Ejemplos de aprovisionamiento
# Server Private Key:
SSLCertificateKeyFile /etc/httpd/conf/pivkey.pem
# Certificate Authority:
SSLCACertificateFile /etc/httpd/conf/spacroot.cert
Paso 5
Reinicie el servidor.
Paso 6
Copie el archivo de configuración basic.txt (se describe en la sección
página
Paso 7
Compruebe el funcionamiento correcto del servidor descargando basic.txt del servidor HTTPS mediante
un explorador estándar desde el PC local.
Paso 8
Inspeccione el certificado del servidor que proporciona el servidor.
El explorador probablemente no reconoce el certificado como válido a no ser que se haya preconfigurado para
aceptar Cisco como una entidad de certificación raíz. Sin embargo, los teléfonos esperan que el certificado
esté firmado de esa manera.
Modificar la regla Profile_Rule del dispositivo de prueba para que incluya una referencia al servidor HTTPS,
por ejemplo:
<Profile_Rule>
https://my.server.com/basic.txt
</Profile_Rule>
En este ejemplo se supone que el nombre del servidor HTTPS es my.server.com.
Paso 9
Haga clic en Submit All Changes (Enviar todos los cambios).
Paso 10
Tenga en cuenta el seguimiento de Syslog que el teléfono envía.
El mensaje de syslog debe indicar que la resincronización ha obtenido el perfil del servidor HTTPS.
Paso 11
(Opcional) Use un analizador de protocolo Ethernet en la subred del teléfono para comprobar que los paquetes
estén cifrados.
En este ejercicio, no se ha habilitado la validación del certificado de cliente. La conexión entre el teléfono y
el servidor está cifrada. Sin embargo, la transferencia no es segura porque cualquier cliente puede conectarse
al servidor y solicitar el archivo si conoce el nombre de archivo y la ubicación del directorio. Para una
resincronización segura, el servidor también debe autenticar el cliente, tal y como se demuestra en el ejercicio
que se describe en la sección
HTTPS con la autenticación de certificado de cliente
En la configuración predeterminada de fábrica, el servidor no solicita un certificado de cliente SSL de un
cliente. La transferencia del perfil no es segura, ya que cualquier cliente puede conectarse al servidor y solicitar
el perfil. Puede editar la configuración para activar la autenticación del cliente; el servidor requiere un certificado
de cliente para autenticar el teléfono antes de aceptar una solicitud de conexión.
A causa de este requisito, la operación de resincronización no se puede probar independientemente mediante
un navegador que no tiene las credenciales correctas. El intercambio de claves de SSL dentro de la conexión
de HTTPS entre el teléfono de prueba y el servidor se puede observar con la utilidad ssldump. El seguimiento
de la utilidad muestra la interacción entre el cliente y el servidor.
53) en el directorio raíz virtual del servidor HTTPS.
HTTPS con la autenticación de certificado de cliente, en la página
Guía de aprovisionamiento de los teléfonos multiplataforma para Cisco IP Phone serie 6800
HTTPS con la autenticación de certificado de cliente
Resincronización TFTP, en la
61.
61