefons.
Bei jeder Resynchronisierung mit dem Server wird jetzt eine symmetrische Authentifizierung durchgeführt,
sodass das Serverzertifikat und das Clientzertifikat überprüft werden, bevor das Profil übertragen wird.
Schritt 4 Erfassen Sie mit ssldump eine Resynchronisierungsverbindung zwischen dem Telefon und dem HTTPS-Server.
Wenn die Überprüfung des Clientzertifikats auf dem Server ordnungsgemäß aktiviert ist, zeigt die
ssldump-Ablaufverfolgung den symmetrischen Austausch der Zertifikate (zuerst vom Server an den Client
und anschließend vom Client an den Server), bevor die verschlüsselten Pakete, die das Profil enthalten,
übertragen werden.
Wenn die Clientauthentifizierung aktiviert ist, kann nur ein Telefon mit einer MAC-Adresse, die einem gültigen
Clientzertifikat entspricht, das Profil vom Bereitstellungsserver anfordern. Der Server lehnt Anforderungen
von einem normalen Browser oder anderen nicht autorisierten Geräten ab.
HTTPS-Server für Clientfilterung und dynamischen Inhalt konfigurieren
Wenn der HTTPS-Server so konfiguriert ist, dass ein Clientzertifikat erforderlich ist, werden durch die im
Zertifikat enthaltenen Informationen das Telefon, welches die Resynchronisierung durchführt, identifiziert
und die richtigen Konfigurationsinformationen bereitgestellt.
Der HTTPS-Server macht die Zertifikatinformationen für CGI-Skripts (oder kompilierte CGI Programme)
verfügbar, die als Bestandteil der Resynchronisierungsanforderung aufgerufen werden. Zur Veranschaulichung
wird in dieser Übung die Open Source-Skriptsprache Perl verwendet und davon ausgegangen, dass Apache
(v.2) als HTTPS-Server verwendet wird.
Prozedur
Schritt 1 Installieren Sie Perl auf dem Host, auf dem der HTTPS-Server ausgeführt wird.
Schritt 2
Generieren Sie das folgende Perl-Reflector-Skript:
#!/usr/bin/perl -wT
use strict;
print "Content-Type: text/plain\n\n";
print "<flat-profile><GPP_D>";
Administratorhandbuch für Multiplattform-Telefone der Cisco IP-Konferenztelefon 8832-Serie Version 11.3(1) und höher
require
HTTPS mit Client-Zertifikat authentifizieren
gezeigt.
53