Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
adhandbuch:provisionierung:provisionierung_ssl [16.01.2023 10:02] richard.neubertadhandbuch:provisionierung:provisionierung_ssl [20.02.2024 15:34] (aktuell) richard.neubert
Zeile 1: Zeile 1:
 +<WRAP>{{tag>gui:Admin-Client func:Provisionierung func:Verschlüsselung}}</WRAP>
 +<WRAP 1000px>
 +
 +
 ====== Provisionierung verschlüsseln ====== ====== Provisionierung verschlüsseln ======
  
-Der UCware Server verschlüsselt die Provisionierung [[adhandbuch:provisionierung:geraete:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.+Der UCware Server verschlüsselt die Provisionierung [[geraetehandbuch:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.
  
-<WRAP tip 700px>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen die verlinkten Herstellerangaben:<WRAP outdent>+<WRAP tip>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen die verlinkten Herstellerangaben: <WRAP outdent>
   * [[https://service.snom.com/display/wiki/TLS+Support##TLSSupport-Server-Authentifizierung|Snom]]   * [[https://service.snom.com/display/wiki/TLS+Support##TLSSupport-Server-Authentifizierung|Snom]]
   * [[https://support.yealink.com/en/portal/docDetail?documentCode=b80bee35e525c111|Yealink]] (Appendix B)   * [[https://support.yealink.com/en/portal/docDetail?documentCode=b80bee35e525c111|Yealink]] (Appendix B)
Zeile 17: Zeile 21:
 Ob und mit welcher Methode eine Verschlüsselung erfolgt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest. Ob und mit welcher Methode eine Verschlüsselung erfolgt, legen Sie über die Konfiguration des Web- und des DHCP-Servers auf der Telefonanlage fest.
  
-<WRAP tip 700px>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP>+<WRAP tip>**Hinweis:**\\ Aktivieren Sie stets nur eine oder keine der beiden Verschlüsselungsmethoden.</WRAP>
  
  
-===== Web-Server konfigurieren =====+===== Webserver konfigurieren =====
  
-Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Web-Server. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:+Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Webserver. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:
  
 |< 700px 200px - >| |< 700px 200px - >|
Zeile 40: Zeile 44:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Greifen Sie über Secure Shell (SSHauf den UCware Server zu. +  - Greifen Sie per SSH auf den UCware Server zu. 
-  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <WRAP 700px><code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code></WRAP+  - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code> 
-  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen:<WRAP 700px><code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code></WRAP>+  - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen: <code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code>
   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
-  - Starten Sie den Web-Server neu: <WRAP 700px><code bash>sudo systemctl restart nginx</code></WRAP>+  - Laden Sie den Webserver neu: <code bash>sudo systemctl reload nginx</code>
  
  
 ===== DHCP-Server konfigurieren ===== ===== DHCP-Server konfigurieren =====
  
-<WRAP tip 700px>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>+<WRAP tip>**Hinweis:**\\ Die folgenden Schritte gelten für den integrierten DHCP-Server der Telefonanlage. Wenn Sie den Dienst anderweitig hosten, weicht die Vorgehensweise ab.</WRAP>
  
 Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an: Nachdem Sie die gewünschte Verschlüsselungsmethode aktiviert haben, konfigurieren Sie den DHCP-Server. Dazu passen Sie das Protokoll und den Port für die Provisionierung entsprechend an:
Zeile 61: Zeile 65:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <WRAP 700px><code bash>sudo nano /etc/dhcp/dhcpd.conf</code></WRAP+  - Öffnen Sie die Datei **/etc/dhcp/dhcpd.conf** mit einem Texteditor, z. B. Nano: <code bash>sudo nano /etc/dhcp/dhcpd.conf</code> 
-  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip 700px>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) und **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}+  - Scrollen Sie zum Bereich des gewünschten Herstellers.\\ \\ <WRAP tip>**Hinweis:**\\ Für Tisch- und DECT-Telefone von Snom erfolgt die Konfiguration getrennt in den Bereichen **Snom** (für Tischtelefone) und **Snom IPDECT**.</WRAP> {{:adhandbuch:provisionierung:provisionierung_verschluesseln_dhcp.png?700direct|}}
   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.
-  - Wiederholen Sie die Schritte 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.+  - Wiederholen Sie Schritt 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
 +  - Starten Sie den DHCP-Server neu: <code bash>sudo systemctl restart isc-dhcp-server.service</code>
  
  
Zeile 75: Zeile 80:
 Gehen Sie dazu wie folgt vor: Gehen Sie dazu wie folgt vor:
  
-  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <WRAP 700px><code bash>sudo nano /opt/ucwared/ucwared.conf</code></WRAP+  - Öffnen Sie die Datei **/opt/ucwared/ucwared.conf** mit einem Texteditor: <code bash>sudo nano /opt/ucwared/ucwared.conf</code> 
-  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <WRAP 700px><code>+  - Ersetzen bzw. ergänzen Sie im Bereich **[provisioning]** die folgenden Zeilen gemäß der gewählten Verschlüsselungsmethode: <code>
 protocol = "[http oder https]" protocol = "[http oder https]"
 host = "[Fully-Qualified Domain Name]" host = "[Fully-Qualified Domain Name]"
-port = "[80, 443 oder 8443]"</code></WRAP>+port = "[80, 443 oder 8443]"</code>
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
  
Zeile 89: Zeile 94:
 Gehen Sie dazu wie folgt vor: Gehen Sie dazu wie folgt vor:
  
-  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Key-Value-Store** auf.+  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > Key-Value-Store** auf.
   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>
 |< 700px - - >| |< 700px - - >|
Zeile 97: Zeile 102:
 |PROV_PORT      |''[80, 443 oder 8443]''            | |PROV_PORT      |''[80, 443 oder 8443]''            |
 </WRAP><WRAP clear /> </WRAP><WRAP clear />
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?nolink|}}.
  
  
 ===== Zertifikat hochladen ===== ===== Zertifikat hochladen =====
  
-Für eine verschlüsselte Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. +Zur verschlüsselten Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. Im Admin-Client können Sie die entsprechenden Dateien unter{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > SSL-Zertifikat** hochladenLesen Sie dazu den Artikel [[adhandbuch:system:ssl_zertifikat|]].
- +
-Laden Sie dieses und den zugehörigen Schlüssel im Admin-Client unter{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > SSL-Zertifikat** hoch. +
- +
-{{:adhandbuch:provisionierung:provisionierung_verschluesseln_zertifikat_hochladen.png?700direct|}}+
  
-Testen Sie nun die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.+Testen Sie abschließend die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.
  
  
 +</WRAP>