Certificaten

Certificaten

U bevindt zich hier:
Geschatte leestijd: 4 min.

Systeem/Certificates - 151

Opmerking vooraf: Als u problemen ervaart bij het instellen of selecteren van certificaten en u gebruikt een ad blocker in uw browser, zet u dan uw ad blocker uit.

U kunt uw eigen certificaten maken of importeren die gebruikt worden voor HTTP of ftp-server authenticatie of (vanaf 4.1.0) gespreksversleuteling.

Certificaten op de lijst kunnen worden ingeschakeld en uitgeschakeld. Deze acties kunt u ook met meerdere certificaten tegelijk uitvoeren.

De door Axeos ingebouwde certificaten bieden een betrouwbare lijst. Deze certificaten staan standaard al ingeschakeld.

Systeem/Certificates - 152

Aanmaken van een self-signed certificaat

Soms kan het voldoende zijn een certificaat te gebruiken dat niet vertrouwd wordt door browsers, zoals een machine to machine verbinding, of als het certificaat gebundeld wordt in een installatie package zoals bij een VPN-profiel. In deze situaties kun je ook een self-signed certificaat gebruiken die je zelf aanmaakt.

Klik op de groene knop en vervolgens op ‘Maak’ om een nieuw certificaat te maken.

Systeem/Certificaten - 153

Systeem/Certificaten - 154

  • Common naam: geef de naam van het certificaat op. Dit moet een Fully Qualified Domain Name van de PBX zijn zoals deze gebruikt wordt door de remote clients.
  • Organisatie-eenheid: optioneel
  • Organisatie: optioneel
  • Locatie: optioneel
  • Staat: optioneel
  • Land: optioneel
  • SSL-sleutel lengte: u kunt kiezen uit 1024, 2048, 3072, 4096. Standaard is 2048.

Importeer een certificaat

Klik op de groene knop en vervolgens op ‘Importeer’ om een certificaat te importeren.

Systeem/Certificaten - 155

  • Certificaat bestand: PEM, DER of PCKS#12 worden ondersteund.
  • SSL-sleutel bestand (optioneel): onversleutelde PEM-gecodeerde private key voor een PEM-certificaat
  • PKCS#12 import wachtwoord: wachtzin (passphrase) voor een PKCS#12 certificaat
  • Vertrouw het CA-certificaat: sta het importeren van een vertrouwd CA-certificaat toe.

Verzoek een certificaat

Vanaf versie 4.1.0 kunt u een kosteloos third-party certificaat aanvragen van certificaatautoriteit Let’s Encrypt. We hebben het gehele proces geautomatiseerd en als de certificaten succesvol zijn geïnstalleerd, worden deze automatisch vernieuwd.

Voordat u een aanvraag doet bij Let’s Encrypt checkt u:

  • Uw firewall instellingen. TCP-poort 80 moet open staan voor 0.0.0.0/0 zodat het automatisch vernieuwen van certificaten werkt. Dit is een gevolg van het beleid van Let’s Encrypt waardoor de certificaten gratis kunnen zijn. Het betekent wel dat u genoodzaakt bent om beperkingen aan te brengen zodat niet alle services op poort 80 toegankelijk zijn voor iedereen. U dient gebruik te maken van de ‘force HTTPS’ optie. En wij raden u ten zeerste aan nog een verdere beperking in de toegang aan te brengen door middel van de toegangsregels in Systeem/Opties/Netwerk Server waar u de IP-adressen opgeeft die toegestaan zijn (van eindgebruikers, API en toestel provisioning). Indien u niet TCP-poort 80 open mag/wilt zetten, kunt u beter een betaald third-party certificaat aanvragen bij een commerciële dienst.
  • Gebruik altijd sterke wachtwoorden (‘welkom01’ of ‘wachtwoord’ zijn GEEN sterke wachtwoorden en we raden u met klem aan de Misbruikpreventie-Module van Axeos te gebruiken (Systeem/Misbruikpreventie).
  • Uw PBX-adres in Communicatie/Toestellen/Algemene Instellingen en pas aan indien nodig.

Stap 1. Domein

Kies de Certificaat provider. Er zijn drie opties om uit te kiezen:

  • Let’s Encrypt
  • Let’s Encrypt Staging Environment – de testomgeving
  • Aangepast (kies uw eigen provider, bv. Comodo, GeoTrust, Thawte, GlobalSign)

Voer de URI in van de provider (alleen nodig als u ‘aangepast’ hebt gekozen bij stap 1).

