Cisco 7800 Serie Guide De Mise page 43

Chapitre 3 Préprovisionnement interne et mise à disposition des serveurs
Mise à disposition HTTPS
Pour accroître la sécurité de gestion des unités déployées à distance, le téléphone IP Cisco prend en
charge le protocole HTTPS pour la mise à disposition. Chaque téléphone IP Cisco exécute un certificat
client SSL unique (et sa clé privée associée), en plus d'un certificat racine du serveur d'autorité de
certification Sipura. Ce dernier permet au téléphone IP Cisco de reconnaître les serveurs de mise à
disposition autorisés et de rejeter les serveurs non autorisés. Par ailleurs, le certificat client permet au
serveur de mise à disposition d'identifier le périphérique qui émet la demande.
Dans le cas d'un fournisseur de services gérant le déploiement à l'aide de HTTPS, un certificat de serveur
doit être généré pour chaque serveur de mise à disposition auquel un téléphone IP Cisco se resynchronise
à l'aide de HTTPS. Le certificat du serveur doit être signé par la clé racine de l'autorité de certification
du serveur Cisco, dont le certificat est utilisé par toutes les unités déployées. Pour obtenir un certificat
de serveur signé, le fournisseur de services doit renvoyer une demande de signature de certificat à Cisco,
qui signe le certificat du serveur et le renvoie pour installation sur le serveur de mise à disposition.
Le certificat du serveur de mise à disposition doit contenir le champ nom commun (CN) et le nom
de domaine complet (FQDN) de l'hôte du serveur en cours d'exécution dans l'objet. Il peut contenir
éventuellement des informations à la suite du FQDN de l'hôte, séparées par une barre oblique (/).
Les exemples suivants sont des entrées CN acceptées comme valides par le téléphone IP Cisco :
CN=sprov.callme.com
CN=pv.telco.net/mailto:admin@telco.net
CN=prof.voice.com/info@voice.com
Outre la possibilité de vérifier le certificat du serveur, le téléphone IP Cisco teste l'adresse IP du serveur
par rapport à une recherche DNS du nom du serveur spécifié dans le certificat du serveur.
L'utilitaire OpenSSL peut générer un demande de signature de certificat. L'exemple suivant illustre la
commande openssl qui génère une paire de clés publique/privée 1024 bits RSA et une demande de
signature de certificat :
openssl req –new –out provserver.csr
Cette commande génère la clé privée du serveur dans privkey.pem et la demande de signature de
certificat correspondante dans provserver.csr . Le fournisseur de services conserve de manière sécurisée
privkey.pem, et envoie provserver.csr à Cisco pour signature. Dès réception du fichier provserver.csr,
Cisco génère provserver.crt, le certificat du serveur signé.
Pour obtenir le certificat signé :
Accédez à l'adresse suivante : https://webapps.cisco.com/software/edos/home et connectez-vous à l'aide
Étape 1
de vos informations d'identification CCO.
Sélectionnez Gestion des certificats.
Étape 2
Sur l'onglet Signature du CSR, le CSR de l'étape précédente est chargé pour signature.
À partir de la zone de liste déroulante Sélectionner un produit, sélectionnez lSPA1xx micrologiciel
Étape 3
1.3.3 et version ultérieure / SPA232D micrologiciel 1.3.3 et version ultérieure / SPA5xx micrologiciel
7.5.6 et version ultérieure / CP-78xx-3PCC/CP-88xx-3PCC.
Dans le champ Fichier CSR, cliquez sur Parcourir et sélectionnez le CSR pour signature.
Étape 4
À partir de la zone de liste déroulante Durée de la connexion, sélectionnez la durée qui s'applique
Étape 5
(par exemple, un an).
Cliquez sur Signer la demande de certificat.
Étape 6
Guide de mise à disposition du téléphone IP Cisco 7800 Series et du téléphone IP Cisco 8800 Series multiplateforme
Configuration du serveur de mise à disposition
3-7