innovaphone Forum

You are here

Help with Search (new window)
Picture of Melvin 2495
Registered 9 years 37 days
Melvin 2495 Friday, 10 August 2018, 12:26 PM
Zertifikate auf IP-Telefone ausrollen mit php-Update Server V2
Hallo Community,

ein Kunde "muss" seine IP-Telefone mit eigenen Zertifikaten ausstatten. Er hat dies bis jetzt "händisch" erledigt. (Bei über hundert Telefonen black eye) )
So wie ich das verstehe soll dies der php-Updateserver V2 können

Der Server funktioniert grundsätzlich und die Telefone ziehen sich ein SW-Update etc. Nur die Zertifikate werden nicht geladen.

Hat jemand Erfahrung damit und kann mir helfen?

Die Telefone sollen nichts anderes machen, als sich das Zertifikat zu ziehen und es zu "trusten".

Vielen Dank schon mal.

Grüße
Melvin


# DEBUG debug/debug-00-90-33-00-00-00-certs.txt -- 2059 -- /var/www/innovaphone/mtls/update
#
# phase: update, nextphase: , environment: default, type: IP232, classes: phone+pre_opus_phone+phone_newui+ip232
# existing files (from scripts):
# possible further files (from scripts):
# scripts/update-all-00_90_33_00_00_00.txt
# scripts/update-all-default.txt
# scripts/update-phone-00_90_33_00_00_00.txt
# scripts/update-phone-default.txt
# scripts/update-pre_opus_phone-00_90_33_00_00_00.txt
# scripts/update-pre_opus_phone-default.txt
# scripts/update-phone_newui-00_90_33_00_00_00.txt
# scripts/update-phone_newui-default.txt
# scripts/update-ip232-00_90_33_00_00_00.txt
# scripts/update-ip232-default.txt
# Backups not enabled in config
# query 'certificates'
mod cmd UP0 scfg http://192.168.100.134/mtls/update/update.php?mode=query&sn=#m&id=certificates ser nop /always mod%20cmd%20X509%20xml-info
# query 'admin'
mod cmd UP0 scfg http://192.168.100.134/mtls/update/update.php?mode=query&sn=#m&id=admin ser nop /always mod%20cmd%20CMD0%20xml-info
# firmware build info cache is current
# firmware derived from master device
# bootcode derived from master device
# nofirm: swphone, mypbxi. This device type=IP232
# noboot: ipva, ipvadect, swphone, mypbxa, mypbxi
# current firmware (unknown) does not match required firmware (125422)
mod cmd UP0 prot http://192.168.100.134/mtls/update/fw/125422/ ser 125422
# current boot code (unknown) does not match required boot code (1000)
mod cmd UP0 boot http://192.168.100.134/mtls/update/fw/1000/ ser 1000
# make sure remaining update scripts are executed with up-to-date firmware and update URL
iresetn
# certificates: either certificate handling or state tracking not enabled - not doing any certificate checking
# no certificate cmds required - processing normal updates
# end of all scripts
config write
config activate
# set CHECK var
mod cmd UP1 check ser d41d8cd98f00b204e9800998ecf8427e
# trigger reset if required
iresetn
Nico Finzel
Moderator Registered 9 years 297 days
Nico Finzel (innovaphone) Wednesday, 29 August 2018, 01:10 PM
1 of 1 users consider this post helpful
Re: Zertifikate auf IP-Telefone ausrollen mit php-Update Server V2
Hallo Melvin,

was macht der PHP Update Server V2 in Bezug auf Zertifikate?
Man kann den PHP Update Server V2 so konfigurieren, dass er von allen innovaphone Geräten eine Zertifikatsanfrage erstellt und in einem Ordner auf dem PHP Update Server V2 bereitstellt.
Von dort kann man dann die Zertifikatsanfrage holen/downloaden und mittels einer PKI signieren. Dafür benötigt man aber auch noch das richtige Zertifikatstemplate in seiner PKI damit man sowohl Client als auch Server Authentifizierung durchführen kann.
http://wiki.innovaphone.com/index.php?title=Howto:Creating_custom_Certificates_using_a_Windows_Certificate_Authority

Das signierte Zertifikat kann man dann wieder in den Ordner auf dem PHP Update Server V2 ablegen/hochladen und beim nächsten Kontakt des Endgerätes wird das Zertifikat auf das Endgeräte hochgeladen.

Theoretisch kann man den Signierungsprozess mittels einem MS Powershellscript automatisieren. Davon raten wir allerdings ab, da sonst alle innovaphone Geräte ein signiertes Zertifikat vom Kunden erhalten, auch die die nicht zur Firma gehören. Dann könnte man auch das Innovaphone Zertifikat verwenden.

Dem Trace kann man entnehmen, dass die erforderlichen Configs im PHP Update Server V2 nicht durchgeführt worden sind.
# certificates: either certificate handling or state tracking not enabled - not doing any certificate checking

Hier empfehle ich noch einmal den Wiki Artikel zum Thema durchzulesen.
http://wiki.innovaphone.com/index.php?title=Howto:PHP_based_Update_Server_V2#Delivering_Custom_Certificates

Sollten sich dabei Fragen ergeben, können wir gerne dazu diskutieren.

VG
Nico
Picture of Muschelpuster
Registered 7 years 344 days
Muschelpuster Saturday, 1 September 2018, 05:13 PM
Re: Zertifikate auf IP-Telefone ausrollen mit php-Update Server V2
Hier habe ich mal eine Zusatzfrage:
Wie ist das Handling mit auslaufenden Zertifikaten? Kann die Erneuerung automatisiert werden, oder ist da Handarbeit gefragt?

zeitlich begrenzte Grüße
Niels
Oliver Dawid
Registered 13 years 116 days
Oliver 349 Monday, 3 September 2018, 10:09 AM
Re: Zertifikate auf IP-Telefone ausrollen mit php-Update Server V2
Hallo Niels,

zumindest unterstützen die Geräte leider kein SCEP

Viele Grüße,
Oliver
Picture of Christoph Künkel (innovaphone)
Moderator Registered 14 years 359 days
Christoph Künkel (innovaphone) Wednesday, 12 September 2018, 11:54 AM in response to Muschelpuster
Re: Zertifikate auf IP-Telefone ausrollen mit php-Update Server V2
Niels,

der Update Server würde dann "rechtzeitig" einen neuen signing request erstellen. Die behandelt man dann wie die ersten Zertifikate (so wie Niko es beschrieben hat).

LG, Christoph
← You can define your color theme preference here