简介
本文档介绍视频通信服务器(VCS)上的证书身份验证。证书标识VCS,并包含其已知名称和流量路由到的名称。如果VCS为这些目的而知道多个名称,例如它是集群的一部分,则必须在X.509主题数据中表示。证书必须包含VCS本身和集群的完全限定域名(FQDN)。如果证书在群集对等体之间共享,则必须列出所有可能的对等体FQDN。
VCS需要以下证书:
- 具有传输层安全(TLS)(HTTPS)连接的安全HTTP
- 会话发起协议(SIP)信令、终端和邻居区域的TLS连接
- 连接到其他系统,如Cisco Unified Communications Manager(CUCM)、Cisco TelePresence Management Suite(TMS)、轻量级目录访问协议(LDAP)服务器和系统日志服务器
它使用其受信任证书颁发机构(CA)证书列表和关联的证书撤销列表(CRL)来验证连接到它的其他设备。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- VCS — 版本8.1和8.1.1
- 证书颁发机构 — Microsoft Windows 2008 R2 Enterprise
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
VCS版本8.1.1支持协作边缘移动远程访问(MRA)功能,并要求在VCS-Control和VCS-Expressway之间建立TLS连接。
要设置TLS,您需要在VCS上上传必要的证书。您可以通过以下三种方法完成此操作:
- OpenSSL
- 企业CA
- 第三方CA
VCS-Control和VCS-Expressway之间的TLS连接需要以下两个属性:
- TLS客户端身份验证
- TLS Web服务器身份验证
本文档重点介绍企业CA方法,因为OpenSSL已在VCS证书部署指南中讨论。
安装CA时,默认情况下Web服务器证书。但是,此模板不能用于为VCS-Control和VCS-Expressway之间的TLS连接生成证书。如果尝试将证书上传到仅使用Web服务器属性生成的VCS,您将收到此错误。
要验证此情况,请选择“维护”>“服务器证书”。单击“Decode Certificate”。选中“扩展密钥使用”部分。
配置
如前所述,对于TLS连接,您需要客户端和Web服务器属性。由于没有默认模板,因此可以创建一个模板。要生成具有TLS客户端身份验证和TLS Web Server身份验证属性的新模板,请完成以下步骤:
- 打开证书颁发机构或转到Microsoft管理控制台(MMC)控制台。单击Add/Remove Snapin,然后选择Certificate Authority。展开左窗格中的CA,然后选择Certificate Templates。右键单击证书模板并选择Manage。
- 右键单击Web服务器证书模板,然后选择复制模板。
- 单击“Windows Server 2003 Enterprise”单选按钮(如果希望模板可用于Web注册)。 Click OK.
- 在模板显示名称字段中输入模板名称。根据您的要求命名模板,例如“Web服务器客户端2003”。
- 单击“Extensions”选项卡,然后选择“Application”策略。单击 Edit。
- 在Add Application Policy对话框中,选择Client Authentication。Click OK.
- 在编辑应用策略扩展对话框中,单击确定。
- 在MMC控制台或CA窗口中,右键单击Certificate Template。选择New > Certificate Template to Issue。
- 在启用证书模板对话框中选择新创建的模板。验证“目标用途”列中的模板。Click OK.
验证
使用本部分可确认配置能否正常运行。
请完成以下步骤:
- 验证请求的证书模板是否可用以颁发新证书。
- 按照步骤从VCS生成证书签名请求(CSR),并获取使用新模板签名的证书。
- 验证证书是否同时具有客户端和Web服务器属性。
故障排除
本部分提供了可用于对配置进行故障排除的信息。
如果模板不可用于Web注册,请确定访问certsrv的用户是否具有必要权限。
如前所述,Windows 2008模板将不可用于Web注册。有关详细信息,请参阅2008 Web Enrollment和Version 3 Templates。