Nico Finzel
Moderator Registered 9 years 297 days
Nico Finzel (innovaphone) Thursday, 17 August 2017, 12:37 AM
4 of 4 users consider this post helpful
Zertifikate für Softphones und Mobilclients
In Bezug auf den link_intern.png Vorschlag im https://class.innovaphone.com/moodle2/mod/forum/icon.gif Admin User Interface Forum.

Die Handhabung der Zertifikate bei Android und iOS myPBX App oder Softwarephone für die Registrierung über H.323/TLS sollte nicht wie hier link_intern.png Zertifikate für Softphones und Mobilclients oder hier link_intern.png Kommentare bei Zertifikaten erfolgen.
Damit hat man keine ordentliche Übersicht und müllt sich die Gateways mit selbstsignierten Zertifikaten zu. Die Menge von Zertifikaten in der trust-list ist auch begrenzt, wodurch der Ansatz nicht skaliert.

Das richtige Vorgehen wäre eine eigene PKI zu verwenden und das Root CA sowie wenn vorhanden die Intermediate CAs im Reverse Proxy und der PBX als Trust anzulegen. Das sollte hier für diesen Zweck völlig ausreichen.

Um vernünftig mit zertifikatsbasierter Registrierung zu arbeiten sollte man mit der eigenen PKI den Geräten signierte Zertifikate zur Verfügung stellen.
Das sollte auch nicht vollautomatisch passieren um eine gewisse Sicherheit im Umgang mit diesen Zertifikaten zu gewährleisten.
Nahezu jeder Geschäftskunde hat bereits eine PKI im Einsatz wenn er eine Microsoft Active Directory (MS AD) verwendet.
Diese kann mit einem Web User Interface (Certificate Web enrollment pages) bedient werden.

Damit man Zertifikate erhält mit denen man sowohl Client als auch Server Authentifizierung durchführen kann muss man in der MS PKI eine entsprechende Zertifikatsvorlage erstellen. Hierfür haben wir fish-help.png hier einen Wiki Artikel der sich mit diesem Thema beschäftigt.

Als nächsten Schritt muss man einen Certificate Signing Request (CSR) erstellen. Dies wird in fish-help.png diesem Wiki Artikel beschrieben.

Diesen erstellten CSR signiert man nun in der eigenen MS PKI mit der erstellten Zertifizierungsvorlage. Daraufhin erhält man ein Zertifikat welches man wieder, auf der gleichen Seite wie man den CSR erstellt hat, auf das Gerät lädt.

Für eine zertifikatsbasierte Registrierung ist es noch wichtig, dass der Anmeldename mit dem CN des Zertifikats übereinstimmt.

Bei der Verwendung eigener Zertifikate ist es noch wichtig die korrekten Einstellungen vorzunehmen um das System nicht zu stark zu belasten. In fish-help.png diesem Wiki Artikel können Sie die Details dazu nachlesen.

Jetzt kann man sagen dass dies sehr komplex ist und auch etwas Zeit in Anspruch nehmen kann. Daher haben wir in unserem fish-help.png PHP basierten Update Server V2 eine Funktion für das Ausrollen eigener Zertifikate eingebaut.
Dieser erstellt automatische nach ihren Vorgaben einen CSR und lädt diesen automatisch zum PHP basierten Update Server V2 hoch.
Dieser muss dann von Ihnen manuell mit der Zertifizierungsvorlage auf der eigenen PKI unterzeichnet werden. Dies könnte man theoretisch mittels MS Powershell Script ebenfalls automatisieren. Das würde die Sicherheit für Zertifikate aber in Frage stellen.
Zum Schluß lädt man das unterzeichnete Zertifikat im PHP basierten Update Server V2 wieder hoch und beim nächsten Update wird das Zertifikat auf das Endgerät geladen.

Damit hat man vernünftige und signierte Zertifikate auf den Endgeräten und nur das Root + Intermediate Zertifikat auf dem Reverse Proxy und der PBX.

Seit der Firmware Version 12r1 sr 8 und 12r2 final kann man den Update Server und wenn gewünscht Username und Passwort auch per Mail provisionieren. Eine Beschreibung für link_intern.png iOS und link_intern.png Android ist im innovaphone Wiki erhältlich.
Picture of Robin 3214
Registered 7 years 326 days
Robin 3214 Friday, 18 August 2017, 02:58 PM
Re: Zertifikate für Softphones und Mobilclients
Hey Nico, danke für den tollen Beitrag! Ich habe mir ständig überlegt wo ich am einfachsten ein Root CA herbekomme. An das AD habe ich da gar nicht gedacht smile

Es war ja fast zu erwarten, dass Anfragen kommen, Zertifikate kommentieren zu können damit man die Device-Zertifikate zuordnen kann. Was aber zugegebener wirklich cool wäre, wenn die PBX Device Zertifikate ausstellen könnte, sprich im User Objekt hinter der Hardware ID "Download Certificate".
← You can define your color theme preference here