4 of 4 users consider this post helpful
Zertifikate für Softphones und Mobilclients
In Bezug auf den 
Vorschlag im 
Admin User Interface Forum.
Die Handhabung der Zertifikate bei Android und iOS myPBX App oder Softwarephone für die Registrierung über H.323/TLS sollte nicht wie hier Zertifikate für Softphones und Mobilclients oder hier Kommentare bei Zertifikaten erfolgen.
Damit hat man keine ordentliche Übersicht und müllt sich die Gateways mit selbstsignierten Zertifikaten zu. Die Menge von Zertifikaten in der trust-list ist auch begrenzt, wodurch der Ansatz nicht skaliert.
Das richtige Vorgehen wäre eine eigene PKI zu verwenden und das Root CA sowie wenn vorhanden die Intermediate CAs im Reverse Proxy und der PBX als Trust anzulegen. Das sollte hier für diesen Zweck völlig ausreichen.
Um vernünftig mit zertifikatsbasierter Registrierung zu arbeiten sollte man mit der eigenen PKI den Geräten signierte Zertifikate zur Verfügung stellen.
Das sollte auch nicht vollautomatisch passieren um eine gewisse Sicherheit im Umgang mit diesen Zertifikaten zu gewährleisten.
Nahezu jeder Geschäftskunde hat bereits eine PKI im Einsatz wenn er eine Microsoft Active Directory (MS AD) verwendet.
Diese kann mit einem Web User Interface (Certificate Web enrollment pages) bedient werden.
Damit man Zertifikate erhält mit denen man sowohl Client als auch Server Authentifizierung durchführen kann muss man in der MS PKI eine entsprechende Zertifikatsvorlage erstellen. Hierfür haben wir
hier einen Wiki Artikel der sich mit diesem Thema beschäftigt.
Als nächsten Schritt muss man einen Certificate Signing Request (CSR) erstellen. Dies wird in diesem Wiki Artikel beschrieben.
Diesen erstellten CSR signiert man nun in der eigenen MS PKI mit der erstellten Zertifizierungsvorlage. Daraufhin erhält man ein Zertifikat welches man wieder, auf der gleichen Seite wie man den CSR erstellt hat, auf das Gerät lädt.
Für eine zertifikatsbasierte Registrierung ist es noch wichtig, dass der Anmeldename mit dem CN des Zertifikats übereinstimmt.
Bei der Verwendung eigener Zertifikate ist es noch wichtig die korrekten Einstellungen vorzunehmen um das System nicht zu stark zu belasten. In diesem Wiki Artikel können Sie die Details dazu nachlesen.
Jetzt kann man sagen dass dies sehr komplex ist und auch etwas Zeit in Anspruch nehmen kann. Daher haben wir in unserem PHP basierten Update Server V2 eine Funktion für das Ausrollen eigener Zertifikate eingebaut.
Dieser erstellt automatische nach ihren Vorgaben einen CSR und lädt diesen automatisch zum PHP basierten Update Server V2 hoch.
Dieser muss dann von Ihnen manuell mit der Zertifizierungsvorlage auf der eigenen PKI unterzeichnet werden. Dies könnte man theoretisch mittels MS Powershell Script ebenfalls automatisieren. Das würde die Sicherheit für Zertifikate aber in Frage stellen.
Zum Schluß lädt man das unterzeichnete Zertifikat im PHP basierten Update Server V2 wieder hoch und beim nächsten Update wird das Zertifikat auf das Endgerät geladen.
Damit hat man vernünftige und signierte Zertifikate auf den Endgeräten und nur das Root + Intermediate Zertifikat auf dem Reverse Proxy und der PBX.
Seit der Firmware Version 12r1 sr 8 und 12r2 final kann man den Update Server und wenn gewünscht Username und Passwort auch per Mail provisionieren. Eine Beschreibung für iOS und Android ist im innovaphone Wiki erhältlich.
Vorschlag im Die Handhabung der Zertifikate bei Android und iOS myPBX App oder Softwarephone für die Registrierung über H.323/TLS sollte nicht wie hier
Zertifikate für Softphones und Mobilclients oder hier Kommentare bei Zertifikaten erfolgen.Damit hat man keine ordentliche Übersicht und müllt sich die Gateways mit selbstsignierten Zertifikaten zu. Die Menge von Zertifikaten in der trust-list ist auch begrenzt, wodurch der Ansatz nicht skaliert.
Das richtige Vorgehen wäre eine eigene PKI zu verwenden und das Root CA sowie wenn vorhanden die Intermediate CAs im Reverse Proxy und der PBX als Trust anzulegen. Das sollte hier für diesen Zweck völlig ausreichen.
Um vernünftig mit zertifikatsbasierter Registrierung zu arbeiten sollte man mit der eigenen PKI den Geräten signierte Zertifikate zur Verfügung stellen.
Das sollte auch nicht vollautomatisch passieren um eine gewisse Sicherheit im Umgang mit diesen Zertifikaten zu gewährleisten.
Nahezu jeder Geschäftskunde hat bereits eine PKI im Einsatz wenn er eine Microsoft Active Directory (MS AD) verwendet.
Diese kann mit einem Web User Interface (Certificate Web enrollment pages) bedient werden.
Damit man Zertifikate erhält mit denen man sowohl Client als auch Server Authentifizierung durchführen kann muss man in der MS PKI eine entsprechende Zertifikatsvorlage erstellen. Hierfür haben wir
hier einen Wiki Artikel der sich mit diesem Thema beschäftigt.Als nächsten Schritt muss man einen Certificate Signing Request (CSR) erstellen. Dies wird in
diesem Wiki Artikel beschrieben.Diesen erstellten CSR signiert man nun in der eigenen MS PKI mit der erstellten Zertifizierungsvorlage. Daraufhin erhält man ein Zertifikat welches man wieder, auf der gleichen Seite wie man den CSR erstellt hat, auf das Gerät lädt.
Für eine zertifikatsbasierte Registrierung ist es noch wichtig, dass der Anmeldename mit dem CN des Zertifikats übereinstimmt.
Bei der Verwendung eigener Zertifikate ist es noch wichtig die korrekten Einstellungen vorzunehmen um das System nicht zu stark zu belasten. In
diesem Wiki Artikel können Sie die Details dazu nachlesen.Jetzt kann man sagen dass dies sehr komplex ist und auch etwas Zeit in Anspruch nehmen kann. Daher haben wir in unserem
PHP basierten Update Server V2 eine Funktion für das Ausrollen eigener Zertifikate eingebaut.Dieser erstellt automatische nach ihren Vorgaben einen CSR und lädt diesen automatisch zum PHP basierten Update Server V2 hoch.
Dieser muss dann von Ihnen manuell mit der Zertifizierungsvorlage auf der eigenen PKI unterzeichnet werden. Dies könnte man theoretisch mittels MS Powershell Script ebenfalls automatisieren. Das würde die Sicherheit für Zertifikate aber in Frage stellen.
Zum Schluß lädt man das unterzeichnete Zertifikat im PHP basierten Update Server V2 wieder hoch und beim nächsten Update wird das Zertifikat auf das Endgerät geladen.
Damit hat man vernünftige und signierte Zertifikate auf den Endgeräten und nur das Root + Intermediate Zertifikat auf dem Reverse Proxy und der PBX.
Seit der Firmware Version 12r1 sr 8 und 12r2 final kann man den Update Server und wenn gewünscht Username und Passwort auch per Mail provisionieren. Eine Beschreibung für
iOS und Android ist im innovaphone Wiki erhältlich. 
