Views

Difference between revisions of "802.1x Zertifikate"

The Wiki of Unify contains information on clients and devices, communications systems and unified communications. - Unify GmbH & Co. KG is a Trademark Licensee of Siemens AG.

Jump to: navigation, search
m (802.x Zertifikate moved to 802.1x Zertifikate: Typo in title.)
(optiPoint)
Line 1: Line 1:
 
Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.
 
Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.
  
== optiPoint ==
+
== 1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten ==
Verwendet werden 1) ein Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) und 2) ein RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates)
 
  
Eigenschaften der Zertifikate:
+
* Der Verwendungszweck muss "Client Authentication" sein.
* Key Size: max. 1024 Bit.
+
* Der Einsatzzweck ist "Signatur und Verschlüsselung".
* Verwendungszweck: "Client Authentication"
+
* Typ ist X.509-Zertifikat, Version: 3.
* Einsatzzweck: "Signatur und Verschlüsselung"
+
* Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
* X509v3 Extended Key Usage: TLS Web Client Authentication
+
* Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden.
* Typ: X.509-Zertifikat, Version: 3. Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
+
* Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
* Algorithmusklasse für den privaten Schlüssel: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
+
 
* Verschlüsselungsalgorithmus: standardmäßig sha1RSA, es kann aber auch auf andere Algorithmen zurückgegriffen werden, soweit sie von OpenSSL und dem verwendeten Betriebssystem unterstützt werden.
+
=== Phone-Zertifikat ===
 +
* X509v3 Extended Key Usage:    TLS Web Client Authentication
 +
* RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage
 +
 
 +
=== RADIUS-Zertifikat ===
 +
* RSA Public Key: (2048 bit)
 +
* X509v3 extensions:
 +
* X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
 +
* X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication
 +
 
 +
=== SubCA-Zertifikat ===
 +
* RSA Public Key: (2048/4096 bit)
 +
* X509v3 extensions:
 +
* X509v3 Basic Constraints: critical, CA:TRUE
 +
* X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
 +
 
 +
== RootCA-Zertifikat ==
 +
* RSA Public Key: (2048/4096 bit)
 +
* X509v3 extensions:
 +
** X509v3 Basic Constraints: critical, CA:TRUE
 +
** X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
  
 
== OpenStage ==
 
== OpenStage ==

Revision as of 13:16, 6 November 2008

Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.

1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten

  • Der Verwendungszweck muss "Client Authentication" sein.
  • Der Einsatzzweck ist "Signatur und Verschlüsselung".
  • Typ ist X.509-Zertifikat, Version: 3.
  • Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
  • Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden.
  • Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).

Phone-Zertifikat

  • X509v3 Extended Key Usage: TLS Web Client Authentication
  • RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage

RADIUS-Zertifikat

  • RSA Public Key: (2048 bit)
  • X509v3 extensions:
  • X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
  • X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication

SubCA-Zertifikat

  • RSA Public Key: (2048/4096 bit)
  • X509v3 extensions:
  • X509v3 Basic Constraints: critical, CA:TRUE
  • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

RootCA-Zertifikat

  • RSA Public Key: (2048/4096 bit)
  • X509v3 extensions:
    • X509v3 Basic Constraints: critical, CA:TRUE
    • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

OpenStage

(OpenStage HFA: 802.1x wird ab V2R0 freigeben) Verwendet werden 1) ein Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) und 2) RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)

Eigenschaften der Zertifikate:

  • Key Size: 2048 Bit. Aus Gründen der Kompatibilität zum optiPoint sollte die Key Size jedoch auf 1024 belassen werden.
  • Verwendungszweck: "Client Authentication"
  • Einsatzzweck: "Signatur und Verschlüsselung"
  • X509v3 Extended Key Usage: TLS Web Client Authentication
  • Typ: X.509-Zertifikat, Version: 3. Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
  • Algorithmusklasse für den privaten Schlüssel: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
  • Verschlüsselungsalgorithmus: standardmäßig sha1RSA, es kann aber auch auf andere Algorithmen zurückgegriffen werden, soweit sie von OpenSSL und dem verwendeten Betriebssystem unterstützt werden.

RADIUS-Zertifikat

  • RSA Public Key: (2048 bit)
  • X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
  • X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication

SubCA-Zertifikat

  • RSA Public Key: (2048/4096 bit)
  • X509v3 Basic Constraints: critical, CA:TRUE
  • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

RootCA-Zertifikat:

  • RSA Public Key: (2048/4096 bit)
  • X509v3 Basic Constraints: critical, CA:TRUE
  • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign