Beat Caveng, Developer bei A-Enterprise GmbH. Blog Author zu den Themen, Python und Open Source. Tutorials zu Python Problemlösungen und Shell Scripts.
GRANDSTREAM UCM6202 UCM6208 zentrales Telefonbuch für Kontakte
Dieser Artikel beschreibt die zentrale Telefonbuch Bereitstellung mittels LDAP auf einer UCM IP PBX, dadurch haben Benutzer die Möglichkeit, eigene Kontakte zu speichern, abzurufen und daraus Anrufe zu tätigen.
Das vorhandene Telefonbuch der UCM ist für Nebenstellen der Telefonanlage vorgesehen, diese Kontakte können nicht direkt hinzugefügt oder gelöscht werden. Um Kontakte zu ändern geht man zu „Extensions“ im WebUI der UCM. Die schreibgeschützten Attribute der entsprechenden Elemente können bei den Extensions bearbeitet werden. Das Telefonbuch wird automatisch aktualisiert, wenn Änderungen an den Extensions vorgenommen werden. Um externe Kontakte hinzufügen zu können, haben Benutzer die Möglichkeit über zusätzliche Telefonbücher. Für diese Telefonbücher können LDAP-Attribute bearbeitet und Kontakte direkt hinzugefügt oder gelöscht werden.
Zu dem auf der UCM bereits vorinstallierten LDAP Phonebook erstellt man ein zusätzliches Telefonbuch, hier in diesem Beispiel ist es mycontacts, der X.500 Context sieht dabei wie folgt aus:
ou=mycontacts,dc=pbx,dc=com
Die Konfiguration für Telefonbücher findet man im WebUI der UCM unter System Settings – LDAP Server – LDAP Phonebook:
Hier klickt man auf +Add und legt ein neues Phonebook an:
Nach dem speichern zeigt sich das neu angelegte Phonebook wie folgt, der Prefix bezeichnet den X.500 Distinguished Name (DN) als Objekt OU=mycontacts:
Rechts klickt man auf das Editor Symbol um neue Kontakte hinzuzufügen:
Beim Telefon GXP21xx geht man zu PHONEBOOK und LDAP:
Im Feld Server Address trägt man die IP der UCM ein, und im Feld Base den Kontext, unter Phonebook – LDAP: (ou=mycontacts,dc=pbx,dc=com)
Für die Provisionierung des LDAP Phonebook mycontacts geht man zu Value-added-Features – Zero Config – Global Policy und öffnet Contact List und aktiviert Directory unter LDAP Phonebook, danach wählt man bei Source das zuvor angelegte Phonebook, hier mycontacts:
Nun wird bei Zero Config mit klick auf Update die Änderung für die Telefone durchgeführt.
Am Telefon GXP21xx drückt man auf die Directory Taste und wählt LDAP Verzeichnis, es muss min. ein Zeichen eingegeben werden, bevor man den Softkey Suchen drückt, z.B. mit einem A werden alle Kontakte die ein A enthalten aufgelistet.
Let’s Encrypt Zertifikat für Windows IIS Websites und Exchange Server erstellen
HTTPS verschlüsselte Webseiten sind der neue Standard, und bei Kontaktformularen sogar Pflicht. Seit 2017 markiert Google unverschlüsselte Seiten als unsicher, zudem bevorzugen Suchmaschinen HTTPS-Webseiten für tendenziell besseres Ranking. Voraussetzung für die Einrichtung einer sicheren HTTPS-Verbindung ist ein vertrauenswürdiges Zertifikat, dieses von Zertifizierungsstellen (Certificate Authority, CA) ausgestellt werden.
Verschlüsselte Datenübertragung
Die verschlüsselte Datenübertragung zwischen Client und Server erfolgt anschliessend per SSL/TLS. In der Regel sind diese Zertifikate nicht kostenlos erhältlich – doch es gibt kostenlose Alternativen wie die Let’s Encrypt Initiative. In dieser Anleitung wird ein SSL-Zertifikat mit Let’s Encrypt selbst erstellt, für Windows IIS-Manager und Exchange Server.
Was ist Let’s Encrypt?
Die Certificate Authority (CA) Let’s Enrypt bietet seit Ende 2015 kostenlos und automatisiert SSL-Zertifikate an. Das erklärte Ziel: die Schaffung eines einfachen, kostenlosen und verschlüsselten Internets.
Let’s Encrypt mit Certify Certificate Manager
Let’s Encrypt stellt noch kein offizielles Tool zur Verfügung, um die ACME Challenge wie für Linux Server, auch auf einem Windows Server und Exchange Server durchzuführen. Da es jedoch ein offenes Protokoll ist, gibt es bereits diverse Tools, die alle auf den ACME Dienst von Let’s Encrypt zurückgreifen. Zu empfehlen ist hier Certify the web von Webprofusion. Zum aktuellen Zeitpunkt ist Certify the web mit der Version 4.1.6 für eine begrenzte Anzahl Zertifikate kostenlos erhältlich. Es ist das bisher einzige Tool mit GUI und bietet Premium-Funktionen wie die automatisierte Verlängerung der Zertifikate und Multidomain Zertifikate.
