Metainformationen zur Seite
  •  
Buch erstellen
 Diese Seite zum Buch hinzufügen
Buch erstellen
 Diese Seite aus Buch entfernen  

 Buch anzeigen, ändern(0 Seite/n)
 Hilfe

Dies ist eine alte Version des Dokuments!

Autoprovisionierung verschlüsseln

Baustelle!
Dieser Artikel wird momentan neu erstellt.

Der UCware Server provisioniert unterstützte Telefone bei Bedarf automatisch. In diesem Artikel erfahren Sie, wie Sie diesen Prozess per SSL verschlüsseln können.

Grundlagen

UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln:

  • ohne Überprüfung der Gerätezertifikate
  • mit Überprüfung der Gerätezertifikate

Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren.

Welche Methode zum Einsatz kommt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.

Hinweis:
Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.

Web-Server konfigurieren

Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Web-Server. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und der gewünschten Verschlüsselungsmethode ab:

Hersteller Verknüpfungsziel
Snom /etc/nginx/locations.d/50-prov-snom.conf
Yealink /etc/nginx/locations.d/52-prov-tiptel-yealink.conf
Gigaset /etc/nginx/locations.d/51-prov-gigaset.conf
Methode Speicherort
unverschlüsselt /etc/nginx/http.d/
verschlüsselt ohne Prüfung des Gerätezertifikats /etc/nginx/https.d/
verschlüsselt mit Prüfung des Gerätezertifikats

Nur für Snom und Yealink verfügbar. 		/etc/nginx/https-alt.d/

Gehen Sie wie folgt vor:

  1. Greifen Sie über Secure Shell (SSH) auf den UCware Server zu.
  2. Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: 
    sudo rm /etc/nginx/http*.d/5*-prov-*.conf
  3. Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen:
    sudo ln -s [Verknüpfungsziel] [Speicherort]
  4. Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
  5. Starten Sie den Web-Server neu: 
    sudo systemctl restart nginx

DHCP-Server konfigurieren

Hinweis:
Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.

Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an:

Methode Protokoll Port
unverschlüsselt http 80
verschlüsselt ohne Prüfung des Gerätezertifikats https 443
verschlüsselt mit Prüfung des Gerätezertifikats https 8443

Gehen Sie wie folgt vor:

  1. Öffnen Sie die Datei /etc/dhcp/dhcpd.conf mit einem Texteditor, z. B. Nano: 
    sudo nano /etc/dhcp/dhcpd.conf
  2. Scrollen Sie zum Bereich des gewünschten Herstellers.

    Hinweis:
    Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen Snom (für Tischtelefone) bzw. Snom IPDECT.

  3. Passen Sie in der Zeile option tftp-server-name […] das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
  4. Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den Fully-Qualified Domain Name.
  5. Wiederholen Sie die Schritte 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
  6. Speichern Sie die Änderungen.

UCware Daemon konfigurieren

Um den UCware Daemon für die gewählte Verschlüsselungsmethode zu konfigurieren, gehen Sie wie folgt vor:

Gehen Sie wie folgt vor:

  1. Öffnen Sie die Datei /opt/ucwared/ucwared.conf mit einem Texteditor: 
    sudo nano /etc/dhcp/dhcpd.conf
  2. Ersetzen bzw. ergänzen Sie im Bereich [provisioning] die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: 
    protocol = [httph oder https]
host = [Fully-Qualified Domain Name]
port = [80, 443 oder 8443]
  3. Speichern Sie die Änderungen.

Key-Value-Store konfigurieren

Um die gewählte Verschlüsselungsmethode im Key-Value-Store des UCware Servers zu konfigurieren, gehen Sie wie folgt vor:

Gehen Sie wie folgt vor:

  1. Rufen Sie im Admin-Client die DetailseiteSystem > Key-Value-Store auf.
  2. Ändern Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode:

    PROV_SCHEME [http oder https]
    PROV_HOST [Fully-Qualified Domain Name]
    PROV_PORT [80, 443 oder 8443]
  3. Übernehmen Sie die Einstellungen mit .

Um die Provisionierung zu testen, trennen Sie ein unterstütztes Telefon vom Netzwerk und schließen Sie es erneut an.

UCware konfigurieren

Nach einer

Hinweis:
Eigene Zertifikate müssen im PEM-Format vorliegen.

Um ein anderes Zertifikat zu verwenden, laden Sie dieses und den zugehörigen Schlüssel im Admin-Client unterSystem > SSL-Zertifikat hoch.