AVAYA DOCUMENTATION CENTER
Find answers to your technical questions and learn how to use our products
Verwalten von Avaya IP Office mit Manager
Zertifikate – Überblick
Kryptografie mit öffentlichen Schlüsseln ist eine Möglichkeit, eine vertrauenswürdige Netzwerkumgebung aufrecht zu erhalten. Ein Public-Key-Zertifikat (auch bekannt als digitales Zertifikat oder Identitätszertifikat) ist ein elektronisches Dokument, das das Eigentum eines öffentlichen Schlüssels belegt. Das Zertifikat enthält Informationen zum Schlüssel, zur Identität des Eigentümers sowie die digitale Signatur einer Instanz, die verifiziert hat, dass die Inhalte des Zertifikats korrekt sind. Ist die Signatur gültig und die Person, die das Zertifikat überprüft, vertraut dem Unterzeichner, weiß sie, dass sie diesen Schlüssel zur Kommunikation mit dem Eigentümer verwenden kann.
Das System, mit dem die Kryptografie mithilfe von öffentlichen Schlüsseln und digitale Signaturdienste bereitgestellt werden, nennt sich PKI (Public Key Infrastructure, Infrastruktur für öffentliche Schlüssel). Alle PKI-Benutzer müssen über eine registrierte Identität verfügen, die in einem digitalen Format gespeichert ist und Identitätszertifikat genannt wird. Zertifizierungsstellen (Certificate Authorities, CAs) sind die Personen, Prozesse und Tools, die diese digitalen Identitäten erstellen und Benutzernamen an öffentliche Schlüssel binden.
Es gibt zwei Arten von Zertifizierungsstellen: Root-CAs und Zwischen-CAs. Damit ein Zertifikat vertrauenswürdig ist und eine sichere Verbindung aufgebaut werden kann, muss dieses Zertifikat von einer Zertifizierungsstelle ausgegeben worden sein, die im Speicher vertrauenswürdiger Zertifikate des verbundenen Geräts enthalten ist. Wurde das Zertifikat nicht von einer vertrauenswürdigen CA ausgegeben, überprüft das sich verbindende Gerät, ob das Zertifikat der ausstellenden CA von einer vertrauenswürdigen CA ausgegeben wurde – bis schließlich eine vertrauenswürdige CA gefunden wird. Der Speicher der vertrauenswürdigen Zertifikate jedes Geräts in der PKI muss die erforderlichen Zertifikatsketten zur Validierung enthalten.
Root-Zertifizierungsstelle von IP Office
IP Office erstellt ein selbst signiertes Zertifikat. Für IP500 V2-Systeme wird automatisch beim ersten Start ein Zertifikat erstellt. Bei Linux-Systemen wird ein Zertifikat während der Ersteinrichtung erstellt.
Die folgenden Instanzen können als Zertifizierungsstelle agieren.
Als Stammzertifizierungsstelle für alle Knoten im System kann der primäre Server Edition-Server, ein Application Server oder ein Unified Communications Module (UCM) fungieren.
In Enterprise Branch-Bereitstellungen kann der Systemmanager als Root-Zertifizierungsstelle fungieren.
Identitätszertifikate können auch von einer Drittanbieter-Zertifizierungsstelle erworben und ausgegeben werden.
Unabhängig von der Methode, die zur Bereitstellung einer IP Office-Identität verwendet wurde, muss die Zertifizierungsstelle, die das IP Office-Identitätszertifikat signiert, für alle Clients und Endpunkte vertrauenswürdig sein, die eine sichere Verbindung zu IP Office herstellen müssen. Sie müssen alle Teil der PKI sein. Das Root-CA-Zertifikat muss daher auf Clientgeräte heruntergeladen und im Speicher vertrauenswürdiger Zertifikate platziert werden. Wenn es Zwischen-CAs in der Zertifikatkette gibt, müssen diese entweder zum Speicher vertrauenswürdiger Zertifikate des Clientgeräts hinzugefügt werden, oder die Zertifikatskette muss von IP Office im ersten TLS-Austausch bekanntgegeben werden.
Zertifikate und TLS
Telefoniesignale wie SIP-Messaging werden mit Transport Layer Security (TLS) gesichert. TLS bietet Kommunikationssicherheit mithilfe von Zertifikaten zur Authentifizierung des anderen Endes der IP-Verknüpfung.
Beim Nachrichtenaustausch in TLS soll die Identität der kommunizierenden Parteien identifiziert werden und die Schlüssel, die zur Verschlüsselung der Signaldaten zwischen den beiden Parteien verwendet werden, sollen erstellt werden. Der Server sendet in der Regel das selbst signierte oder von der CA signierte Identitätszertifikat an den Client. Das Zertifikat muss beim Client im Speicher vertrauenswürdiger Zertifikate gespeichert sein.
IP Office agiert bei seinen Interaktionen mit den SIP-Telefonieclients als TLS-Server. Das bedeutet, dass die TLS-Anwendung auf IP Office so konfiguriert werden muss, dass sie nach Clientverbindungen sucht, d. h. TLS muss in der SIP-Registrierung auf den LAN1- und LAN2-Schnittstellen aktiviert werden.
Hinweis:
Der Server muss das Zertifikat des Clients nicht zertifizieren. IP Office unterstützt nicht die Überprüfung des Clientzertifikats für alle SIP-Endpoint-Typen.
E.129-Telefone validieren das IP Office-Identitätszertifikat nicht.