Voz e comunicações unificadas : Cisco Unified Communications Manager (CallManager)

Migração do telefone IP da versão 8.x CUCM entre conjuntos com arquivos ITL

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como impedir uma situação com a versão 8.0(1) do gerente das comunicações unificadas de Cisco (CUCM) onde os milhares de telefones devem ter seus arquivos iniciais da lista da confiança (ITL) suprimidos manualmente.

Contribuído por queimaduras de Jason, engenheiro de TAC da Cisco.

Informações de Apoio

Com versão 8.0(1) CUCM, a Segurança nova à revelia (SBD) caracteriza e o uso de arquivos ITL foi introduzida. Com estes novos recursos, deve ser tomado quando você move telefones entre conjuntos diferentes CUCM. Se você não termina as etapas apropriadas, é possível encontrar uma situação onde os milhares de telefones devam manualmente ter seus arquivos ITL suprimidos. Os telefones que apoiam os arquivos novos ITL transferem um arquivo especial de seu servidor TFTP CUCM. Uma vez que um arquivo ITL é instalado em um telefone, todos os arquivos de configuração futuros e do arquivo ITL atualizações devem ser qualquer um:

  • Assinado pelo certificado de servidor CCM+TFTP que é instalado atualmente no arquivo do certificate trust list (CTL) do telefone (se a Segurança do conjunto com CTL é permitida).

  • Assinado pelo certificado de servidor CCM+TFTP que é instalado no arquivo ITL do telefone.

  • Assinado por um certificado que exista em uma da verificação da confiança do server CUCM presta serviços de manutenção às lojas do certificado (TV) que são alistadas no arquivo ITL.

Com a funcionalidade nova da Segurança, estão aqui os três problemas que você pode encontrar quando você move um telefone de um conjunto para um outro conjunto:

  • O arquivo ITL do conjunto novo não é assinado pelo certificado atual ITL CCM+TFTP do telefone, assim que o telefone não aceita o arquivo novo ou arquivos de configuração ITL.

  • Os server TV que são alistados no arquivo atual ITL do telefone não puderam ser alcançáveis quando os telefones são movidos para o conjunto novo.

  • Mesmo se os server TV são alcançáveis para a verificação de certificado, os server velhos do conjunto TV não puderam ter os Certificados para o server novo.

Se estes três problemas são encontrados, uma opção possível é suprimir manualmente do arquivo ITL de todos os telefones que são movidos entre conjuntos. Esta não é uma solução desejável, porque exige o esforço maciço enquanto o número de telefones afetados aumenta.

Dica: Para a informação adicional, refira a Segurança secionam à revelia do guia da Segurança do gerente das comunicações unificadas de Cisco, a liberação 8.5(1).

Problema

Nenhuma mudanças que um telefone recebe com o TFTP ou o HTTP dos arquivos de configuração não são honradas. As opções de configuração que são passadas pelos arquivos de configuração incluem parcialmente:

  • URL (tais como a autenticação URL, os diretórios URL, e os serviços URL, para incluir a configuração interno/externo dos diretórios)

  • Características do lugar

  • Grupos do CallManager para o registro preliminar e secundário

O telefone registra-se provavelmente ao servidor TFTP configurado à revelia, mas muito provavelmente não se registra se o servidor TFTP novo não dirige o serviço do CallManager. Quando um telefone tem um arquivo incorreto ITL para o servidor TFTP atual, os logs do console do telefone mostram uma mensagem similar a esta:

1715: ERR 16:59:35.170584 SECD: EROR:verifyFile: sgn verify file failed 
</usr/ram/SEP00260BD749E9.cnf.xml>, errclass 8, errcode 19 (signer not in CTL)
1716: ERR 16:59:35.171327 SECD: EROR:verifyFile: verify FAILED,
</usr/ram/SEP00260BD749E9.cnf.xml>

Solução

Esta seção descreve como migrar continuamente os telefones de um conjunto ao seguinte, assim como como suprimir manualmente dos arquivos ITL dos telefones em uma encenação do ruim-caso.

Exportação maioria do certificado

Nota: Este método maioria da exportação do certificado trabalha somente se ambos os conjuntos são em linha com conectividade de rede quando os telefones estiverem migrados.

Uma solução possível, se os conjuntos velhos e novos são em linha ao mesmo tempo, é usar o método maioria da migração do certificado.

É importante compreender que os Telefones IP verificam cada arquivo baixado contra o arquivo ITL ou contra um server TV que exista no arquivo ITL. Se o telefone deve se mover para um conjunto novo, o arquivo ITL que os presentes novos do conjunto devem ser confiados pela loja do certificado TV do conjunto velho.

Termine estas etapas a fim executar o método maioria da exportação do certificado:

  1. Navegue ao > segurança da administração do OS > ao certificado do volume.

  2. Exporte os Certificados dos grânulos de destino novos (TFTP somente) e do conjunto original para um server central do protocolo de transferência de arquivo do Shell Seguro (ssh) (SFTP).

  3. Execute o serviço dos Certificados da consolidação do conjunto original (TFTP somente) no servidor SFTP que usa a relação maioria do certificado.

  4. Use a função maioria do certificado do conjunto velho das origens a fim importar os Certificados TFTP do servidor SFTP central.

