Voz e comunicações unificadas : Cisco Unified Communications Manager (CallManager)

Configurar Telefones IP de AnyConnect VPN com certificado de autenticação em um ASA

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (10 Dezembro 2015) | Feedback

Introdução

Este documento descreve como configurar a ferramenta de segurança adaptável de Cisco (ASA) e dispositivos do CallManager da Cisco a fim fornecer o certificado de autenticação para os clientes de Cisco AnyConnect que são executado em Telefones IP de Cisco. Depois que esta configuração está completa, os Telefones IP de Cisco podem com sucesso estabelecer conexões de VPN aos ASA que utilizam Certificados a fim fixar a comunicação.

Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Licença superior do secure sockets layer de Cisco AnyConnect (SSL)

  • Cisco AnyConnect para a licença do telefone de Cisco VPN

Nota: Dependente em cima da versão ASA, você verá AnyConnect para o telefone de Linksys para a liberação 8.0.x ASA ou AnyConnect para o telefone de Cisco VPN para a liberação 8.2.x ASA ou mais tarde.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Liberação de Cisco ASA 8.0(4) ou mais atrasado

  • Telefones IP modelo de Cisco 7942, 7962, 7945, 7965, e 7975

  • Telefones modelo de Cisco 8961, 9951, e 9971 que executam o firmware da liberação 9.1(1)

  • Ciscos phone que executam o Skinny Call Control Protocol (SCCP) da liberação 9.0(2)SR1S ou mais tarde

  • Liberação 8.0.1.100000-4 do gerente das comunicações unificadas de Cisco (CUCM) ou mais atrasado

As liberações que são usadas neste exemplo de configuração incluem:

  • Liberação de Cisco ASA 9.1(1)

  • Revisão do CallManager da Cisco 8.5.1.10000-26

A fim ver uma lista completa de telefones apoiados em sua versão CUCM, termine estas etapas:

  1. Abra esta URL em um navegador: IP de servidor Address>:8443/cucreports/systemReports.do de https:// <CUCM.

  2. Navegue a lista unificada dos recursos de telefone CM > geram um relatório > uma característica novos: Virtual Private Network.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Telefone a tipos do certificado

Cisco usa que estes o certificado datilografa dentro telefones:

  • Certificados instalados fabricante (MIC):

    • Os MIC são incluídos em todos os 7941, 7961, e Telefones IP de Cisco de um modelo mais novo. Os MIC são os Certificados 2048-bit chaves que são assinados pelo Certificate Authority (CA) de Cisco. Quando um MIC esta presente, não é necessário instalar localmente o certificado significativo a - (LSC). Para que o CUCM confie o certificado MIC, utiliza os certificados de CA instalados CAP-RTP-001, CAP-RTP-002, Cisco_Manufacturing_CA, e Cisco_Manufacturing_CA_SHA2 em seu truststore do certificado.

    • Um MIC é válido por dez anos.

    • Não há nenhum apoio da revogação de certificado.

  • Localmente - Certificados significativos (LSC):

    • O LSC fixa a conexão entre o CUCM e o telefone depois que você configura o modo da segurança do dispositivo para a autenticação ou a criptografia.

    • O LSC possui a chave pública para o Cisco IP Phone, que é assinada pela chave privada da função do proxy do Certificate Authority CUCM (CAPF). Este é o método preferido (ao contrário do uso dos MIC) porque somente os Telefones IP de Cisco que é manualmente fornecida por um administrador são permitidos transferir e verificar o arquivo CTL.

    • O LSC apoia bit do tamanho chave 512, 1024 de Rivest-Shamir-Adleman (RSA), ou 2048.

    • Um LSC pode ser instalado, reeditado, ou suprimido no volume com a ferramenta de administração de grande escala CUCM.

    • Um LSC que seja assinado pelo CAPF é válido por cinco anos.

Cuidado: Devido ao risco de segurança aumentada, Cisco recomenda o uso dos MIC unicamente para a instalação LSC e não para o uso continuado. Os clientes que configuram Telefones IP de Cisco para usar MIC para a autenticação do Transport Layer Security (TLS) ou para toda a outra finalidade fazem tão por sua conta e risco.

Configurar

Esta seção descreve como terminar estas configurações:

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração ASA

A configuração do ASA é similar às configurações que envolvem um computador de cliente de AnyConnect que seja conectado ao ASA. Contudo, estas limitações aplicam-se:

  • O grupo de túneis deve ter uma grupo-URL. Esta URL é configurada no CM sob o gateway de VPN URL.

  • A política do grupo não deve conter um túnel em divisão.

