Cisco 7800 Serie Guide De Mise page 68

Masquer les pouces Voir aussi pour 7800 Serie:

Guide de l'administration (591 pages)

Guide d'administration (392 pages)

Guide de l'utilisateur (150 pages)

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

page de 132

/ 132
Signets

HTTPS avec authentification par certificat client

Dans la configuration usine par défaut, le serveur ne demande pas de certificat client SSL à un client. Le

transfert du profil n'est pas sécurisé, car tous les clients peuvent se connecter au serveur et demander le profil.

Vous pouvez modifier la configuration pour activer l'authentification client ; le serveur requiert un certificat

client pour authentifier le téléphone avant d'accepter une demande de connexion.

En raison de cette condition, l'opération de resynchronisation ne peut pas être testée indépendamment à l'aide

d'un navigateur qui ne contient pas les informations d'identification correctes. L'échange de clés SSL au sein

de la connexion HTTPS entre le téléphone de test et le serveur peut être observé grâce à l'utilitaire ssldump.

La trace de l'utilitaire montre l'interaction entre le client et serveur.

Exercice : HTTPS avec authentification par certificat client

Procédure

Étape 1

Activez l'authentification par certificat client sur le serveur HTTPS.

Étape 2

Dans Apache (v.2), définissez les éléments suivants dans le fichier de configuration du serveur :

SSLVerifyClient

Vérifiez également que le spacroot.cert a été enregistré comme illustré dans l'exercice

HTTPS de base, à la page

Étape 3

Redémarrez le serveur HTTPS et observez la trace syslog à partir du téléphone.

Chaque resynchronisation avec le serveur effectue désormais l'authentification symétrique, afin que le certificat

du serveur et le certificat client soient vérifiés avant que le profil ne soit transféré.

Étape 4

Ssldump permet de capturer une connexion de resynchronisation entre le téléphone et le serveur HTTPS.

Si la vérification du certificat client est correctement activée sur le serveur, la trace ssldump montre l'échange

symétrique des certificats (tout d'abord du serveur au client, puis du client au serveur) avant l'échange des

paquets chiffrés que contient le profil.

Avec l'authentification client activée, seul un téléphone avec une adresse MAC qui correspond à un certificat

client valide peut demander le profil à partir du serveur de mise à disposition. Le serveur rejette une demande

effectuée à partir d'un navigateur ordinaire ou de tout autre périphérique non autorisé.

Filtrage client HTTPS et contenu dynamique

Si le serveur HTTPS est configuré pour demander un certificat client, les informations contenues dans le

certificat identifient le téléphone qui se resynchronise et fournissent cette information avec les informations

de configuration appropriées.

Le serveur HTTPS rend disponible les informations de certificat pour les scripts CGI (ou les programmes

CGI compilés) qui sont appelés dans le cadre de la demande de resynchronisation. Dans un but d'illustration,

cet exercice utilise le langage de script Perl open source et suppose qu'Apache (v.2) est utilisé comme serveur

HTTPS.

Guide de mise à disposition des téléphones Cisco IP Phone 7800 Series et Cisco IP conférence Phone 7832 multiplateformes

require

58.

Exemples de mise à disposition

Resynchronisation

Produits Connexes pour Cisco 7800 Serie

Ce manuel est également adapté pour:

7832

Cisco 7800 Serie Guide De Mise page 68

Manuels Connexes pour Cisco 7800 Serie

Produits Connexes pour Cisco 7800 Serie

Ce manuel est également adapté pour: