Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
adhandbuch:provisionierung:provisionierung_ssl [24.01.2022 16:55] richard.neubertadhandbuch:provisionierung:provisionierung_ssl [22.10.2024 13:11] (aktuell) richard.neubert
Zeile 1: Zeile 1:
-====== Autoprovisionierung verschlüsseln ======+<WRAP>{{tag>gui:Admin-Client func:Provisionierung func:Verschlüsselung}}</WRAP> 
 +<WRAP 1000px>
  
-<WRAP todo 700px>**Baustelle!**\\ 
-Dieser Artikel wird momentan neu erstellt. 
-</WRAP> 
-<WRAP hide> 
  
-Der UCware Server provisioniert [[adhandbuch:provisionierung:supported|unterstützte Telefone]] bei Bedarf automatisch. In diesem Artikel erfahren Sie, wie Sie diesen Prozess per SSL verschlüsseln können.+====== Provisionierung verschlüsseln ======
  
 +Der UCware Server verschlüsselt die Provisionierung [[geraetehandbuch:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.
  
-===== Grundlagen =====+<WRAP tip>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen Sie die verlinkten Herstellerangaben: <WRAP outdent> 
 +  * [[https://service.snom.com/display/wiki/TLS+Support##TLSSupport-Server-Authentifizierung|Snom]] 
 +  * [[https://support.yealink.com/en/portal/docDetail?documentCode=b80bee35e525c111|Yealink]] (Appendix B) 
 +</WRAP></WRAP>
  
 UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln: UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln:
Zeile 16: Zeile 17:
   * mit Überprüfung der Gerätezertifikate   * mit Überprüfung der Gerätezertifikate
  
 +Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren. Diese Methode wird nur für Snom- und Yealink-Geräte unterstützt.
  
-Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren.+Ob und mit welcher Methode eine Verschlüsselung erfolgt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.
  
-Welche Methode zum Einsatz kommt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.+<WRAP tip>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP>
  
-<WRAP tip 700px>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP> 
  
 +===== Webserver konfigurieren =====
  
- +Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Webserver. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:
-===== Web-Server konfigurieren ===== +
- +
-Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Web-Server. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und der gewünschten Verschlüsselungsmethode ab:+
  
 |< 700px 200px - >| |< 700px 200px - >|
Zeile 45: Zeile 44:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Greifen Sie über Secure Shell (SSHauf den UCware Server zu. +  - Greifen Sie per SSH auf den UCware Server zu. 
-  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <WRAP 700px><code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code></WRAP+  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code> 
-  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen:<WRAP 700px><code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code></WRAP>+  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen: <code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code>
   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
-  - Starten Sie den Web-Server neu: <WRAP 700px><code bash>sudo systemctl restart nginx</code></WRAP>+  - Laden Sie den Webserver neu: <code bash>sudo systemctl reload nginx</code>
  
  
 ===== DHCP-Server konfigurieren ===== ===== DHCP-Server konfigurieren =====
  
-<WRAP tip 700px>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>+<WRAP tip>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>
  
 Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an: Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an:
  
 |< 700px 400px - - >| |< 700px 400px - - >|
-^  Methode                                         ^  Protokoll  ^  Port  ^ +^  Methode                                                                                                   ^  Protokoll  ^  Port  ^ 
-| unverschlüsselt                                  |  http        80    | +| unverschlüsselt                                                                                            |  http        80    | 
-| verschlüsselt ohne Prüfung des Gerätezertifikats |  https      |  443   | +| verschlüsselt ohne Prüfung des Gerätezertifikats                                                           |  https      |  443   | 
-| verschlüsselt mit Prüfung des Gerätezertifikats  |  https      |  8443  |+| verschlüsselt mit Prüfung des Gerätezertifikats\\ \\ <wrap tip>Nur für Snom und Yealink verfügbar.</wrap>   https      |  8443  |
  
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <WRAP 700px><code bash>sudo nano /etc/dhcp/dhcpd.conf</code></WRAP+  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <code bash>sudo nano /etc/dhcp/dhcpd.conf</code> 
-  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip 700px>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) bzw. **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}+  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) und **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}
   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.
-  - Wiederholen Sie die Schritte 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.+  - Wiederholen Sie Schritt 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
 +  - Starten Sie den DHCP-Server neu: <code bash>sudo systemctl restart isc-dhcp-server.service</code>
  
  
 ===== UCware Daemon konfigurieren ===== ===== UCware Daemon konfigurieren =====
  
-Um den UCware Daemon für die gewählte Verschlüsselungsmethode zu konfigurieren, gehen Sie wie folgt vor:+Im nächsten Schritt konfigurieren Sie den UCware Daemon.
  
-Gehen Sie wie folgt vor:+Gehen Sie dazu wie folgt vor:
  
-  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <WRAP 700px><code bash>sudo nano /etc/dhcp/dhcpd.conf</code></WRAP+  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <code bash>sudo nano /opt/ucwared/ucwared.conf</code> 
-  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <WRAP 700px><code> +  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <code> 
-protocol = [httph oder https] +protocol = "[http oder https]" 
-host = [Fully-Qualified Domain Name] +host = "[Fully-Qualified Domain Name]" 
-port = [80, 443 oder 8443]</code></WRAP>+port = "[80, 443 oder 8443]"</code>
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
  
Zeile 90: Zeile 90:
 ===== Key-Value-Store konfigurieren ===== ===== Key-Value-Store konfigurieren =====
  
-Um die gewählte Verschlüsselungsmethode im Key-Value-Store des UCware Servers zu konfigurieren, gehen Sie wie folgt vor:+Abschließend konfigurieren Sie den Key-Value Store des UCware Servers.
  
-Gehen Sie wie folgt vor:+Gehen Sie dazu wie folgt vor:
  
-  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Key-Value-Store** auf. +  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > Key-Value-Store** auf. 
-  - Ändern Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode:\\ \\ <WRAP>+  - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>
 |< 700px - - >| |< 700px - - >|
 +^  Schlüssel    ^  Wert                             ^
 |PROV_SCHEME    |''[http oder https]''              | |PROV_SCHEME    |''[http oder https]''              |
 |PROV_HOST      |''[Fully-Qualified Domain Name]''  | |PROV_HOST      |''[Fully-Qualified Domain Name]''  |
 |PROV_PORT      |''[80, 443 oder 8443]''            | |PROV_PORT      |''[80, 443 oder 8443]''            |
 </WRAP><WRAP clear /> </WRAP><WRAP clear />
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?nolink|}}.
  
-Um die Provisionierung zu testen, trennen Sie ein unterstütztes Telefon vom Netzwerk und schließen Sie es erneut an. 
  
 +===== Zertifikat hochladen =====
  
-===== UCware konfigurieren =====+Zur verschlüsselten Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. Im Admin-Client können Sie die entsprechenden Dateien unter{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > SSL-Zertifikat** hochladen. Lesen Sie dazu den Artikel [[adhandbuch:system:ssl_zertifikat|]].
  
-Nach einer+Testen Sie abschließend die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.
  
-<WRAP tip 700px>**Hinweis:**\\ Eigene Zertifikate müssen im PEM-Format vorliegen.</WRAP>  
- 
-Um ein anderes Zertifikat zu verwenden, laden Sie dieses und den zugehörigen Schlüssel im Admin-Client unter{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > SSL-Zertifikat** hoch. 
- 
-{{:adhandbuch:provisionierung:provisionierung_verschluesseln_zertifikat_hochladen.png?700direct|}} 
  
 </WRAP> </WRAP>
- 
-