Content
Sv translation | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||
Index:
GeneralSnom deskphones support a security feature for Port Security using the EAP Protocol. Before the phone gets any access it is validated by the switch and a so called Radius Server Requirements for using EAP/TLSA simple environment consists of a Microsoft NPS-Server as Radius Server, Microsoft AD and Microsoft CA for the Certificates. A basic switch would be a Cisco Small Business SG 300-10MP. Following setup is needed:
ConfigurationGenerating Client CertificatesAn easy way generating a client certificate is the usage of openssl for the creation of the certificate request in combination with windows server command line tool certreq for performing the certification process. Therefore, no private key has to be extracted.
WPA_SUPPLICANT CONFIGURATIONGeneralThe configuration is the main part of all files needed besides the certificate(s). The filename of this configuration must be “wpa_supplicant.conf”. More information regarding different configuration options, for example to use different authentication types can be found here: http://linux.die.net/man/8/wpa_supplicant Very important is the path of the certificates in the configuration file. The path must be /snom/snomconfig/certificates/8021x/$filename. The name of the certificate file itself can be changed, it is only important that the same name is used in the configuration file! After you have successfully edited the config and created a certificate, you have to create a tarball, for example with 7-zip on a Windows-based system or tar -cvf name.tar /path/to/file1 /path/to/file2 /path/to/file3 on a Unix-based System. You need this in the next steps.
Simple ExampleBased on computer account (no server authentication, none encrypted private key):
Simple Example using PFX/PKCS#12-File
Extended Example
Method 1: Put all certificates in one file starting with the server and then intermediates until the root CA.Using Intermediate certificates.
Method 2: Set several ca_cert lines in the wpa_supplicant.conf
There are two ways of configuring 802.1X on the phone. The first is via the web UI, this is described in this section. For information regarding provisioning please refer to the next section. For this step the phone has to be in a non-802.1X environment so that you can access the phone from your web browser. I assume the latest 802.1X firmware is already on the phone and the phone was reset to factory defaults after the upgrade. Open the web UI by putting https://X.X.X.X as your URL in your browser, please replace the X with the actual IP-address of the phone. Go to Certificates → 802.1x Certificates Phone configuration (Web user interface)
Phone configuration (Provisioning)You can also provide these settings and the tarball via provisioning. There are multiple ways of doing it and are described in our Service Hub: These settings have to be set to enable custom certificates:
Make sure to replace the “url” parameter of the entity with the actual location of the tarball in your environment. All phone settings related 802.1X authentication are shown in the above example. DebugImportant: If you enable the 802.1X debug log, make sure that after you found the problem or got the information you needed, please deactivate this option again! Never activate the 802.1X debug log in a production environment! The debug log will still be there after a reboot, so if authentication fails you can than take the phone, put it back in a non-802.1X environment and have a look at the debug-output of the wpa_supplicant. ExamplesOpenssl Config Example e.g. snom.cnf for computer certificateCertreq Inf-Example
|
Sv translation | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||
Inhalt:
AllgemeinSnom-Tischtelefone unterstützen eine Sicherheitsfunktion für Port Security unter Verwendung des EAP-Protokolls. Bevor das Telefon Zugriff erhält, wird es vom Switch und einem so genannten Radius-Server (https://en.wikipedia.org/wiki/RADIUS) validiert. Das Telefon verwendet ein Zertifikat, um sich gegenüber dem Server zu authentifizieren. Der einfachste Weg, einen Port zu sichern, ist über MAB (Mac Address Bypass), bei dem nur die MAC überprüft wird und die Geräte authentifiziert werden. Dies ist in sicheren Umgebungen nicht ratsam, da die MAC-Adresse leicht zu "fälschen" ist (https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/config_guide_c17-663759.html) Voraussetzungen für die Verwendung von EAP/TLSEine einfache Umgebung besteht aus einem Microsoft NPS-Server als Radius-Server, Microsoft AD und Microsoft CA für die Zertifikate. Ein einfacher Switch wäre ein Cisco Small Business SG 300-10MP. Folgendes Setup wird benötigt:
KonfigurationErzeugen von Client-ZertifikatenEin einfacher Weg, ein Client-Zertifikat zu generieren, ist die Verwendung von openssl für die Erstellung der Zertifikatsanforderung in Kombination mit dem Windows Server Kommandozeilen-Tool certreq zur Durchführung des Zertifizierungsprozesses. Daher muss kein privater Schlüssel extrahiert werden.
