Cisco 7800 Serie Guide De Mise page 20

Chiffrement et compression de profil ouvert (XML)
L'outil de chiffrement OpenSSL, disponible en téléchargement à partir de différents sites Internet,
peut effectuer le chiffrement. La prise en charge pour le chiffrement AES 256 bits peut nécessiter la
recompilation de l'outil pour activer le code AES. Le micrologiciel a été testé par rapport à la version
openssl-0.9.7c.
Pour un fichier chiffré, le profil prévoit que le fichier aura le format généré par la commande suivante :
Clé de chiffrement exemple# = PhraseSecrète1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# Appel similaire pour un fichier xml compressé
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
Un -k minuscule précède la clé secrète, qui peut être n'importe quelle phrase en texte non chiffré, et qui
est utilisée pour générer une racine 64 bits aléatoire. Avec le mot de passe spécifié par l'argument -k,
l'outil de chiffrement dérive un vecteur initial aléatoire 128 bits et la clé de chiffrement 256 bits réelle.
Lorsque cette forme de chiffrement est utilisée sur un profil de configuration, le téléphone doit connaître
la valeur de la clé secrète pour déchiffrer le fichier. Cette valeur est spécifiée comme un identificateur
dans l'URL du profil. La syntaxe est la suivante, à l'aide d'une URL explicite :
[--key "SecretPhrase1234"] http://prov.telco.com/path/profile.cfg
Cette valeur est programmée en appliquant l'un des paramètres Profile_Rule. La clé doit être mise
à disposition par avance dans l'unité à une heure antérieure. Le démarrage de la clé secrète peut être
réalisé en toute sécurité à l'aide de HTTPS.
Le pré-chiffrement des profils de configuration hors connexion avec chiffrement par clé symétrique
permet l'utilisation de HTTP pour synchroniser les profils. Le serveur de configuration utilise le
protocole HTTPS pour traiter la mise à disposition initiale du téléphone IP Cisco après le déploiement.
Cette fonctionnalité réduit la charge sur le serveur HTTPS dans les déploiements à grande échelle.
Le nom de fichier final ne nécessite pas un format spécifique, mais un nom de fichier se terminant par
l'extension .cfg indique normalement un profil de configuration.
Expansion de macro
Plusieurs paramètres de mise à disposition font l'objet d'une expansion de macro interne avant d'être
évalués. Cette étape de pré-évaluation donne une plus grande souplesse de contrôle des activités de
resynchronisation et de mise à niveau de téléphone IP Cisco.
Ces groupes de paramètres font l'objet d'expansion de macro avant l'évaluation :
•
•
•
•
Dans certaines conditions, certains paramètres généraux (GPP _*) sont soumis à une expansion
de macro, comme explicitement indiqué à la section Arguments facultatifs de resynchronisation.
Guide de mise à disposition du téléphone IP Cisco 7800 Series et du téléphone IP Cisco 8800 Series multiplateforme
2-6
Resync_Trigger_*
Profile_Rule*
Log_xxx_Msg
Upgrade_Rule
Chapitre 2 Scripts de mise à disposition