Difference between revisions of "802.1x Zertifikate"
The Wiki of Unify contains information on clients and devices, communications systems and unified communications. - Unify GmbH & Co. KG is a Trademark Licensee of Siemens AG.
m (802.x Zertifikate moved to 802.1x Zertifikate: Typo in title.) |
(→optiPoint) |
||
| Line 1: | Line 1: | ||
Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen. | Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen. | ||
| − | == | + | == 1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten == |
| − | |||
| − | + | * Der Verwendungszweck muss "Client Authentication" sein. | |
| − | + | * Der Einsatzzweck ist "Signatur und Verschlüsselung". | |
| − | * Verwendungszweck | + | * Typ ist X.509-Zertifikat, Version: 3. |
| − | * Einsatzzweck | + | * Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE |
| − | + | * Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden. | |
| − | * Typ | + | * Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB). |
| − | * | + | |
| − | * | + | === Phone-Zertifikat === |
| + | * X509v3 Extended Key Usage: TLS Web Client Authentication | ||
| + | * RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage | ||
| + | |||
| + | === RADIUS-Zertifikat === | ||
| + | * RSA Public Key: (2048 bit) | ||
| + | * X509v3 extensions: | ||
| + | * X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign | ||
| + | * X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication | ||
| + | |||
| + | === SubCA-Zertifikat === | ||
| + | * RSA Public Key: (2048/4096 bit) | ||
| + | * X509v3 extensions: | ||
| + | * X509v3 Basic Constraints: critical, CA:TRUE | ||
| + | * X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign | ||
| + | |||
| + | == RootCA-Zertifikat == | ||
| + | * RSA Public Key: (2048/4096 bit) | ||
| + | * X509v3 extensions: | ||
| + | ** X509v3 Basic Constraints: critical, CA:TRUE | ||
| + | ** X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign | ||
== OpenStage == | == OpenStage == | ||
Revision as of 13:16, 6 November 2008
Hier sind die Anforderungen für Zertifikate zusammengefasst, die für die 802.1x-Authentifizierung von optiPoint- und OpenStage-Telefonen zum Einsatz kommen.
Contents
1. Grundsätzliche Eckdaten zu 802.1x Zertifikaten
- Der Verwendungszweck muss "Client Authentication" sein.
- Der Einsatzzweck ist "Signatur und Verschlüsselung".
- Typ ist X.509-Zertifikat, Version: 3.
- Die Algorithmusklasse für den privaten Schlüssel ist: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
- Standardmäßig wird sha1RSA verwendet, es kann aber auf diverse andere Algorithmen zurückgegriffen werden, sofern diese Algorithmen von OpenSSL und z.B. Win2003 unterstützt werden.
- Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
Phone-Zertifikat
- X509v3 Extended Key Usage: TLS Web Client Authentication
- RSA Public Key: (1024 bit) bei Optipoint, (2048 bit) bei OpenStage
RADIUS-Zertifikat
- RSA Public Key: (2048 bit)
- X509v3 extensions:
- X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
- X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication
SubCA-Zertifikat
- RSA Public Key: (2048/4096 bit)
- X509v3 extensions:
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
RootCA-Zertifikat
- RSA Public Key: (2048/4096 bit)
- X509v3 extensions:
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
OpenStage
(OpenStage HFA: 802.1x wird ab V2R0 freigeben) Verwendet werden 1) ein Phone-Zertifikat (Zertifikatskette + priv. Key in PKCS#12 Container) und 2) RootCA-Zertifikat (= public Key = erstes Glied der RADIUS-Zertifikatskette)
Eigenschaften der Zertifikate:
- Key Size: 2048 Bit. Aus Gründen der Kompatibilität zum optiPoint sollte die Key Size jedoch auf 1024 belassen werden.
- Verwendungszweck: "Client Authentication"
- Einsatzzweck: "Signatur und Verschlüsselung"
- X509v3 Extended Key Usage: TLS Web Client Authentication
- Typ: X.509-Zertifikat, Version: 3. Aus DLS-Sicht sind beliebige X.509 V3 Zertifikate möglich. Einzige Einschränkung ist die Größe (max ca. 7kB).
- Algorithmusklasse für den privaten Schlüssel: 0xa000(5) ALG_CLASS_KEY_EXCHANGE
- Verschlüsselungsalgorithmus: standardmäßig sha1RSA, es kann aber auch auf andere Algorithmen zurückgegriffen werden, soweit sie von OpenSSL und dem verwendeten Betriebssystem unterstützt werden.
RADIUS-Zertifikat
- RSA Public Key: (2048 bit)
- X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign
- X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication
SubCA-Zertifikat
- RSA Public Key: (2048/4096 bit)
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
RootCA-Zertifikat:
- RSA Public Key: (2048/4096 bit)
- X509v3 Basic Constraints: critical, CA:TRUE
- X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign
