Provisionierung verschlüsseln

Der UCware Server verschlüsselt die Provisionierung unterstützter Telefone standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.

UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln:

• ohne Überprüfung der Gerätezertifikate
• mit Überprüfung der Gerätezertifikate

Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren. Diese Methode wird nur für Snom- und Yealink-Geräte unterstützt.

Ob und mit welcher Methode eine Verschlüsselung erfolgt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.

Webserver konfigurieren

Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Webserver. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:

Gehen Sie wie folgt vor:

1. Greifen Sie per SSH auf den UCware Server zu.
2. Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen:

   sudo rm /etc/nginx/http*.d/5*-prov-*.conf

3. Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen:

   sudo ln -s [Verknüpfungsziel] [Speicherort]

4. Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
5. Laden Sie den Webserver neu:

   sudo systemctl reload nginx

DHCP-Server konfigurieren

Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an:

Gehen Sie wie folgt vor:

1. Öffnen Sie die Datei /etc/dhcp/dhcpd.conf mit einem Texteditor, z. B. Nano:

   sudo nano /etc/dhcp/dhcpd.conf

2. Scrollen Sie zum Bereich des gewünschten Herstellers.
   
   

   Hinweis:
   Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen Snom (für Tischtelefone) und Snom IPDECT.

   

3. Passen Sie in der Zeile option tftp-server-name […] das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
4. Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den Fully-Qualified Domain Name.
5. Wiederholen Sie Schritt 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
6. Speichern Sie die Änderungen.
7. Starten Sie den DHCP-Server neu:

   sudo systemctl restart isc-dhcp-server.service

UCware Daemon konfigurieren

Im nächsten Schritt konfigurieren Sie den UCware Daemon.

Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Datei /opt/ucwared/ucwared.conf mit einem Texteditor:

   sudo nano /opt/ucwared/ucwared.conf

2. Ersetzen bzw. ergänzen Sie im Bereich [provisioning] die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode:

   protocol = "[http oder https]"
   host = "[Fully-Qualified Domain Name]"
   port = "[80, 443 oder 8443]"

3. Speichern Sie die Änderungen.

Key-Value-Store konfigurieren

Abschließend konfigurieren Sie den Key-Value Store des UCware Servers.

Gehen Sie dazu wie folgt vor:

1. Rufen Sie im Admin-Client die DetailseiteSystem > Key-Value-Store auf.
2. Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:
   
   

   Schlüssel	Wert
   PROV_SCHEME	[http oder https]
   PROV_HOST	[Fully-Qualified Domain Name]
   PROV_PORT	[80, 443 oder 8443]
3. Übernehmen Sie die Einstellungen mit .

Zertifikat hochladen

Zur verschlüsselten Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. Im Admin-Client können Sie die entsprechenden Dateien unterSystem > SSL-Zertifikat hochladen. Lesen Sie dazu den Artikel Zertifikat bereitstellen.

Testen Sie abschließend die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.