Esta configuração usa um certificado (auto-assinado ou da terceira) previamente configurado e instalado ASA no ponto confiável SSL do dispositivo ASA. Para mais informação, refira estes documentos:

Está aqui a configuração relevante ASA:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

É importante notar que nas versões 9.4.1 e mais recente, a criptografia elíptico da curva está apoiada para o SSL/TLS. Quando um cliente VPN curva-capaz elíptico SSL conecta ao ASA, a série elíptico da cifra da curva está negociada, e o ASA apresenta o cliente VPN SSL com um certificado elíptico da curva, mesmo quando a relação que corresponde é configurada com um ponto confiável RSA-baseado. A fim evitar a necessidade de ter o ASA apresente um certificado auto-assinado SSL, o administrador deve remover as séries relacionadas da cifra através do comando da cifra SSL. Por exemplo, para uma relação que seja configurada com um ponto confiável RSA, o administrador pode executar este comando de modo que somente as cifras RSA-baseadas sejam negociadas:

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

Configuração do CallManager

Termine estas etapas a fim exportar o certificado do ASA e importar o certificado no CallManager como um certificado da Telefone-VPN-confiança:

  1. Registrar o certificado gerado com o CUCM.

  2. Verifique o certificado que é usado para o SSL:
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. Exporte o certificado:
    ASA(config)#crypto ca export SSL identity-certificate
    O certificado de identidade codificado do Privacy Enhanced Mail (PEM) segue:
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. Copie o texto do terminal e salvar o como um arquivo do .pem.

  5. Entre ao CallManager e navegue ao > gerenciamento de certificado do > segurança da administração do OS > ao certificado unificados da transferência de arquivo pela rede > Telefone-VPN-confiança seleta a fim transferir arquivos pela rede o arquivo certificado que salvar na etapa precedente.

Configuração de VPN no CallManager

Termine estas etapas a fim configurar o VPN no CallManager:

  1. Navegue a Cisco unificou a administração CM.

  2. Escolha recursos avançados > VPN > gateway de VPN da barra de menus:



  3. Termine estas etapas na janela de configuração do gateway de VPN:

    1. Dê entrada com um nome no campo de nome do gateway de VPN. Este pode ser todo o nome.

    2. Incorpore uma descrição ao campo de descrição do gateway de VPN (opcional).

    3. Incorpore a grupo-URL que é definida no ASA no campo URL do gateway de VPN.

    4. Na seção dos Certificados VPN do campo do lugar, selecione o certificado que foi transferido arquivos pela rede ao CallManager previamente a fim o mover do truststore para este lugar:



  4. Escolha recursos avançados > VPN > grupo de VPN da barra de menus:



  5. Selecione o gateway de VPN que foi definido previamente de todo o campo disponível dos gateways de VPN. Clique a seta para baixo a fim mover o gateway selecionado para os gateways de VPN selecionados neste campo do grupo de VPN:



  6. Escolha recursos avançados > perfil VPN > VPN da barra de menus:



  7. Termine todos os campos que são identificados por meio de um asterisco (*) a fim configurar o perfil VPN:



    • Permita a auto rede detectam: Se esta característica é permitida, o telefone VPN sibila o servidor TFTP. Se nenhuma resposta é recebida, ele auto-novatos uma conexão de VPN.

    • Permita a verificação do ID do host: Se esta característica é permitida, o telefone VPN compara o nome de domínio totalmente qualificado (FQDN) do gateway de VPN URL contra o CN/SAN do certificado. O cliente não conecta se não combinam ou se um certificado do convite com um asterisco (*) está usado.

    • Permita a persistência da senha: Esta característica permite que o telefone VPN ponha em esconderijo o username e o passsword para a tentativa seguinte VPN.

  8. O clique aplica a configuração no indicador comum da configuração de perfil do telefone a fim aplicar a configuração de VPN nova. Você pode usar o perfil comum padrão do telefone ou criar um perfil novo.





  9. Se você criou um perfil novo para telefones/usuários específicos, a seguir navegue ao indicador da configuração telefônica. Escolha o perfil comum do telefone do padrão no campo comum do perfil do telefone:



  10. Registrar o telefone ao CallManager outra vez a fim transferir a configuração nova.

Configuração do certificado de autenticação

Termine estas etapas no CallManager e no ASA a fim configurar o certificado de autenticação:

  1. Escolha recursos avançados > perfil VPN > VPN da barra de menus.

  2. Confirme que o campo do método de authenticação do cliente está ajustado para certificate:



  3. Entre ao CallManager. Escolha o > gerenciamento de certificado unificado > o achado do > segurança da administração do OS da barra de menus.

