Cisco 7800 Serie Guide De Mise page 57

Chapitre 4 Exemples de mise à disposition
Méthodologie HTTPS
HTTPS crypte les communications entre un client et un serveur, protégeant ainsi le contenu du message
vis-a-vis des autres périphériques réseau. La méthode de chiffrement pour le corps de la communication
entre un client et un serveur est basée sur la cryptographie symétrique. La cryptographie symétrique
signifie qu'un client et un serveur partagent une seule clé secrète via un canal sécurisé qui est protégé
par le chiffrement de clés publique/privée.
Les messages chiffrés à l'aide de la clé secrète peuvent être déchiffrés au moyen de la même clé. HTTPS
prend en charge une large gamme d'algorithmes de chiffrement symétrique. Le téléphone IP Cisco met
en œuvre un chiffrement symétrique jusqu'à 256 bits à l'aide de la norme de chiffrement américaine
(AES), en plus du RC4 128 bits.
HTTPS fournit également l'authentification d'un serveur et d'un client engagés dans une transaction
sécurisée. Cette fonction permet de s'assurer que les identités d'un serveur de mise à disposition et d'un
client individuel ne peuvent pas avoir été usurpées par d'autres périphériques du réseau. Cette
fonctionnalité est essentielle dans le cadre de la mise à disposition d'un terminal distant.
L'authentification du serveur et du client est effectuée à l'aide du chiffrement de clé publique/privée avec
un certificat qui contient la clé publique. Le texte qui est chiffré avec une clé publique ne peut être
déchiffré que par sa clé privée correspondante (et vice versa). Le téléphone IP Cisco prend en charge
l'algorithme Rivest-Shamir-Adleman (RSA) pour le chiffrement de clé publique/privée.
Certificat du serveur SSL
Chaque serveur de mise à disposition sécurisé émet un certificat SSL (Secure Sockets Layer), que Cisco
signe directement. Le micrologiciel qui s'exécute sur le téléphone IP Cisco ne reconnaît comme valide
qu'un certificat Cisco. Lorsqu'un client se connecte à un serveur à l'aide de HTTPS, il rejette tous les
certificats de serveur qui ne sont pas signés par Cisco.
Ce mécanisme permet de protéger le fournisseur de services face à un éventuel accès non autorisé
au téléphone IP Cisco, ou face à toute tentative d'usurpation du serveur de mise à disposition. Sans cette
protection, un pirate peut être en mesure de remettre à disposition le téléphone IP Cisco, pour obtenir
des informations de configuration ou utiliser un autre service VoIP. En l'absence de la clé privée
correspondant à un certificat de serveur valide, le pirate ne peut pas établir la communication avec un
téléphone IP Cisco.
Obtenir un certificat serveur
Contactez un technicien Cisco, qui vous assistera tout au long du processus de certification. Si vous ne
Étape 1
travaillez pas avec un technicien en particulier, vous pouvez envoyer un courrier électronique à l'adresse
ciscosb-certadmin@cisco.com.
Générez une clé privée à utiliser pour la demande de signature de certification (CSR). Cette clé est privée
Étape 2
et vous ne devez pas la fournir au support technique Cisco. Utilisez la boîte à outils Open Source
« openssl » pour générer la clé. Par exemple :
openssl genrsa -out <file.key> 1024
Générez une demande de signature de certification (CSR) qui contienne des champs permettant
Étape 3
d'identifier votre organisation et votre emplacement. Par exemple :
openssl req -new -key <file.key> -out <file.csr>
Vous devez disposer des informations ci-dessous :
Guide de mise à disposition du téléphone IP Cisco 7800 Series et du téléphone IP Cisco 8800 Series multiplateforme
Protocole HTTPS sécurisé de resynchronisation
4-11