Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
adhandbuch:provisionierung:provisionierung_ssl [19.04.2023 09:51] richard.neubertadhandbuch:provisionierung:provisionierung_ssl [20.02.2024 15:34] (aktuell) richard.neubert
Zeile 1: Zeile 1:
-<WRAP hide>{{tag>[gui:Admin-Client func:Provisionierung func:Verschlüsselung]}}</WRAP>+<WRAP>{{tag>gui:Admin-Client func:Provisionierung func:Verschlüsselung}}</WRAP>
 <WRAP 1000px> <WRAP 1000px>
  
Zeile 5: Zeile 5:
 ====== Provisionierung verschlüsseln ====== ====== Provisionierung verschlüsseln ======
  
-Der UCware Server verschlüsselt die Provisionierung [[adhandbuch:provisionierung:geraete:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.+Der UCware Server verschlüsselt die Provisionierung [[geraetehandbuch:supported|unterstützter Telefone]] standardmäßig mit einem selbstsignierten Zertifikat. Um die Sicherheit zu erhöhen, können Sie stattdessen ein eigenes CA-signiertes Zertifikat auf dem UCware Server bereitstellen.
  
 <WRAP tip>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen die verlinkten Herstellerangaben: <WRAP outdent> <WRAP tip>**Hinweis:**\\ Das Zertifikat muss im PEM-Format vorliegen. Zu akzeptierten CAs der Geräte lesen die verlinkten Herstellerangaben: <WRAP outdent>
Zeile 24: Zeile 24:
  
  
-===== Web-Server konfigurieren =====+===== Webserver konfigurieren =====
  
-Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Web-Server. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:+Um die Verschlüsselung zu (de)aktivieren, erstellen Sie eine symbolische Verknüpfung auf dem Webserver. Ziel und Speicherort der Verknüpfung hängen dabei vom Hersteller der angeschlossenen Telefone und von der gewünschten Verschlüsselungsmethode ab:
  
 |< 700px 200px - >| |< 700px 200px - >|
Zeile 44: Zeile 44:
 Gehen Sie wie folgt vor: Gehen Sie wie folgt vor:
  
-  - Greifen Sie über Secure Shell (SSHauf den UCware Server zu.+  - Greifen Sie per SSH auf den UCware Server zu.
   - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code>   - Deaktivieren Sie die aktuelle Verschlüsselungsmethode, indem Sie alle zugehörigen Verknüpfungen löschen: <code bash>sudo rm /etc/nginx/http*.d/5*-prov-*.conf</code>
   - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen: <code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code>   - Aktivieren Sie die neue Methode, indem Sie eine Verknüpfung mit dem zugehörigen Ziel im zugehörigen Verzeichnis erstellen: <code bash>sudo ln -s [Verknüpfungsziel] [Speicherort]</code>
   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.   - Wiederholen Sie Schritt 3 für alle gewünschten Geräte-Hersteller.
-  - Starten Sie den Web-Server neu: <code bash>sudo systemctl restart nginx</code>+  - Laden Sie den Webserver neu: <code bash>sudo systemctl reload nginx</code>
  
  
Zeile 69: Zeile 69:
   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.   - Passen Sie in der Zeile ''option tftp-server-name [...]'' das Protokoll und den Port gemäß der aktiven Verschlüsselungsmethode an.
   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.   - Für die Provisionierung über HTTPS ersetzen Sie zusätzlich die IP-Adresse des UCware Servers durch den **Fully-Qualified Domain Name**.
-  - Wiederholen Sie die Schritte 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.+  - Wiederholen Sie Schritt 2 bis 4 bei Bedarf für weitere Hersteller bzw. Geräte-Typen.
   - Speichern Sie die Änderungen.   - Speichern Sie die Änderungen.
 +  - Starten Sie den DHCP-Server neu: <code bash>sudo systemctl restart isc-dhcp-server.service</code>
  
  
Zeile 93: Zeile 94:
 Gehen Sie dazu wie folgt vor: Gehen Sie dazu wie folgt vor:
  
-  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > Key-Value-Store** auf.+  - Rufen Sie im Admin-Client die Detailseite{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > Key-Value-Store** auf.
   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>   - Passen Sie die Werte der folgenden Schlüssel gemäß der gewählten Verschlüsselungsmethode an:\\ \\ <WRAP>
 |< 700px - - >| |< 700px - - >|
Zeile 101: Zeile 102:
 |PROV_PORT      |''[80, 443 oder 8443]''            | |PROV_PORT      |''[80, 443 oder 8443]''            |
 </WRAP><WRAP clear /> </WRAP><WRAP clear />
-  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?direct|}}.+  - Übernehmen Sie die Einstellungen mit {{:adhandbuch:button_speichern_blau_alpha.png?nolink|}}.
  
  
 ===== Zertifikat hochladen ===== ===== Zertifikat hochladen =====
  
-Für eine verschlüsselte Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format.+Zur verschlüsselten Provisionierung mit und ohne Prüfung der Gerätezertifikate benötigt der UCware Server ein CA-signiertes Zertifikat im PEM-Format. Im Admin-Client können Sie die entsprechenden Dateien unter{{:adhandbuch:menuepunkt_system_alpha.png?nolink|}}**System > SSL-Zertifikat** hochladen. Lesen Sie dazu den Artikel [[adhandbuch:system:ssl_zertifikat|]].
  
-Laden Sie dieses und den zugehörigen Schlüssel im Admin-Client unter{{:adhandbuch:menuepunkt_system_alpha.png?direct|}}**System > SSL-Zertifikat** hoch. +Testen Sie abschließend die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.
- +
-{{:adhandbuch:provisionierung:provisionierung_verschluesseln_zertifikat_hochladen.png?700direct|}} +
- +
-Testen Sie nun die automatische Provisionierung, indem Sie ein unterstütztes Telefon vom Netzwerk trennen und erneut anschließen.+
  
  
 </WRAP> </WRAP>