Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
adhandbuch:provisionierung:provisionierung_ssl [25.01.2022 08:32] – [Autoprovisionierung verschlüsseln] richard.neubertadhandbuch:provisionierung:provisionierung_ssl [20.02.2024 15:34] (aktuell) richard.neubert
Zeile 1: Zeile 1:
-====== Autoprovisionierung verschlüsseln ======+<WRAP>{{tag>gui:Admin-Client func:Provisionierung func:Verschlüsselung}}</WRAP> 
 +<WRAP 1000px>
  
-Der UCware Srever verschlüsselt die Provisionierung [[adhandbuch:provisionierung:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Bei Bedarf könenn Sie Sie können dieses Bei Sie können Dieses können Sie bei Bedarf durch ein ca-signiertes Zertifikat ersetzenSie können dieses durch ein  
  
- Hierfür wird im Auslieferungszustand ein selbstsigniertes Zertifikat verwendet. Dieses kann gegen ein beliebiges Zertifikat ausgetauscht werden. +====== Provisionierung verschlüsseln ======
  
-===== Grundlagen =====+Der UCware Server verschlüsselt die Provisionierung [[geraetehandbuch:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen. 
 + 
 +<WRAP tip>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen die verlinkten Herstellerangaben: <WRAP outdent> 
 +  * [[https://service.snom.com/display/wiki/TLS+Support##TLSSupport-Server-Authentifizierung|Snom]] 
 +  * [[https://support.yealink.com/en/portal/docDetail?documentCode=b80bee35e525c111|Yealink]] (Appendix B) 
 +</WRAP></WRAP>
  
 UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln: UCware bietet zwei Methoden, um die Autoprovisonierung zu verschlüsseln:
Zeile 12: Zeile 17:
   * mit Überprüfung der Gerätezertifikate   * mit Überprüfung der Gerätezertifikate
  
 +Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren. Diese Methode wird nur für Snom- und Yealink-Geräte unterstützt.
  
-Im zweiten Fall müssen sich die angeschlossenen Geräte als zum jeweiligen Hersteller gehörig authentisieren.+Ob und mit welcher Methode eine Verschlüsselung erfolgt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.
  
-Welche Methode zum Einsatz kommt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.+<WRAP tip>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP>
  
-<WRAP tip 700px>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP> 
  
 +===== Webserver konfigurieren =====
  
- +Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Webserver. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:
-===== Web-Server konfigurieren ===== +
- +
-Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Web-Server. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und der gewünschten Verschlüsselungsmethode ab:+
  
 |< 700px 200px - >| |< 700px 200px - >|
Zeile 41: Zeile 44:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Greifen Sie über Secure Shell (SSHauf den UCware Server zu. +  - Greifen Sie per SSH auf den UCware Server zu. 
-  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <WRAP 700px><code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code></WRAP+  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code> 
-  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen:<WRAP 700px><code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code></WRAP>+  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen: <code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code>
   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
-  - Starten Sie den Web-Server neu: <WRAP 700px><code bash>sudo systemctl restart nginx</code></WRAP>+  - Laden Sie den Webserver neu: <code bash>sudo systemctl reload nginx</code>
  
  
 ===== DHCP-Server konfigurieren ===== ===== DHCP-Server konfigurieren =====
  
-<WRAP tip 700px>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>+<WRAP tip>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>
  
 Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an: Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an:
Zeile 62: Zeile 65:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <WRAP 700px><code bash>sudo nano /etc/dhcp/dhcpd.conf</code></WRAP+  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <code bash>sudo nano /etc/dhcp/dhcpd.conf</code> 
-  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip 700px>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) und **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}+  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) und **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}
   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.
-  - Wiederholen Sie die Schritte 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.+  - Wiederholen Sie Schritt 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
 +  - Starten Sie den DHCP-Server neu: <code bash>sudo systemctl restart isc-dhcp-server.service</code>
  
  
Zeile 76: Zeile 80:
 Gehen Sie dazu wie folgt vor: Gehen Sie dazu wie folgt vor:
  
-  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <WRAP 700px><code bash>sudo nano /etc/dhcp/dhcpd.conf</code></WRAP+  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <code bash>sudo nano /opt/ucwared/ucwared.conf</code> 
-  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <WRAP 700px><code> +  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <code> 
-protocol = [httph oder https] +protocol = "[http oder https]" 
-host = [Fully-Qualified Domain Name] +host = "[Fully-Qualified Domain Name]" 
-port = [80, 443 oder 8443]</code></WRAP>+port = "[80, 443 oder 8443]"</code>
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
  
Zeile 86: Zeile 90:
 ===== Key-Value-Store konfigurieren ===== ===== Key-Value-Store konfigurieren =====
  
-Abschließend konfigurieren Sie den Key-Value StoreUm die gewählte Verschlüsselungsmethode im Key-Value-Store des UCware Servers.+Abschließend konfigurieren Sie den Key-Value Store des UCware Servers.
  
 Gehen Sie dazu wie folgt vor: Gehen Sie dazu wie folgt vor:
  
-  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Key-Value-Store** auf.+  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > Key-Value-Store** auf.
   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>
 |< 700px - - >| |< 700px - - >|
Zeile 98: Zeile 102:
 |PROV_PORT      |''[80, 443 oder 8443]''            | |PROV_PORT      |''[80, 443 oder 8443]''            |
 </WRAP><WRAP clear /> </WRAP><WRAP clear />
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?nolink|}}.
  
  
-===== Neues Zertifikat hochladen =====+===== Zertifikat hochladen =====
  
-Nach einer+Zur verschlüsselten Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. Im Admin-Client können Sie die entsprechenden Dateien unter{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > SSL-Zertifikat** hochladen. Lesen Sie dazu den Artikel [[adhandbuch:system:ssl_zertifikat|]].
  
-<WRAP tip 700px>**Hinweis:**\\ Eigene Zertifikate müssen im PEM-Format vorliegen.</WRAP> +Testen Sie abschließend die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.
  
-Um ein anderes Zertifikat zu verwenden, laden Sie dieses und den zugehörigen Schlüssel im Admin-Client unter{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > SSL-Zertifikat** hoch. 
- 
-{{:adhandbuch:provisionierung:provisionierung_verschluesseln_zertifikat_hochladen.png?700direct|}} 
  
 </WRAP> </WRAP>
- 
-