Ssl-Serverzertifikat; Beziehen Eines Serverzertifikats - Cisco 8832 Serie Administratorhandbuch

Bereitstellung Cisco IP-Telefon
Mit einem geheimen Schlüssel verschlüsselte Nachrichten können nur mit demselben Schlüssel entschlüsselt
werden. HTTPS unterstützt eine Vielzahl von symmetrischen Verschlüsselungsalgorithmen. Das Telefon
kann neben der 128-Bit-RC4-Verschlüsselung eine symmetrische 256-Bit-Verschlüsselung unter Verwendung
von AES (American Encryption Standard) implementieren.
HTTPS ermöglicht auch die Authentifizierung eines Servers und eines Clients, die an einer sicheren Transaktion
beteiligt sind. Diese Funktion stellt sicher, dass ein Bereitstellungsserver und einzelne Clients nicht von
anderen Geräten im Netzwerk manipuliert werden können. Diese Funktion ist im Rahmen der Bereitstellung
von Remote-Endpunkten unabdingbar.
Server- und Clientauthentifizierung erfolgen mittels Verschlüsselung mit öffentlichen und privaten Schlüsseln
und mit einem Zertifikat, das den öffentlichen Schlüssel enthält. Text, der mit einem öffentlichen Schlüssel
verschlüsselt worden ist, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden (und
umgekehrt). Das Telefon unterstützt den Rivest-Shamir-Adleman (RSA)-Algorithmus für die Verschlüsselung
mit öffentlichen und privaten Schlüsseln.

SSL-Serverzertifikat

Für jeden sicheren Bereitstellungsserver wird ein SSL-Serverzertifikat (Secure Sockets Layer) ausgestellt,
das von Cisco direkt signiert wird. Die Firmware, die auf dem Telefon ausgeführt wird, erkennt nur Cisco
Zertifikate als gültig an. Wenn ein Client über HTTPS eine Verbindung mit einem Server herstellt, werden
alle Serverzertifikate, die nicht von Cisco signiert sind, abgelehnt.
Diese Methode schützt Serviceanbieter vor unbefugten Zugriffen auf das Telefon und jeglichen Versuchen,
den Bereitstellungsserver zu manipulieren. Ohne einen solchen Schutz könnte ein Angreifer möglicherweise
das Telefon erneut bereitstellen, um in den Besitz von Konfigurationsinformationen zu gelangen oder einen
anderen VoIP-Dienst zu nutzen. Ohne den privaten Schlüssel, der zu einem gültigen Serverzertifikat gehört,
kann der Angreifer keine Kommunikation mit einem Telefon aufbauen.

Beziehen eines Serverzertifikats

Prozedur
Schritt 1
Wenden Sie sich an einen Cisco Support-Mitarbeiter, der Sie beim Beziehen des Zertifikats unterstützt. Wenn
Sie nicht mit einem bestimmten Support-Mitarbeiter zusammenarbeiten, senden Sie Ihre Anforderung per
E-Mail an ciscosb-certadmin@cisco.com.
Schritt 2 Generieren Sie einen privaten Schlüssel für eine CSR (Certificate Signing Request, Anforderung zur
Zertifikatsignierung). Dieser Schlüssel ist privat, und Sie müssen ihn nicht an den Cisco Support weitergeben.
Generieren Sie den Schlüssel mit dem Open-Source-Programm „openssl". Beispiel:
openssl genrsa -out <file.key> 1024
Schritt 3 Generieren Sie eine CSR, die Felder enthält, die Ihr Unternehmen und Ihren Standort identifizieren. Beispiel:
openssl req -new -key <file.key> -out <file.csr>
Sie benötigen die folgende Informationen:
• Betrefffeld: Geben Sie den allgemeinen Namen (CN) in Form eines vollständigen Domänennamens
• Serverhost-Name: Beispiel: provserv.domain.com.
Administratorhandbuch für Multiplattform-Telefone der Cisco IP-Konferenztelefon 8832-Serie Version 11.3(1) und höher
(FQDN, Fully Qualified Domain Name) ein. Während des SSL-Authentifizierungshandshake prüft das
Telefon, ob das Zertifikat, das es erhält, von dem Computer stammt, der es übermittelt hat.
SSL-Serverzertifikat
55