AdminGuide:Service:SSLSettings

Da Kalliope Wiki.
Jump to navigation Jump to search
Altre lingue:

Torna a AdminGuide:Service

Descrizione del Servizio

La sezione impostazioni SSL (Secure Sockets Layer) contiene la gestione delle CA (Certification Authority) affidabili.

Configurazione del Servizio

Impostazioni sistema, ssl.png

Per raggiungere la sezione delle impostazioni SSL, è sufficiente seguire il percorso "Impostazioni di sistema > Impostazioni SSL" come mostrato nella figura a destra.

Gestione delle CA affidabili

In questa sezione è presente la lista delle Certification Autority dei vendor dei telefoni che la centrale ritiene valide per autenticare un certificato client.

Difficilmente il certificato del server viene emesso direttamente da una delle CA presenti nel telefono, poiché sono CA di tipo no root. Spesso i certificati sono emessi da CA intermedie.

N.B. È importante ricordare la corretta sequenza della catena: CA root > CA intermedia > certificati server


La CA root emette un certificato per una CA intermedia e quest’ultima emette i certificati server. Bisogna quindi caricare il certificato server composto da certificato vero e proprio e chiave privata e le CA intermedie che servono per costruire la catena di trust fino alla CA root.

I certificati devono essere messi insieme dentro un unico file .pem. Il telefono quindi fornisce il certificato client, il certificato viene validato dal pbx usando le CA affidabili presenti nel pannello.

Se il certificato viene ritenuto valido e sia il CN (common name) che il MAC address coincidono col file che sta richiedendo, allora tutto corrisponde, la sessione si chiude e può partire il download del file di provisioning.

Mentre sui browser sono spesso precaricate CA intermedie, nei telefoni, per ragioni di occupazione di memoria ci sono solo le CA root. Se carichiamo sulla macchina solo il certificato server firmato da una intermedia (firmata da una CA root), ma il server passa al telefono solo il proprio certificato e non quello intermedio, questo non è ritenuto valido dal telefono.

È necessario quindi caricare sia la CA intermedia che il certificato server.

Gestione del certificato del server

In questa sezione è possibile caricare il certificato del server in un singolo file .pem.

Di default, su tutti i Kalliope, è presente un certificato self assigned che è emesso da una CA autogenerata e interna alla centrale.

È possibile emettere un nuovo certificato, premendo su "Crea nuovo CSR" e inserendo:

i dettagli del nuovo certificato:

  • Installa come un certificato del server
  • Stato
  • Provincia
  • Località
  • Ente
  • Reparto
  • Nome comune
  • E-mail

Le identità aggiuntive.

Crea nuovo csr.PNG


Estratto da "https://www.kalliope.com/wiki/index.php?title=AdminGuide:Service:SSLSettings&oldid=17292"