Cisco 7800 Serie Guide De Mise page 54

Protocole HTTPS sécurisé de resynchronisation
Cette commande génère une paire de clés publique/privée, qui est enregistrée dans le fichier
privkey.pem.
Envoyez le fichier CSR (provserver.csr) à Cisco pour signature. (Reportez-vous à
Étape 3
https://supportforums.cisco.com/docs/DOC-9852
serveur est renvoyé (provserver.cert) ainsi qu'un certificat racine du client d'autorité de certification
Sipura, spacroot.cert.
Stockez le certificat du serveur signé, le fichier de paire de clés privées et le certificat racine du client
Étape 4
dans les emplacements appropriés sur le serveur.
Dans le cas d'une installation Apache sur Linux, ces emplacements sont généralement les suivants :
# Certificat du serveur :
SSLCertificateFile /etc/httpd/conf/provserver.cert
# Clé privée du serveur :
SSLCertificateKeyFile /etc/httpd/conf/pivkey.pem
# Autorité de certification (CA) :
SSLCACertificateFile /etc/httpd/conf/spacroot.cert
Redémarrez le serveur.
Étape 5
Copiez le fichier de configuration
Étape 6
répertoire racine virtuel du serveur HTTPS installé.
Vérifiez que le serveur fonctionne correctement en téléchargeant basic.txt à partir du serveur HTTPS
Étape 7
à l'aide d'un navigateur standard depuis l'ordinateur local.
Vérifiez le certificat de serveur fourni par le serveur.
Étape 8
Le navigateur ne reconnaît sans doute pas le certificat comme étant valide, sauf si le navigateur a été
préconfiguré pour accepter Cisco comme une autorité de certification racine. Toutefois, le téléphone IP
Cisco s'attend à ce que le certificat soit signé de cette façon.
Modifiez le paramètre Profile_Rule du périphérique de test pour qu'il contienne une référence au serveur
HTTPS, par exemple :
<Profile_Rule>
https://my.server.com/basic.txt
</Profile_Rule>
Cet exemple suppose que le nom du serveur HTTPS est
Cliquez sur Envoyer toutes les modifications.
Étape 9
Observez la trace syslog que le téléphone IP Cisco envoie.
Étape 10
Le message syslog doit indiquer que la resynchronisation a extrait le profil du serveur HTTPS.
(Facultatif) Utilisez un analyseur de protocole Ethernet sur le sous-réseau de téléphone IP Cisco pour
Étape 11
vérifier que les paquets sont chiffrés.
Dans cet exercice, la vérification du certificat client n'est pas activée. La connexion entre téléphone IP
Cisco et le serveur est chiffrée. Toutefois, le transfert n'est pas sécurisé, car n'importe quel client peut
se connecter au serveur et demander le fichier, en fonction des connaissances du nom de fichier et de
l'emplacement du répertoire. Pour une resynchronisation sécurisée, le serveur doit également
authentifier le client, comme indiqué dans l'exercice décrit à la section
par certificat client
Guide de mise à disposition du téléphone IP Cisco 7800 Series et du téléphone IP Cisco 8800 Series multiplateforme
4-8
basic.txt
».
Chapitre 4
pour plus d'informations.) Un certificat signé de
(décrit à l'exercice « Resynchronisation TFTP
.
my.server.com
« HTTPS avec authentification
Exemples de mise à disposition
») sur le