Ejercicio: HTTPS con autenticación de certificado de cliente
Ejercicio: HTTPS con autenticación de certificado de cliente
Procedimiento
Paso 1
Habilite la autenticación de certificado de cliente en el servidor HTTPS.
Paso 2
En Apache (v.2), establezca lo siguiente en el servidor del archivo de configuración:
SSLVerifyClient
Asegúrese también de que se haya almacenado spacroot.cert tal y como se muestra en el ejercicio
Resincronización HTTPS básica, en la página
Paso 3
Reinicie el servidor HTTPS y observe el seguimiento de syslog desde el teléfono.
Cada resincronización al servidor ahora realiza la autenticación simétrica, para que el certificado del servidor
y el certificado del cliente se comprueben antes de que se transfiera el perfil.
Paso 4
Utilice ssldump para capturar una conexión de resincronización entre el teléfono y el servidor HTTPS.
Si la validación del certificado de cliente se activa correctamente en el servidor, el seguimiento de ssldump
muestra el intercambio simétrico de certificados (primer del servidor al cliente y, a continuación, del cliente
al servidor) antes de los paquetes cifrados que contengan el perfil.
Con la autenticación de cliente activada, solo un teléfono con una dirección MAC que coincida con un
certificado de cliente válido puede solicitar el perfil del servidor de aprovisionamiento. El servidor rechaza
una solicitud de un navegador normal u otro dispositivo no autorizado.
Filtrado de cliente HTTPS y contenido dinámico
Si el servidor HTTPS está configurado para solicitar un certificado de cliente, la información del certificado
identifica el teléfono que realiza la resincronización y le suministra la información de configuración correcta.
El servidor HTTPS pone la información del certificado a disposición de las secuencias de comandos CGI (o
programas CGI compilados) que se invocan como parte de la solicitud de resincronización. Con fines
ilustrativos, este ejercicio utiliza el lenguaje de secuencias de comandos Perl de código abierto y se supone
que se utiliza Apache (v.2) como servidor HTTPS.
Procedimiento
Paso 1
Instale Perl en el host que está ejecutando el servidor HTTPS.
Paso 2
Genere la secuencia de comandos de espejo Perl siguiente:
#!/usr/bin/perl -wT
use strict;
print "Content-Type: text/plain\n\n";
print "<flat-profile><GPP_D>";
print "OU=$ENV{'SSL_CLIENT_I_DN_OU'},\n";
print "L=$ENV{'SSL_CLIENT_I_DN_L'},\n";
Guía de aprovisionamiento de los teléfonos multiplataforma Cisco IP Phone 8800 Series y Cisco IP Conference Phone 8832
62
require
59.
Ejemplos de aprovisionamiento