  5. Reinicie os serviços TV no conjunto velho das origens.

  6. Use a opção de DHCP 150, ou o algum outro método, a fim apontar os telefones aos grânulos de destino novos.

Depois que você termina estas etapas, os telefones transferem o arquivo novo ITL dos grânulos de destino e tentam verificá-lo contra o arquivo atual ITL. Desde que o certificado não está atual no arquivo atual ITL, os telefones pedem o server velho TV para verificar a assinatura do arquivo novo ITL. Os telefones enviam uma pergunta TV ao conjunto velho das origens na porta TCP 2445 a fim fazer este pedido.

Se o processo do certificado trabalhou corretamente, o serviço TV retorna com sucesso e os telefones substituem o arquivo em memória ITL com o arquivo recentemente transferido ITL. Os telefones podem agora transferir e verificar os arquivos de configuração assinados do conjunto novo.

Parâmetro empresarial do Rollback

Nota: Este método é somente válido se terminado antes que a migração do telefone esteja tentada e não puder ser usada uma vez os telefones esteja no estado falho do arquivo da verificação. Os telefones que apoiam o serviço TV podem potencialmente perder o acesso aos serviços seguros URL tais como o diretório corporativo antes que estejam migrados ao conjunto novo e depois que o conjunto da preparação para o Rollback ao parâmetro pre-8.0 está ajustado para retificar no conjunto original. Migrado uma vez ao conjunto novo, os telefones transferem os arquivos novos ITL, e a operação segura URL deve retornar ao normal.

Esta solução utiliza o conjunto da preparação para o Rollback ao parâmetro empresarial pre-8.0 CUCM. Uma vez que este parâmetro é ajustado para retificar, os telefones transferem um arquivo especial ITL que contenha seções do certificado vazio TV e TFTP.

Quando um telefone tem um arquivo vazio ITL, aceita todo o arquivo de configuração sem assinatura (para migrações aos conjuntos que executam versões CUCM mais cedo do que a versão 8.x) e qualquer arquivo novo ITL (para migrações aos clusteres diferentes que executam a versão 8.X CUCM). A fim verificar o arquivo vazio ITL, navegue ao > segurança dos ajustes > à lista da confiança > à ITL. As entradas vazias aparecem onde os TV e os servidores TFTP velhos se usaram para estar.

Os telefones devem ter o acesso aos server velhos CUCM somente enquanto os toma para transferir a ITL nova, vazia arquivam. Uma vez que o telefone tem um arquivo vazio ITL, os server velhos podem ser desarmados, posto para baixo, ou ser reconstruídos (dependente de suas exigências do negócio).

Dica: Para a informação adicional, refira o rolamento para trás do conjunto a uma seção da liberação Pre-8.0 do guia da Segurança do gerente das comunicações unificadas de Cisco, a liberação 8.5(1).

Tokens de segurança do hardware (KEY-CCM-ADMIN-K9=)

Se os tokens de segurança do hardware (número de produto KEY-CCM-ADMIN-K9=) foram usados a fim gerar um CTL nos conjuntos velhos e novos, os telefones podem migrar livremente entre conjuntos, enquanto pelo menos um dos mesmos tokens do hardware foi usado nos conjuntos velhos e novos.

Quando um telefone que tenha um CTL do conjunto velho é movido para o conjunto novo, aceita o CTL do conjunto novo, porque o CTL novo contém um certificado do token de segurança esse os fósforos que do CTL atual. Porque o CTL igualmente contém o certificado para o server CCM+TFTP, os arquivos ITL do conjunto novo não estão aceitados igualmente pelo telefone, tão lá são nenhuma edição quando você tenta mover o telefone entre conjuntos.

Para os telefones que não usam a característica SBD (ITLs), como os 7960 e 7940 modelos, você deve executar o cliente CTL outra vez no conjunto original primeiramente a fim adicionar as entradas TFTP novas para os servidores TFTP do conjunto novo antes que você mova os telefones para o conjunto novo. Isto é porque estes modelos do telefone não alcançam para fora para arquivos TFTP para um server que não esteja no CTL.

Este método exige o hardware simbólico da segurança adicional e deve ser configurado no conjunto velho. Normalmente, os tokens de segurança são usados a fim permitir o protocolo de transporte em tempo real seguro (SRTP) em um conjunto e arquivos de configuração cifrados/autenticados. Uma vez que um conjunto tem a Segurança permitida com tokens de segurança, você deve manualmente remover o CTL de cada telefone nesse conjunto (do telefone próprio) a fim desabilitar a Segurança nesse conjunto.

Supressão manual do arquivo ITL

Se alguma falha catastrófica acontece e a chave/certificado TFTP está já não disponíveis do conjunto velho (esta está mantida em um backup da estrutura da Recuperação de desastres (DRF)), a seguir a única opção disponível para migrar um telefone a um conjunto novo é suprimir manualmente do arquivo ITL dos telefones.

Nota: Este processo difere para cada modelo do telefone. As etapas que são exigidas para suprimir a ITL arquivam nos modelos os mais comuns do telefone são descritas nesta seção, mas as etapas para outros modelos podem ser encontradas nos Guias de Administração do telefone.

Termine estas etapas a fim suprimir manualmente dos arquivos ITL em telefones do 7900 Series:

  1. Navegue ao > segurança dos ajustes > à lista da confiança > ao arquivo ITL.

  2. Entre ** # a fim destravar os ajustes.

  3. Clique o Erase.

A fim suprimir manualmente dos arquivos ITL em telefones do 8900 ou 9900 Series, navegue aos ajustes > aos ajustes do administrador > ajustes restaurados do > segurança dos ajustes.



Document ID: 118850