  4. Exporte os certificados corretos para o método de certificado de autenticação selecionado:

    • Use o Cisco_Manufacturing_CA a fim autenticar os Telefones IP com um MIC (selecione Cisco_Manufacturing_CA ou Cisco_Manufacturing_CA_SHA2, dependente do modelo do telefone IP. Verifique a instalação certificada no telefone IP para mais detalhes): 





    • Use o CAPF a fim autenticar os Telefones IP com um LSC:



  5. Encontre o certificado (Cisco_Manufacturing_CA, Cisco_Manufacturing_CA_SHA2, ou CAPF). Transfira o arquivo do .pem e salvar o como um arquivo de .txt.

  6. Crie um ponto confiável novo no ASA e autentique o ponto confiável com o certificado salvar precedente. Quando você é alertado para o certificado de CA codificado base-64, seleto e cole o texto no arquivo transferido do .pem junto com o COMEÇO e as linhas final. Aqui está um exemplo:
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. Confirme que a autenticação no grupo de túneis está ajustada ao certificado de autenticação:
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

Instalação certificada em Telefones IP

Os Telefones IP podem trabalhar com os MIC ou os LSC, mas o processo de configuração é diferente para cada certificado.

A instalação MIC

À revelia, todos os telefones que apoiam o VPN PRE-são carregados com os MIC. Os 7960 e 7940 telefones modelo não vêm com um MIC e exigem um procedimento de instalação especial de modo que o LSC se registre firmemente.

Os Telefones IP os mais novos de Cisco (8811, 8841, 8851, e 8861) incluem os Certificados MIC que são assinados pelo SHA2 de fabricação novo CA:

  • A versão 10.5(1) CUCM inclui e confia os Certificados SHA2 novos.

  • Se você executa uma versão mais adiantada CUCM, você pôde ser exigido transferir o certificado de CA novo da fabricação e:

    • Transfira-o arquivos pela rede à CAPF-confiança de modo que os telefones possam autenticar com CAPF a fim obter um LSC.

    • Transfira-o arquivos pela rede à CallManager-confiança se você quer permitir que os telefones autentiquem com um MIC para o SORVO 5061.

Dica: Clique este link a fim obter o SHA2 CA se o CUCM executa atualmente uma versão anterior.

Cuidado: Cisco recomenda que você usa MIC para a instalação LSC somente. Cisco apoia LSC para a autenticação da conexão TLS com o CUCM. Porque os certificados de raiz MIC podem ser comprometidos, os clientes que configuram telefones para usar MIC para a autenticação TLS ou para toda a outra finalidade fazem tão por sua conta e risco. Cisco não supõe nenhuma responsabilidade se os MIC são comprometidos.

A instalação LSC

Termine estas etapas a fim instalar um LSC:

  1. Permita o serviço CAPF no CUCM.

  2. Depois que o serviço CAPF é ativado, atribua as instruções do telefone a fim gerar um LSC no CUCM. Entre à administração CUCM, escolha o dispositivo > o telefone, e selecione então o telefone que você configurou.

  3. Assegure-se de que todos os ajustes estejam corretos e que a operação está ajustada a uma data futura na seção de informação da função do proxy do Certificate Authority (CAPF):



  4. Se o modo de autenticação é ajustado à corda nula ou ao certificado existente, nenhuma ação mais adicional está exigida.

  5. Se o modo de autenticação é ajustado a uma corda, a seguir selecione manualmente a configuração do > segurança dos ajustes > ** # > LSC > atualização no console do telefone.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verificação ASA

Use esta informação a fim verificar a configuração no ASA:

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Verificação CUCM

Use esta informação a fim verificar a configuração no CUCM:

Troubleshooting

Este o Bug da Cisco ID é relacionado às configurações que são descritas neste documento:

  • Identificação de bug Cisco CSCtf09529Adicionar o apoio para a característica VPN em CUCM para 8961, 9951, 9971 telefones

  • Identificação de bug Cisco CSCuc71462O Failover do telefone IP VPN toma 8 minutos

  • Identificação de bug Cisco CSCtz42052Apoio do telefone IP SSL VPN para não números de porta padrão

  • Identificação de bug Cisco CSCuj71475Entrada TFTP manual necessária para o telefone IP VPN

  • Identificação de bug Cisco CSCum10683 – Atendimentos faltados, colocados, ou recebidos do registo dos Telefones IP

  • Identificação de bug Cisco CSCut10077DX650: O perfil fornecida CUCM VPN falha a validação certificada

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 115785