Cisco 7800 Serie Guide De Mise page 55

Chapitre 4 Exemples de mise à disposition
HTTPS avec authentification par certificat client
Dans la configuration usine par défaut, le serveur ne demande pas de certificat client SSL à un client.
Le transfert du profil n'est pas sécurisé, car tous les clients peuvent se connecter au serveur et demander
le profil. Vous pouvez modifier la configuration pour activer l'authentification client ; le serveur requiert
un certificat client pour authentifier le téléphone IP Cisco avant d'accepter une demande de connexion.
En raison de cette condition, l'opération de resynchronisation ne peut pas être testée indépendamment
à l'aide d'un navigateur qui ne contient pas les informations d'identification correctes. L'échange de clés
SSL au sein de la connexion HTTPS entre le téléphone IP Cisco de test et le serveur peut être observé
grâce à l'utilitaire ssldump. La trace de l'utilitaire montre l'interaction entre le client et serveur.
Exercice : HTTPS avec authentification par certificat client
Activez l'authentification par certificat client sur le serveur HTTPS.
Étape 1
Dans Apache (v.2), définissez les éléments suivants dans le fichier de configuration du serveur :
Étape 2
SSLVerifyClient
Vérifiez également que le spacroot.cert a été enregistré comme illustré dans l'exercice
« Resynchronisation HTTPS de base
Redémarrez le serveur HTTPS et observez la trace syslog à partir de téléphone IP Cisco.
Étape 3
Chaque resynchronisation avec le serveur effectue désormais l'authentification symétrique, afin que le
certificat du serveur et le certificat client soient vérifiés avant que le profil ne soit transféré.
Ssldump permet de capturer une connexion de resynchronisation entre le téléphone IP Cisco et le serveur
Étape 4
HTTPS.
Si la vérification du certificat client est correctement activée sur le serveur, la trace ssldump montre
l'échange symétrique des certificats (tout d'abord du serveur au client, puis du client au serveur) avant
l'échange des paquets chiffrés que contient le profil.
Avec l'authentification client activée, seul un téléphone IP Cisco avec une adresse MAC qui correspond
à un certificat client valide peut demander le profil à partir du serveur de mise à disposition. Le serveur
rejette une demande effectuée à partir d'un navigateur ordinaire ou de tout autre périphérique non
autorisé.
Filtrage client HTTPS et contenu dynamique
Si le serveur HTTPS est configuré pour demander un certificat client, les informations contenues dans
le certificat identifient le téléphone IP Cisco qui se resynchronise et fournissent cette information avec
les informations de configuration appropriées.
Le serveur HTTPS rend disponible les informations de certificat pour les scripts CGI (ou les
programmes CGI compilés) qui sont appelés dans le cadre de la demande de resynchronisation. Dans un
but d'illustration, cet exercice utilise le langage de script Perl open source et suppose qu'Apache (v.2)
est utilisé comme serveur HTTPS.
Guide de mise à disposition du téléphone IP Cisco 7800 Series et du téléphone IP Cisco 8800 Series multiplateforme
require
».
Protocole HTTPS sécurisé de resynchronisation
4-9