Einleitung
CAPF (Certificate Authority Proxy Function) LSCs (Locally Significant Certificates) sind lokal signiert. Möglicherweise benötigen Sie Telefone jedoch von der Zertifizierungsstelle (Certificate Authority, CA) signierte LSCs von Drittanbietern. In diesem Dokument wird ein Verfahren beschrieben, das Ihnen dabei hilft.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse des Cisco Unified Communication Manager (CUCM) verfügen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf CUCM-Version 10.5(2). Diese Funktion ist jedoch in Version 10.0 und höher verfügbar.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Konfigurieren
Im Folgenden sind die einzelnen Schritte dieses Verfahrens aufgeführt, die jeweils in einem eigenen Abschnitt beschrieben werden:
- CA-Root-Zertifikat hochladen
- Offline-Zertifizierungsstelle für Zertifikatausstellung auf Endpunkt festlegen
- Erstellen einer Zertifikatsanforderung (CSR) für die Telefone
- Rufen Sie den erzeugten CSR vom Cisco Unified Communications Manager (CUCM) auf den FTP-Server ab.
- Telefonzertifikat von CA abrufen
- .cer in .der Format konvertieren
- Komprimieren der Zertifikate (.der) in das TGZ-Format
- Übertragen Sie die TGZ-Datei auf den Secure Shell FTP (SFTP)-Server.
- Importieren Sie die TGZ-Datei auf den CUCM-Server.
- Signieren des CSR mit der Microsoft Windows 2003 Certificate Authority
- Stammzertifikat von der Zertifizierungsstelle abrufen
CA-Root-Zertifikat hochladen
- Melden Sie sich bei der Web-GUI für die Cisco Unified Operating System (OS)-Administration an.
- Navigieren Sie zu Sicherheitszertifikatverwaltung.
- Klicken Sie auf Zertifikat hochladen/Zertifikatskette.
- Wählen Sie CallManager-trust unter Certificate Purpose aus.
- Navigieren Sie zum Stammzertifikat der Zertifizierungsstelle, und klicken Sie auf Hochladen.
Offline-Zertifizierungsstelle für Zertifikatausstellung auf Endpunkt festlegen
- Melden Sie sich bei der Web-GUI der CUCM-Administration an.
- Navigieren Sie zu System > Service Parameter.
- Wählen Sie den CUCM-Server aus, und wählen Sie Cisco Certificate Authority Proxy Function (Cisco Zertifizierungsstelle-Proxyfunktion) für den Dienst aus.
- Wählen Sie Offline-Zertifizierungsstelle für Zertifikatausstellung an Endpunkt aus.
Erstellen einer Zertifikatsanforderung (CSR) für die Telefone
- Melden Sie sich bei der Web-GUI der CUCM-Administration an.
- Navigieren Sie zu Gerätetelefone.
- Wählen Sie das Telefon aus, dessen LSC von der externen Zertifizierungsstelle signiert werden muss.
- Ändern Sie das Gerätesicherheitsprofil in ein gesichertes Profil (falls nicht vorhanden, fügen Sie ein System zum Sicherheitsprofil für Telefone hinzu).
- Wählen Sie auf der Seite für die Telefonkonfiguration im Abschnitt "CAPF" die Option Install/Upgrade for the Certification Operation (Installation/Upgrade für den Zertifizierungsvorgang) aus. Führen Sie diesen Schritt für alle Telefone aus, deren LSC von der externen Zertifizierungsstelle signiert werden muss. Als Status des Zertifikatvorgangs sollte Vorgang ausstehend angezeigt werden.
Telefon-Sicherheitsprofil (Modell 7962).
Geben Sie den Befehl utils capf csr count in der Secure Shell (SSH)-Sitzung ein, um zu bestätigen, ob ein CSR generiert wird. (Dieser Screenshot zeigt, dass für drei Telefone eine CSR-Anfrage erstellt wurde.)
Hinweis: Der Status des Zertifikatvorgangs im CAPF-Bereich des Telefons bleibt im Status Vorgang ausstehend.
Rufen Sie den generierten CSR vom CUCM auf den FTP- (oder TFTP-) Server ab.