WPA_SUPPLICANT KONFIGURATIONAllgemeinDie Konfiguration ist der Hauptteil aller Dateien, die neben dem/den Zertifikat(en) benötigt werden. Der Dateiname dieser Konfiguration muss "wpa_supplicant.conf" lauten. Weitere Informationen zu den verschiedenen Konfigurationsoptionen, z. B. zur Verwendung verschiedener Authentifizierungsarten, finden Sie hier: http://linux.die.net/man/8/wpa_supplicant Sehr wichtig ist der Pfad der Zertifikate in der Konfigurationsdatei. Der Pfad muss /snom/snomconfig/certificates/8021x/$filename lauten. Der Name der Zertifikatsdatei selbst kann geändert werden, wichtig ist nur, dass der gleiche Name in der Konfigurationsdatei verwendet wird! Nachdem Sie die Config erfolgreich bearbeitet und ein Zertifikat erstellt haben, müssen Sie einen Tarball erstellen, z. B. mit 7-zip auf einem Windows-basierten System oder tar -cvf name.tar /pfad/zu/datei1 /pfad/zu/datei2 /pfad/zu/datei3 auf einem Unix-basierten System. Dies benötigen Sie in den nächsten Schritten.
Einfaches BeispielBasierend auf einem Computerkonto (keine Serverauthentifizierung, kein verschlüsselter privater Schlüssel):
Einfaches Beispiel mit PFX/PKCS#12-File
Erweitertes Beispiel
Methode 1: Legen Sie alle Zertifikate in einer Datei ab, beginnend mit dem Server und dann Zwischenzertifikate bis zur Root-CA. Zwischenzertifikate verwenden.
Methode 2: Setzen Sie mehrere ca_cert-Zeilen in der wpa_supplicant.conf
Es gibt zwei Möglichkeiten, 802.1X auf dem Telefon zu konfigurieren. Die erste ist über die Web-UI, diese wird in diesem Abschnitt beschrieben. Informationen zum Provisioning finden Sie im nächsten Abschnitt. Für diesen Schritt muss sich das Telefon in einer Nicht-802.1X-Umgebung befinden, damit Sie über Ihren Webbrowser auf das Telefon zugreifen können. Ich gehe davon aus, dass sich die neueste 802.1X-Firmware bereits auf dem Telefon befindet und das Telefon nach dem Upgrade auf die Werkseinstellungen zurückgesetzt wurde. Öffnen Sie das Web-UI, indem Sie https://X.X.X.X als URL in Ihren Browser eingeben, bitte ersetzen Sie das X durch die tatsächliche IP-Adresse des Telefons. Gehen Sie zu Zertifikate → 802.1x-Zertifikate Telefonkonfiguration (Web-Bedienoberfläche)
Telefonkonfiguration (Provisionierung)Sie können diese Einstellungen und die Tarball-Datei auch via Provisionierung bereitstellen. Dazu gibt es mehrere Möglichkeiten, die in unserem Service Hub beschrieben sind: Diese Einstellungen müssen gesetzt werden, um benutzerdefinierte Zertifikate zu aktivieren:
Stellen Sie sicher, dass Sie den Parameter "url" der Entität durch den tatsächlichen Speicherort des Tarballs in Ihrer Umgebung ersetzen. Alle Telefoneinstellungen, die sich auf die 802.1X-Authentifizierung beziehen, werden im obigen Beispiel gezeigt. DebuggenWichtig: Wenn Sie das 802.1X-Debug-Protokoll aktivieren, stellen Sie sicher, dass Sie, nachdem Sie das Problem gefunden oder die benötigten Informationen erhalten haben, diese Option wieder deaktivieren! Aktivieren Sie das 802.1X-Debugprotokoll niemals in einer Produktionsumgebung! Das Debug-Protokoll ist auch nach einem Neustart noch vorhanden. Wenn also die Authentifizierung fehlschlägt, können Sie das Telefon in eine Nicht-802.1X-Umgebung zurücksetzen und sich die Debug-Ausgabe des wpa_supplicant ansehen. BeispieleOpenssl Config Beispiel z.B. snom.cnf für ComputerzertifikatCertreq Inf-Beispiel
|