Views

Difference between revisions of "802.1x Zertifikate"

The Wiki of Unify contains information on clients and devices, communications systems and unified communications. - Unify GmbH & Co. KG is a Trademark Licensee of Siemens AG.

Jump to: navigation, search
m (Added link to english version)
(2. Unterschiede zwischen optiPoint und OpenStage)
Line 37: Line 37:
  
 
== 2. Unterschiede zwischen optiPoint und OpenStage ==
 
== 2. Unterschiede zwischen optiPoint und OpenStage ==
* OptiPoint SIP/HFA:  
+
* optiPoint SIP/HFA:  
 
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
 
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
 
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder
 
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder
 
** RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates)
 
** RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates)
 
** Key Size: 1024 Bit
 
** Key Size: 1024 Bit
* OpenStage SIP/HFA (für OpenStage HFA wird 802.1x ab V2R0 freigeben):  
+
* OpenStage SIP/HFA:  
 
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
 
** Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
 
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)
 
** RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)
 
** Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden.
 
** Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden.

Revision as of 06:12, 29 March 2010

Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.

1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten

  • Der Verwendungszweck muss "Client Authentication" sein.
  • Der Einsatzzweck ist "Signatur und Verschlüsselung".
  • Typ ist X.509-Zertifikat, Version: 3.
  • Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
  • Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden.
  • Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).

Phone-Zertifikat

  • X509v3 Extended Key Usage: Client Authentication
  • RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage

RADIUS-Zertifikat

  • RSA Public Key: (2048 bit)
  • X509v3 extensions:
  • X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
  • X509v3 Extended Key Usage: Server Authentication, Client Authentication

SubCA-Zertifikat

  • RSA Public Key: (2048/4096 bit)
  • X509v3 extensions:
  • X509v3 Basic Constraints: critical, CA:TRUE
  • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

RootCA-Zertifikat

  • RSA Public Key: (2048/4096 bit)
  • X509v3 extensions:
    • X509v3 Basic Constraints: critical, CA:TRUE
    • X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

2. Unterschiede zwischen optiPoint und OpenStage

  • optiPoint SIP/HFA:
    • Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
    • RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette) oder
    • RADIUS-Zertifikat (= public Key des RADIUS-Zertifikates)
    • Key Size: 1024 Bit
  • OpenStage SIP/HFA:
    • Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container)
    • RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)
    • Key Size: max. 2048 Bit, sollte aber aus Gründen der Kompatibilität zum optiPoint auf 1024 Bit beschränkt werden.