Formatos de aprovisionamiento
El servidor de aprovisionamiento utiliza HTTPS para gestionar el aprovisionamiento inicial del teléfono tras
la implementación. El cifrado previo de los perfiles de configuración fuera de línea permite el uso de HTTP
para resincronizar perfiles. Esto reduce la carga en el servidor HTTPS en las implementaciones a gran escala.
El teléfono admite dos métodos de cifrado de archivos de configuración:
• Cifrado AES-256-CBC
• Cifrado de contenido HTTP basado en RFC 8188 con cifrado AES-128-GCM
La clave o Input Keying Material (IKM) se debe aprovisionar previamente en la unidad. La secuencia de
inicio de la clave puede lograrse de forma segura mediante HTTPS.
El nombre de archivo final no necesita un formato específico, pero un nombre de archivo que termina con la
extensión .cfg suele indicar un perfil de configuración.
Cifrado AES-256-CBC
El teléfono admite el cifrado AES-256-CBC de archivos de configuración.
La herramienta de cifrado OpenSSL disponible para su descarga en varios sitios de Internet, puede realizar
el cifrado. La compatibilidad con cifrado AES de 256 bits puede requerir la recopilación de la herramienta
para habilitar el código AES. El firmware se ha probado con la versión openssl-0.9.7c.
Cifrado de un perfil con OpenSSL, en la página 68
Para un archivo cifrado, el perfil espera que el archivo tenga el mismo formato que el generado por el comando
siguiente:
# example encryption key = SecretPhrase1234
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml –out profile.cfg
# analogous invocation for a compressed xml file
openssl enc –e –aes-256-cbc –k SecretPhrase1234 –in profile.xml.gz –out profile.cfg
-k en minúsculas precede la clave secreta, que puede ser cualquier frase de texto sin formato y que se utiliza
para generar una sal aleatoria de 64 bits. Con el secreto especificado por el argumento -k, la herramienta de
cifrado obtiene un vector inicial de 128 bits aleatorio y la clave de cifrado de 256 bits real.
Cuando se usa este método de cifrado de un perfil de configuración, se debe informar al teléfono del valor de
la clave secreta para descifrar el archivo. Este valor se especifica como calificador en la URL de perfil. La
sintaxis es la siguiente, mediante una dirección URL explícita:
[--key "SecretPhrase1234"] http://prov.telco.com/path/profile.cfg
Este valor se programa con uno de los parámetros de Profile_Rule.
Temas relacionados
Expansión de macro
Varios parámetros de abastecimiento experimentan una expansión de marco internamente antes de que se
evalúe. Este paso de evaluación previa ofrece una mayor flexibilidad en el control de las actividades de
resincronización y actualización del teléfono.
Cifrado de un perfil con
OpenSSL, en la página 68
Guía de aprovisionamiento de los teléfonos multiplataforma para Cisco IP Phone serie 6800
proporciona un tutorial sobre el cifrado.
Cifrado AES-256-CBC
21