Voer de domeinnaam (FQDN) in. Dit domein moet overeenkomen met het IP-adres van de PBX, anders zal het verzoek mislukken. Vanaf versie 4.1.3 kunt u nog aanvullende domeinnamen toevoegen aan het certificaat.

Voer een werkend e-mailadres in. Dit adres wordt alleen gebruikt voor vragen over de goedkeuring van het certificaat.

Klik op ‘Volgende’ om naar stap 2 te gaan.

Stap 2. Accepteer de Servicevoorwaarden (ToS)

Lees de servicevoowaarden en, indien u akkoord gaat, accepteer de voorwaarden. Klik op ‘volgende’ om naar stap 3 te gaan.

Stap 3. Voltooien

U heeft nu een geldig certificaat.

Vernieuwen van certificaten

Heeft u problemen bij het vernieuwen van de certificaten? Check of u pbx versie 4.1.3 of ouder heeft: onlangs heeft een wijziging in de Let’s Encrypt API ervoor gezorgd dat onze implementatie niet meer werkt. Update uw PBX 0m dit op te lossen.

Vanaf versie 4.1.8 zal de PBX uw Let’s Encrypt certificaat automatisch vernieuwen op het moment dat er nog één derde van de totale periode over is. Let’s Encrypt hanteert momenteel 90 dagen voor certificaten dus 30 dagen voordat het certificaat verloopt, zal de PBX deze vernieuwen.

Als het vernieuwen niet lukt, zal er 12 uur later nogmaals een poging tot vernieuwen worden gedaan. Daarna weer na 12 uur, etc. Na de vierde mislukte poging, stuurt de vPBX een e-mail (naar het adres in Systeem/Opties/email en SMTP) om te laten weten dat u uw configuratie moet checken en het certificaat handmatig moet vernieuwen. In de web interface krijgen de gebruikers met een admin-rol ook een bericht.

Dit geeft u nog 28 dagen om het handmatige vernieuw-proces af te ronden voordat het certificaat verloopt.

Het is belangrijk dat u omtrent het vernieuwen van certificaten het volgende weet:

  • Het actieve (vetgedrukte) certificaat zal vernieuwd worden. Inactieve certificaten die nog niet verlopen zijn, worden niet vernieuwd.
  • Het vernieuwen van het certificaat zelf behoeft gaan menselijke aandacht: als het proces lukt, wordt het oude certificaat verwijderd en de nieuwe wordt geselecteerd in de pbx.

Het vernieuwen van het certificaat is mislukt, wat nu?

Wellicht heeft u poort 80 niet opengezet in de firewall (zie eerder in dit document). Als u dit gecheckt heeft, verwijder dan het bestaande Let’s Encrypt certificaat en verzoek om een nieuwe.

Certificaten downloaden

U kunt een certificaat downloaden, als u bijvoorbeeld de zero-touch auto-provisioning wilt omzeilen en de provisioning op de oude manier wilt doen.

Systeem/Certificaten - 156

Selecteer het certificaat dat u wilt gebruiken en klik op ‘Overzicht’. Klik onderin het venster op de knop ‘Download’ en kies PEM encoded.

Let op: het veranderen van dit certificaat vereist het opnieuw laden van asterisk (via het menu Status/Diensten) op uw pbx als u gespreksversleuteling heeft aangezet in Communicatie/Toestellen/Algemene Instellingen.

Ik wil een Certificate Signing Request (CSR) maken om een certificaat te kunnen kopen. Hoe doe ik dat?

Ga naar Systeem/Certificaten en maak een self-signed certificaat met de correcte common name. Hoe u dit doet, leest u eerder in dit document. Als u al een self-signed certificaat heeft, kunt u dit overslaan.

Klik op de knop ‘Overzicht’ om een pop-up te krijgen met de details van uw self-signed certificaat. U ziet onderin een download-knop. Klik hierop.

Kies nu ‘Certificate Signing Request’.

Systeem/Certificaten - 157

Kopieer de teskt die u krijgt en stuur deze naar uw certificaat-autoriteit. Als deze het certificaat valideert, ontvangt u van hen het certificaat getekend/gevalideerd retour. Dit kunt u importeren op de manier zoals eerder in dit document uitgelegd wordt.

Was dit artikel nuttig?
Nee