Neue Zertifikatsrichtline betrifft auch IP Office Apps

Switch to English

Kürzlich hat Avaya eine Information veröffentlicht, dass die Zertifikatsrichtlinien in iOS 13 und Android Q sowei MacOS 10.15 verschärft werden: https://downloads.avaya.com/css/P8/documents/101058839. Avaya macht darauf aufmerksam, dass diese verschärften Richtlinien auch die verschiedenen Avaya Applikationen auf Smarthones, Tablets und MAC PCs betreffen.

Ein gültiges Zertifikat muss den folgenden Kriterien entsprechen:

  • SHA1 and SHA2-CBC Signaturalgorythmen werden bei Serverzertifikaten und Ausstellerzertifikaten nicht weiter unterstützt
  • Serverzertifikate und CA-Zertifikate müssen eine Schlüssellänge von mindestens 2048 Bits haben
  • Serverzertifikate müssen den DNS-Namen des Servers als Alternativen Antragsstellernamen (Subject Alternative Name – SAN). Die Verwendung des DNS-Namen ausschließlich als Allgemeiner Antragsstellername (Common Name – CN) ist nicht ausreichend
  • Wenn ab dem 1. Juli 2019 ausgestellt: Zertifikate müssen die Erweiterung “Erweiterte Schlüsselverwendung” (Extended Key Usage – EKU) mit dem Wert id-kp-serverAuth OID (1.3.6.1.5.5.7.3.1) enthalten
  • Wenn ab dem 1. Juli 2019 ausgestellt: Die maximale Lebensdauer eines Zertifikats darf nicht länger sein als 825 Tage. Die üblicherweise Dauer von zwei Jahren (oder häufig zwei Jahre und drei Monate) passt hier.

Die selbstsignierten Zertifikate, die von der IP Office generiert werden, erfüllen alle diese Regeln, solange sie vor dem 1. Juli 2019 generiert sind. Bei neueren Installationen ab dem 1. Juli werden dieses Zertifikate mit den aktuellsten Betriebssystemen nicht mehr funktionieren. Die Gültigkeitsdauer dieser Zertifikate beträgt sieben Jahre und es ist keine Erweiterte Schlüsselverwendung (EKU) festgelegt.

Verwendet Ihr Zertifikate von einer öffentlichen vertrauenswürdigen Zertifizierungsstelle wie z.B. GoDaddy, Commodo oder anderen, dann sollten die Kriterien erfüllt sein. Dennoch empfehle ich, dass Ihr das kontrolliert. Insbesondere die Verwendung des DNS Namens als Alternativer Antragsstellername (SAN) könnte fehlen.

Auch wenn es schon immer empfohlen war, Zertifikate von einer Zertifizierungsstelle zu verwenden, war es einfacher, die Zertifikate zu verwenden, die von der IP Office selbst generiert werden. Glücklicherweise hat Avaya vor einiger Zeit eine Zertifizierungsstelle in deren Servern (Server Edition, Application Server, UC-Module) ergänzt. Mit dieser CA ist es möglich für alle Geräte Zertifikate zu generieren, für die welche benötigt werden. Selbst wenn Euer Kunde keine eigene CA und keinen Avaya Server hat, könnt Ihr einen als virtuelle Maschine auf Eurem Laptop installieren. Damit könnt Ihr dann gültige Zertifikate erstellen, solange die Anwender dieser Zertifizierungsstelle vertrauen..

Ich bin dabei einen Videokurs zu erstellen, in dem ich erkläre, wie Ihr den Application Server auf Eurem Laptop verwenden könnt, um die benötigten Zertifikate zu erstellen.

Wenn Ihr informiert werden wollt, wenn der Kurs fertig ist, dann meldet Euch zu meinem Newsletter an.

Anmeldung zum Nesletter

* erforderliches Feld
Sprache/Language

Bitte wählen Sie aus, wie Sie von uns hören möchten:

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp’s privacy practices here.

2 Gedanken zu „Neue Zertifikatsrichtline betrifft auch IP Office Apps

  1. Pingback: New certificate rules affect IP Office applications - Blog: Florian Wilke

  2. Pingback: Zertifikate für iPhone mit IP Office erstellen - Blog: Florian Wilke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.