6 Swyx Connectivity Setup Tool
SwyxWare ist standardmäßig mit einem automatisch generierten (SelfSigned) TLS-Zertifikat ausgestattet. Das Swyx Connectivity Setup Tool (SCST) ermöglicht es Ihnen, SwyxWare mit einem offiziellen vertrauenswürdigen TLS-Zertifikat und optional mit einem eindeutigen öffentlichen Servernamen (Fully qualified Domain Name, FQDN) auszustatten.
Das TLS-Serverzertifikat erlaubt SwyxWare Diensten und Clients sicherzustellen, dass Sie mit dem richtigen Server verschlüsselt kommunizieren. Auch Swyx Control Center und der SwyxConfigDataStore-Dienst nutzen dieses TLS-Zertifikat auf der Provisionierungsschnittstelle für zertifizierte SIP-Telefone, SwyxDECT 800 und die REST-Schnittstelle für Client-Verbindungen.
Momentan unterstützt das SCST noch keine SwyxWare Dienste, die auf einem anderen Rechner als SwyxServer installiert sind.
RemoteConnector
Sie können die Einstellungen für den RemoteConnector für SwyxIt! im SCST festlegen.
Der RemoteConnector für SwyxIt! ist ein SwyxWare Dienst, der die Verbindung von SwyxWare Clients zu SwyxServer aus dem Internet ermöglicht und verwaltet, siehe 26.1 Internet-Verbindung via RemoteConnector
Die Einstellungen des RemoteConnector für SwyxIt! haben keinen Einfluss auf den RemoteConnector für Yealink.
Verbindungen zum SwyxRemoteConnector werden nicht nur mit einem Server-, sondern auch mit benutzerspezifischen Client-Zertifikaten geschützt. Deswegen verwendet SwyxRemoteConnector eigene X.509 Stamm-, Server- und Client-Zertifikate. Die RemoteConnector für SwyxIt! Zertifikate sind unabhängig von dem TLS-Serverzertifikat der anderen SwyxWare Dienste.
RemoteConnector-Zertifikate (Stamm- und Serverzertifikat) lassen Sie in SCST automatisch erzeugen und installieren. Client-Zertifikate können Sie manuell für gewünschte Benutzer erzeugen, oder automatisch für alle Benutzer erzeugen lassen.
Split DNS im internen Netzwerk
Die Clients, welche SwyxServer im internen Netzwerk erreichen, müssen auch den eindeutigen FQDN verwenden, für den das TLS-Serverzertifikat ausgestellt ist.
Es wird nicht empfohlen, dass der Netzwerkverkehr von den Clients im internen Netzwerk über die öffentliche IP und den Internet-Router ihres Netzwerks fließt, statt direkt zum SwyxWare. Die DNS Anfragen nach der IP-Adresse des FDQN müssen in Ihrem lokalen Netzwerk mit der internen IP-Adresse des SwyxServer beantwortet werden.
|
Client-Typ
|
Angesprochene SwyxServer Adresse
|
DNS-Konfiguration
|
|---|---|---|
|
Externe Clients
|
FQDN
|
Externe IP-Adresse
|
|
Interne Clients
|
FQDN
|
Interne IP-Adresse des SwyxServer
|
Zu diesem Zweck müssen Sie in Ihrem lokalen Netzwerk einen DNS-Dienst oder -Server einrichten.
Swyx Connectivity Setup Tool kann erst gestartet werden, wenn die SwyxWare Installation und eine grundlegende Konfiguration im SwyxWare Konfigurationsassistenten erfolgt ist.
Auf der SwyxDECT 800-Basisstation (Ascom) müssen Sie das TLS-Stammzertifikat selbst installieren, siehe 6.5 TLS-Stammzertifikat auf DECT 800- Basisstation installieren
Wenn Sie SwyxWare mit einem vertrauenswürdigen TLS-Zertifikat ausstatten, müssen Sie sicherstellen, dass SwyxServer und alle Clients, die sich mit SwyxWare verbinden, das richtige Datum und die richtige Uhrzeit erhalten. Siehe auch service.swyx.net/hc/de/articles/360000014639-SwyxPhones-brauchen-korrekte-Uhrzeit-für-Verbindungen-zum-SwyxServer-
Wenn Sie eine Windows-Domäne in Ihrem internen Netzwerk betreiben, sind Datum und Uhrzeit auf dem Windows-Server und den Clients bereits korrekt synchronisiert.
Anwendungsszenarien von SCST:
Sie können SCST für folgende Zwecke verwenden:
1) TLS-Zertifikat von Let‘s Encrypt erhalten (Automatischer Zertifikatsmodus)
In diesem Fall ermittelt SCST die aktuell genutzte öffentliche IP-Adresse von SwyxServer und registriert einen FQDN beim SwyxON DNS-Dienst.
Für diesen FQDN fordert SCST beim kostenlosen Dienst Let’s Encrypt (letsencypt.org) ein TLS-Serverzertifikat an und installiert es in der SwyxWare, siehe 6.1 TLS-Zertifikat von Let’s Encrypt verwenden
Voraussetzung dafür ist, dass die Online-Lizenzierung verwendet wird, siehe 2 Online-Lizenzierung
Zertifizierte SIP-Telefone (Yealink) unterstützen das TLS-Zertifikat von Let‘s Encrypt und erfordern keine zusätzliche TLS-Konfiguration.
2) Eigenes TLS-Zertifikat verwenden (Manueller Zertifikatsmodus)
Wenn Sie es vorziehen, ein eigenes TLS-Zertifikat oder ein von einer kommerziellen Zertifizierungsstelle (CA) erworbenes zu verwenden, hilft SCST bei der Installation dieses Zertifikats, siehe 6.2 Eigenes TLS-Zertifikat verwenden
Beachten Sie bei der Auswahl dieser Option, dass Sie über eine eigene DNS-Zone verfügen müssen und die öffentliche IP-Adresse Ihres Netzwerks durch einen eindeutigen registrierten FQDN aufgelöst werden muss.
Zertifizierte SIP-Telefone (Yealink) unterstützen TLS-Zertifikate von anerkannten Zertifizierungsstellen (CA): support.yealink.com/en/portal/docDetail?documentCode=90ef402d65392bc5
Wenn Sie ein Zertifikat von der aufgelisteten Zertifizierungsstelle verwenden, ist keine zusätzliche TLS-Konfiguration an Yealink-Endgeräten erforderlich.
Wenn Sie ein Zertifikat von der aufgelisteten Zertifizierungsstelle verwenden, ist keine zusätzliche TLS-Konfiguration an Yealink-Endgeräten erforderlich.
Wenn Ihr TLS-Zertifikat von Yealink nicht unterstützt ist, müssen Sie das entsprechende Stammzertifikat auf jedem SIP-Telefon installieren, siehe 6.6 TLS-Stammzertifikat auf Zertifizierten SIP-Telefonen installieren
3) Nur SwyxRemoteConnector konfigurieren
Wenn Sie weiterhin das SelfSigned-Zertifikat verwenden möchten, oder wenn Sie ein TLS-Zertifikat bereits installiert haben, können Sie SCST auch nutzen, um nur die RemoteConnector-Parameter festzulegen.