Wer kennt es nicht: Wenn man das Web Based Management (WBM) des Telefons im Browser öffnet, erscheint eine Zertifikatsfehlermeldung! Wie Du diese Fehlermeldung weg bekommst und ein gültiges und vertrauenswürdiges Zertifikat in das Telefon zauberst, erfährst du in diesem Artikel.

Hier siehst du das besagte Bild und die "Fehlermeldung", die wir weg haben wollen:

WBM Zertifikatsfehler Unify IP Telefon

Als Tool meiner Wahl verwende ich XCA (kannst Du hier herunterladen: https://hohnstaedt.de/xca/). Natürlich kann man auch andere PKIs verwenden wie OpenSSL o.ä.. XCA ist halt mit einer schönen grafischen Oberfläche :-) In XCA ist die rootCA, mit der alle Zertifikate in in dem Unternehmen unterschreiben (signiert) werden sollen, bereits importiert. Hier klickst Du auf "Neuen Zertifikatsantrag".  

XCA certificate signing request

In dem Tab "Herkunft" gibst du den FQDN des Telefons an. Du solltest also im DNS dafür sorgen, dass das Telefon auch vorwärts und rückwärts aufgelöst wird. Mit Vorlagen arbeiten ergibt an dieser Stelle Sinn, weil Du vermutlich ganz viele Telefone mit individuellen Webserver-Zertifikaten versehen und nicht alle Einstellungen von neuem tätigen möchtest.

XCA certificate signing request

Im Tab "Inhaber" trägst du im "Internen Namen" und "commonName" den FQDN ein. Der interne Name ist zum wiederfinden in XCA und der commonName für die Überprüfung des FQDN im Browsers zuständig. Hier erstellst du auch einen neuen privaten Schlüssel - dieser wird später zusammen mit dem Zertifikat zum Telefon geuploadet.

XCA certificate signing request

Im Tab "Erweiterungen" gibst Du den "Subject Alternativ Name" an. Da trägst Du auch den FQDN ein. Auf Chrome basierte Browser gucken auf dieses Feld.

XCA certificate signing request

Da Dein Telefon ja ein Webserver ist, gibst Du in der "Key Usage" "TLS Web Server Authentication" an.

XCA certificate signing request

Danach klickst Du auf "OK" und der Zertifikatsantrag ist fertig.

XCA certificate signing request

Nun musst Du den Zertifikatsantrag in eine Neues Zertifikat übernehmen. Klicke auf "Neues Zertifikat".

XCA new certificate

Im Tab "Herkunft" wählst du den Zertifikatsantrag aus und auch die rootCA, die dieses Zertifikat signieren soll. (merke dir DC-CA als rootCA - das werden wir später nochmal wieder sehen).

XCA new certificate

In den "Erweiterungen" gibst du die Geltungsdauer an, also wie lange das Zertifikat gültig sein soll.

XCA new certificate

Mehr musst Du in dem Zertifikat nicht eintragen, weil das ja alles schon im Zertifikatsantrag drin stand. Nun kannst du das neu erstelle Zertifikat exportieren.

XCA new certificate

Da es sich ja um ein Webserver-Zertifikat mit privaten Schlüssel handelt, musst Du es im PKCS#12 Format exportieren. 

XCA new certificate

Und weil Du den privaten Schlüssel grade mit exportierst, muss er mit eine Passphrase geschützt werden. Merke Dir das Kennwort, das musst Du später beim Upload zum IP Telefon eingeben. 

XCA new certificate

Als nächstes benötigst du einen OpenScape Deployment Service (DLS). Wenn Du keinen hast, kannst du auch keine Zertifikate hochladen. Das kann man z.B. auch nicht über das WBM des IP Telefons machen. Im DLS gehst du nun in die Maske "IP-Geräte -> IP-Telefon-Konfiguration -> Sicherheits-Einstellungen" in den Reiter "WBM-Server-Zertifikat". Dort klickst Du auf den Knopf "Zertifikat importieren".

DLS https certificate

Hier wählst du dein Zertifikat aus und aktivierst es in einem Schritt. Dann sparst du dir ein späteres aktivieren. Sonst wird Upload und Aktivieren in zwei Steps vorgenommen.

DLS https certificate

Nun siehst Du das aktive WBM Zertifikat.

DLS https certificate

Wenn du nun den FQDN des Telefons öffnest, siehst du kein ungültiges Zertifikat mehr.

WBM trusted https certificate

Das geht aber nur, wenn dein Browser dem Herausgeber vertraut. Mit Gruppenrichtlinien kann man die rootCAs ganz leicht auf alle Windows Clients einer Domäne ausrollen. Für Browser, die nicht auf die Internet Optionen zugreifen, musst Du auf andere Weise die Vertrauenswürdigen Stammzertifizierungsstellen mit deiner rootCa befüllen.

Internet options trusted root certification authoritys

Das kann man mit dem OpenScape DLS aber auch schöner hinbekommen. Denn das hier ist natürlich ein irrer Aufwand, wenn man alle Telefone mit Zertifikaten versorgen möchte. Vielleicht erstelle ich irgendwann mal ein HowTo, wie der PKI Konnektor zur Windows CA oder der interne PKI Konnektor funktioniert. Damit werden die Zertifikate dann erzeugt, wenn sie benötigt werden. zum Beispiel bei der Erstinbetriebnahme oder bei Bedarf. Ohne lang in externen CAs rumzukonfigurieren.

Hier sind noch weitere beliebte Beiträge:

 

Buy me a coffee
In diesem Blog steckt sehr viel Arbeit!

Und während ich die Artikel erstelle, trinke ich viel Kaffee. Gerne kannst Du mir einen Kaffee spendieren.

Ich spendiere Dir einen Kaffee!
5 Sterne auf Google
Gefällt Dir meine Arbeit?

Wenn Du mit meiner Arbeit zufrieden bist, freue ich mich über eine positive Google-Bewertung!

Hier bewerten!
Bastis Newsletter
Newsletter

Mit meinem Newsletter erhältst Du neue Blog-Einträge einmal im Monat per Mail.

Hier beim Newsletter anmelden!
Kontaktiere Basti
Kontakt

Hast Du einen Themen-Vorschlag für diesen Blog oder benötigen Du meine Hilfe?

Schreib mir!
Folge Basti auf Twitter
Twitter

Ich zwitschere auch Neuigkeiten ins Netz.

Folge mir bei Twitter
Folge mir auf YouTube
YouTube

Bei genügend Unterstützung, lade ich ggf. Videos bei YouTube hoch.

Abonniere meinen Kanal