Voz e comunicações unificadas : Cisco Unified Communications Manager (CallManager)

Exemplo de configuração CA-assinado da terceira da geração e da importação CUCM LSC

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Função do proxy do Certificate Authority (CAPF) localmente - os Certificados significativos (LSC) local-são assinados. Contudo, você pôde exigir telefones usar o Certificate Authority (CA) da terceira - LSC assinados. Este documento descreve um procedimento que o ajude a conseguir este.

Contribuído por Ramesh Balakrishnan, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento de Cisco unificou o gerente de uma comunicação (CUCM).

Componentes Utilizados

A informação neste documento é baseada na versão 10.5(2) CUCM; contudo, esta característica trabalha da versão 10.0 e mais recente.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Estão aqui as etapas envolvidas neste procedimento, cada qual é detalhado em sua própria seção:

  1. Transfira arquivos pela rede o certificado da CA-raiz
  2. Ajuste CA autônomo para a edição do certificado ao valor-limite
  3. Gerencia uma solicitação de assinatura de certificado (CSR) para os telefones
  4. Obtenha o CSR gerado do gerente das comunicações unificadas de Cisco (CUCM) ao servidor FTP
  5. Obtenha o certificado do telefone de CA
  6. Converta .cer ao formato .der
  7. Comprima os Certificados (.der) ao formato .tgz
  8. Transfira o arquivo .tgz ao server do Secure Shell FTP (SFTP)
  9. Importe o arquivo .tgz ao server CUCM
  10. Assine o CSR com Certificate Authority de Microsoft Windows 2003
  11. Obtenha o certificado de raiz de CA

Transfira arquivos pela rede o certificado da CA-raiz

  1. O log em Cisco unificou a Web GUI da administração do operating system (OS).

  2. Navegue ao Gerenciamento do Security Certificate.

  3. Clique o certificado/certificate chain da transferência de arquivo pela rede.

  4. Escolha a CallManager-confiança sob a finalidade do certificado.

  5. Consulte ao certificado de raiz de CA e clique a transferência de arquivo pela rede.

Ajuste CA autônomo para a edição do certificado ao valor-limite

  1. Log na Web GUI da administração CUCM.

  2. Navegue ao sistema > ao parâmetro de serviço.

  3. Escolha o server CUCM e selecione a função do proxy do Certificate Authority de Cisco para o serviço.

  4. Selecione CA autônomo para a edição do certificado ao valor-limite.

Gerencia uma solicitação de assinatura de certificado (CSR) para os telefones

  1. Log na Web GUI da administração CUCM.

  2. Navegue aos telefones do dispositivo.

  3. Escolha o telefone cujo o LSC deve ser assinado por CA externo.

  4. Mude o perfil de segurança do dispositivo a um fixado (se não o presente, adiciona um sistema no perfil de segurança do telefone da Segurança).

  5. Na página da configuração telefônica, sob a seção CAPF, escolha instalam/elevações para a operação da certificação. Termine esta etapa para todos os telefones cujo o LSC deve ser assinado por CA externo. Você deve ver a operação pendente para o status de operação do certificado.



    Perfil de segurança do telefone (modelo 7962).



    Inscreva o comando count csr do capf dos utils na sessão do Shell Seguro (ssh) a fim confirmar se um CSR está gerado. (Este screen shot mostra que um CSR esteve gerado para três telefones.)



    Nota: O status de operação do certificado sob a seção CAPF do telefone permanece no estado pendente da operação.

Obtenha o CSR gerado do CUCM ao server FTP (ou TFTP)

  1. SSH no server CUCM.

  2. Execute o comando dump csr do capf dos utils. Este screen shot mostra a descarga que está sendo transferida ao FTP.



  3. Abra o arquivo da descarga com WinRAR e extraia o CSR a sua máquina local.

Obtenha o certificado do telefone

  1. Envie os CSR do telefone a CA.

  2. CA fornece-o um certificado assinado.

    Nota: Você pode usar um server de Microsoft Windows 2003 como CA. O procedimento para assinar o CSR com um Microsft Windows 2003 CA é explicado mais tarde neste documento.

Converso .cer ao formato .der

Se os Certificados recebidos estão no formato de .cer, a seguir rebatize-os a .der.

Comprima os Certificados (.der) ao formato .tgz

Você pode usar a raiz do server CUCM (Linux) a fim comprimir o formato do certificado. Você pode igualmente fazer este em um sistema Linux normal.

  1. Transfira todos os certificados assinados ao sistema Linux com o servidor SFTP.



  2. Incorpore este comando a fim comprimir todos os Certificados .der em um arquivo .tgz.

    tar -zcvf <file_name>.tgz    *.der


Transfira o arquivo .tgz ao servidor SFTP

Termine as etapas mostradas no screen shot a fim transferir o arquivo .tgz ao servidor SFTP.

Importe o arquivo .tgz ao server CUCM

  1. SSH no server CUCM.

  2. Execute o comando import CERT do capf dos utils.



    Uma vez que os Certificados são importados com sucesso, a seguir você pode ver a contagem CSR transformar-se zero.

Assine o CSR com Certificate Authority de Microsoft Windows 2003

Esta é informação opcional para Microsoft Windows 2003 - CA.

  1. Abra a autoridade de certificação.



  2. Clicar com o botão direito CA e navegue a todas as tarefas > submetem o pedido novo…



  3. Selecione o CSR e clique aberto. Faça isto para todos os CSR.



    Todo o indicador aberto CSR no dobrador pendente dos pedidos.

  4. Clicar com o botão direito cada um e navegue a todas as tarefas > edição a fim emitir Certificados. Faça isto para todos os pedidos pendentes.



  5. A fim transferir o certificado, escolha o certificado emitido.

  6. Clicar com o botão direito o certificado e clique aberto.



  7. Você pode ver os detalhes certificados. A fim transferir o certificado, selecione a aba dos detalhes e escolha a cópia arquivar…



  8. No assistente da exportação do certificado, escolha o DER X.509 binário codificado (.CER).



  9. Nomeie o arquivo algo apropriado. Este exemplo usa o formato <MAC>.cer.



  10. Obtenha os Certificados para outros telefones sob a seção emitida do certificado com este procedimento.

Obtenha o certificado de raiz de CA

  1. Abra a autoridade de certificação.

  2. Termine as etapas mostradas neste screen shot a fim transferir a CA raiz.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Vá à página da configuração telefônica.

  2. Sob a seção CAPF, o status de operação do certificado deve indicar como o sucesso da elevação.

Nota: Consulte para gerar e importar LSC CA-assinados terceira parte para mais informação.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.



Document ID: 118779