Certify The Web
Als Voraussetzung gilt für “Certify the web”, ist dass der Windows Server auf dem neusten Stand ist und IIS bereits installiert ist, die Webseite auf dem Webserver muss über Port 80 erreichbar sein. Außerdem muss man eine Domain besitzen, und Zugriff haben auf deren DNS Einträge. Man fügt in der DNS-Zone der Domain, einen A-Record auf die IPv4 Adresse und einen AAAA-Record auf die IPv6 Adresse des Webservers ein.
Installation
Certify the web wird auf dem Server installiert, auf diesem IIS ausgeführt wird. Das kostenlose Tool kann man hier herunterladen, oder es wird in der Eingabeaufforderung mit „winget“ Windows Package Manager installiert.
Beim ersten start wird man begrüsst mit der Bitte, einen neuen Kontakt zu registrieren, über die E-Mail Adresse die man registriert, lässt Let’s Encrypt einem auf dem laufenden, und erinnert uns über die Laufzeit des Zertifikats.
Im IIS-Manager (inetmgr) wird als Bindung der Hostname mit dem Domainname eintragen, zum Beispiel web.shop.net.
Bindungen bearbeiten…
Unter Sites über der entsprechenden Site mit Rechtsklick das Kontextmenü öffnen und auf Bindungen bearbeiten gehen.
Sitebindung und Let’s Encrypt Zertifikat
Als Hostname wird hier web.shop.net eingetragen.
Certify Start
Jetzt den “Certify the web” Manger starten, um für die Domain ein CA Zertifikat anfordern zu lassen.
Man Klickt auf New Certificate um eine neues Zertifikat ausstellen zu lassen, nach dem man im Feld Add domains to certificate den Domainname einträgt und auf den Button ADD DOMAIN klickt.
Mit klick auf Request Certificate wird das Zertifikat angefordert und automatisch installiert.
ACME auf Exchange Server
Zertifikat für IIS und Exchange mit ACME Lets Encrypt ausstellen. Die CA von Let’s Encrypt stellt Zertifikate auch für SAN (Subject Alternative Name) Zertifikate aus, Wildcard-Zertifikate werden seit Anfang 2018 unterstützt.
Für öffentlich zugängliche Websites sind SSL-Verbindungen mittlerweile Standard, und selbiges sollte auch für Exchange gelten. Let’s Encrypt betreibt eine freie CA, die Zertifikate nicht nur kostenlos, sondern auch weitgehend automatisiert ausstellt. Diese Anleitung zeigt das Vorgehen für IIS und Exchange.
Zur Verifikation, ob der Antragsteller jener ist, der die Domäne kontrolliert, für die er ein Zertifikat beanträgt, setzt Let’s Encrypt das ACME-Protokoll (Automatic Certificate Management Environment) ein.
Bei jeder Methode die zur Verifizierung der Domain verwendet wird, muss der FQDN über ein öffentlichen DNS-Server auflösbar und der Host auf Port 80 aus dem Internet erreichbar sein.
Das gilt auch, wenn man sich für die Verifizierung mittels Datei entscheidet, die der Client auf den lokalen Rechner herunterlädt. Diese muss dann auf den Host kopiert werden und dort für Let’s Encrypt zugänglich sein. Damit der ACME-Client die Hostnamen aus der IIS-Konfiguration ermitteln kann, muss im IIS-Manager sichergestellt werden, dass HTTP bei den gewünschten Sites an die jeweiligen FQDN gebunden ist.
Zertifikat anfordern
Das interaktive Tool win-acme kann hier heruntergeladen werden, nach dem entpacken wird in einem als Administrator geöffneten Comand Prompt wacs.exe ausgeführt.
Wir wählen hier also M Create new certificate (full options) für ein SAN Certificate. Seit Exchange 2013 werden zwei IIS-Sites verwendet, die ein Zertifikat benötigen. Danach wählen wir als Methode die Option 3 „[http-01] Create temporary application in IIS“.
Nach erfolgreicher Ausstellung des Zertifikats legt wacs.exe das Zertifikat unter C:\ProgramData\win-acme\httpsacme-v01.api.letsencrypt.org ab.
Dienste IIS SMTP IMAP
Exchange hat an dieser Stelle noch nicht für jeden Dienst ein Zertifikat. Das kann man manuell in der ECP-Konsole erledigen, oder aber das hierfür bereitgestellte Script ImportExchange.ps1 werwenden.
Interactive ausführung in Exchange Command Prompt (wacs.exe)
Create certificate with full options
Manually input host names
[http-01] Self-host verification files
Create or update https bindings in IIS
Would you like to add another installer step? (y/n): Y
Run a custom script
Would you like to add another installer step? (y/n): N
Choose site to create new bindings: Default Web Site (or where ever OWA is at)
Enter the path to the script that you want to run after renewal: ./Scripts/ImportExchange.ps1
Enter the parameter format string for the script: '{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'
Es muss sichergestellt sein, das aufgrund der 90 Tage begrenzten Gültigkeit des Zertifikats, das dessen Erneuerung nicht verpasst wird. Am besten erstellt man hierfür ein geplanten Task. Dieser sollte nicht nur den ACME-Client mit dem renew-Parameter enthalten, sondern auch die zuweisung der Dienste.