- SSH-Verbindung zum CUCM-Server.
- Führen Sie den Befehl utils capf csr dump aus. Dieser Screenshot zeigt den Dump, der auf den FTP übertragen wird.
- Öffnen Sie die Dump-Datei mit WinRAR, und extrahieren Sie den CSR auf Ihren lokalen Computer.
Telefonzertifikat abrufen
- Senden Sie die CSRs des Telefons an die CA.
- Die Zertifizierungsstelle stellt Ihnen ein signiertes Zertifikat zur Verfügung.
Hinweis: Sie können einen Microsoft Windows 2003-Server als Zertifizierungsstelle verwenden. Das Verfahren zum Signieren des CSR mit einer Microsoft Windows 2003-Zertifizierungsstelle wird weiter unten in diesem Dokument erläutert.
.cer in .der Format konvertieren
Wenn die empfangenen Zertifikate im CER-Format vorliegen, benennen Sie sie in .der um.
Komprimieren der Zertifikate (.der) in das TGZ-Format
Sie können den CUCM-Server-Root (Linux) verwenden, um das Zertifikatformat zu komprimieren. Sie können dies auch in einem normalen Linux-System tun.
- Übertragen Sie alle signierten Zertifikate auf das Linux-System mit dem SFTP-Server.
- Geben Sie diesen Befehl ein, um alle Zertifikate mit der Erweiterung .der in eine TGZ-Datei zu komprimieren.
tar -zcvf
.tgz *.der
Übertragen der TGZ-Datei auf den SFTP-Server
Führen Sie die im Screenshot aufgeführten Schritte aus, um die TGZ-Datei auf den SFTP-Server zu übertragen.
Importieren Sie die TGZ-Datei auf den CUCM-Server.
- SSH-Verbindung zum CUCM-Server.
- Führen Sie den Befehl utils capf cert import aus.
Sobald die Zertifikate erfolgreich importiert wurden, wird die CSR-Anzahl auf Null gesetzt.
Signieren des CSR mit der Microsoft Windows 2003 Certificate Authority
Dies sind optionale Informationen für Microsoft Windows 2003 - CA.
- Offene Zertifizierungsstelle:
- Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und navigieren Sie zu Alle Aufgaben > Neue Anforderung einsenden...
- Wählen Sie den CSR aus, und klicken Sie auf Öffnen. Führen Sie diesen Vorgang für alle CSRs aus.
Alle geöffneten CSR-Dokumente werden im Ordner "Pending Requests" (Ausstehende Anforderungen) angezeigt.
- Klicken Sie mit der rechten Maustaste darauf, und navigieren Sie zu Alle Aufgaben > Problem, um Zertifikate auszustellen. Führen Sie diesen Vorgang für alle ausstehenden Anforderungen aus.
- Um das Zertifikat herunterzuladen, wählen Sie Ausgestelltes Zertifikat.
- Klicken Sie mit der rechten Maustaste auf das Zertifikat, und klicken Sie auf Öffnen.
- Sie können die Zertifikatdetails sehen. Um das Zertifikat herunterzuladen, wählen Sie die Registerkarte Details und anschließend In Datei kopieren...
- Wählen Sie im Zertifikatexport-Assistenten die Option DER-codierte binäre X.509-Datei (.CER) aus.
- Geben Sie der Datei einen geeigneten Namen. In diesem Beispiel wird das Format <MAC>.cer verwendet.
- Rufen Sie mit diesem Verfahren die Zertifikate für andere Telefone im Abschnitt "Ausgestelltes Zertifikat" ab.
Stammzertifikat von der Zertifizierungsstelle abrufen
- Offene Zertifizierungsstelle.
- Führen Sie die in diesem Screenshot dargestellten Schritte aus, um die Root-CA herunterzuladen.
Überprüfung
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
- Rufen Sie die Seite für die Telefonkonfiguration auf.
- Im Abschnitt "CAPF" sollte der Status des Zertifikatvorgangs als "Upgrade Success" (Aktualisierung erfolgreich) angezeigt werden.
Hinweis: Weitere Informationen finden Sie unter Generate and Import Third Party CA-Signed LSCs.
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.