Difference between revisions of "802.1x Zertifikate"
The Wiki of Unify contains information on clients and devices, communications systems and unified communications. - Unify GmbH & Co. KG is a Trademark Licensee of Siemens AG.
Stefan.Beck (talk | contribs) m (Added link to english version) |
(→2. Unterschiede zwischen optiPoint und OpenStage) |
||
| Line 37: | Line 37: | ||
== 2. Unterschiede zwischen optiPoint und OpenStage == | == 2. Unterschiede zwischen optiPoint und OpenStage == | ||
| − | * | + | * optiPoint SIP/HFA: |
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) | ** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) | ||
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder | ** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder | ||
** RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates) | ** RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates) | ||
** Key Size: 1024 Bit | ** Key Size: 1024 Bit | ||
| − | * OpenStage SIP/HFA | + | * OpenStage SIP/HFA: |
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) | ** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) | ||
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) | ** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) | ||
** Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden. | ** Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden. | ||
Revision as of 06:12, 29 March 2010
Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.
Contents
1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten
- Der Verwendungszweck muss "Client Authentication" sein.
- Der Einsatzzweck ist "Signatur und Verschlüsselung".
- Typ ist X.509-Zertifikat, Version: 3.
- Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
- Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden.
- Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
Phone-Zertifikat
- X509v3 Extended Key Usage: Client Authentication
- RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage
RADIUS-Zertifikat
- RSA Public Key: (2048 bit)
- X509v3 extensions:
- X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
- X509v3 Extended Key Usage: Server Authentication, Client Authentication
SubCA-Zertifikat
- RSA Public Key: (2048/4096 bit)
- X509v3 extensions:
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
RootCA-Zertifikat
- RSA Public Key: (2048/4096 bit)
- X509v3 extensions:
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
2. Unterschiede zwischen optiPoint und OpenStage
- optiPoint SIP/HFA:
- Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
- RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder
- RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates)
- Key Size: 1024 Bit
- OpenStage SIP/HFA:
- Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
- RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)
- Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden.
