Voix et communications unifiées : Cisco Unified Communications Manager (CallManager)

Téléphone d'AnyConnect VPN avec l'authentification de certificat sur un exemple de configuration ASA

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (5 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer les périphériques de l'appliance de sécurité adaptable Cisco (ASA) et du Cisco CallManager afin de fournir l'authentification de certificat pour les clients de Cisco AnyConnect qui s'exécutent sur des Téléphones IP de Cisco. Après que cette configuration soit complète, les Téléphones IP de Cisco peuvent avec succès établir des connexions VPN aux ASA qui se servent des Certificats afin de sécuriser la transmission.

Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Permis de la meilleure qualité de Secure Sockets Layer de Cisco AnyConnect (SSL)

  • Cisco AnyConnect pour le permis de téléphone de Cisco VPN

Remarque: Personne à charge sur la version ASA, vous verrez AnyConnect pour le téléphone de Linksys pour la release 8.0.x ASA ou AnyConnect pour le téléphone de Cisco VPN pour la release 8.2.x ASA ou plus tard.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version de Cisco ASA 8.0(4) ou plus tard

  • Téléphones IP modèles de Cisco 7942, 7962, 7945, 7965, et 7975

  • Téléphones modèles de Cisco 8961, 9951, et 9971 qui micrologiciel de la version de passage 9.1(1)

  • Téléphones Cisco qui Protocole SCCP (Skinny Call Control Protocol) de la release 9.0(2)SR1S de passage ou plus tard

  • Version 8.0.1.100000-4 de Cisco Unified Communications Manager (CUCM) ou plus tard

Les releases qui sont utilisées dans cet exemple de configuration incluent :

  • Version de Cisco ASA 9.1(1)

  • Version 8.5.1.10000-26 de Cisco CallManager

Afin de visualiser une liste complète de téléphones pris en charge dans votre version CUCM, terminez-vous ces étapes :

  1. Ouvrez cet URL dans un navigateur : IP Address>:8443/cucreports/systemReports.do de serveur de https:// <CUCM.

  2. Naviguez vers la liste de caractéristique de téléphone d'Unified CM > génèrent un nouveaux état > caractéristique : Réseau privé virtuel.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Types de certificat de téléphone

Cisco utilise des ces certificat saisit des téléphones :

  • Certificats installés par fabricant (MICs) :

    • Le MICs sont inclus sur chacun des 7941, 7961, et Téléphones IP de Cisco de plus nouveau modèle. Le MICs sont les Certificats 2048-bit principaux qui sont signés par l'Autorité de certification (CA) de Cisco. Quand une MIC est présente, il n'est pas nécessaire d'installer le certificat significatif a localement - (LSC). Pour que le CUCM fasse confiance au certificat MIC, il utilise les Certificats CA préinstallés CAP-RTP-001, CAP-RTP-002, Cisco_Manufacturing_CA, et Cisco_Manufacturing_CA_SHA2 dans son truststore de certificat.

    • Une MIC est valable dix années.

    • Il n'y a aucun support de révocation de certificat.

  • Localement - Certificats significatifs (LSC) :

    • Le LSC sécurise la connexion entre le CUCM et le téléphone après que vous configuriez le mode de sécurité des périphériques pour l'authentification ou le cryptage.

    • Le LSC possède la clé publique pour le téléphone IP de Cisco, qui est signée par la clé privée de la fonction de proxy d'autorité de certification CUCM (CAPF). C'est la méthode préférée (par opposition à l'utilisation de MICs) parce que seulement des Téléphones IP de Cisco qui provisioned manuellement par un administrateur sont permis pour télécharger et vérifier le fichier CTL.

    • Le LSC prend en charge des bits de la taille de clé de Rivest-Shamir-Adleman (RSA) 512, 1024, ou 2048.

    • Un LSC peut être installé, révisé, ou supprimé en vrac avec l'outil administrateur en vrac CUCM.

    • Un LSC qui est signé par le CAPF est valable cinq années.

Attention : En raison du risque de sécurité accru, Cisco recommande l'utilisation de MICs seulement pour l'installation LSC et pas pour l'usage continu. Les clients qui configurent des Téléphones IP de Cisco pour utiliser MICs pour l'authentification de Transport Layer Security (TLS) ou pour n'importe quel autre but font ainsi à leur propre risque.

Configurez

Cette section décrit comment se terminer ces configurations :

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configuration ASA

La configuration de l'ASA est semblable aux configurations qui impliquent un ordinateur client d'AnyConnect qui est connecté à l'ASA. Cependant, ces restrictions s'appliquent :

  • Le groupe de tunnels doit avoir un groupe-URL. Cet URL est configuré en cm sous l'URL de passerelle VPN.

  • La stratégie de groupe ne doit pas contenir un tunnel partagé.

Cette configuration utilise un certificat précédemment configuré et installé ASA (auto-signée ou tierce partie) dans le point de confiance SSL du périphérique ASA. Pour plus d'informations, référez-vous aux documents suivants :

Voici la configuration appropriée ASA :

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

Il est important de noter que dans les versions 9.4.1 et ultérieures, le chiffrement elliptique de curve est pris en charge pour SSL/TLS. Quand un client curve-capable elliptique de VPN SSL se connecte à l'ASA, la suite elliptique de chiffrement de curve est négociée, et l'ASA présente le client de VPN SSL avec un certificat elliptique de curve, même lorsque l'interface qui correspond est configurée avec un point de confiance basé sur RSA. Afin d'éviter la nécessité d'avoir l'ASA présentez un certificat ssl auto-signé, l'administrateur doit retirer les suites relatives de chiffrement par l'intermédiaire de la commande de chiffrement SSL. Par exemple, pour une interface qui est configurée avec un point de confiance RSA, l'administrateur peut exécuter cette commande de sorte que seulement les chiffrements basés sur RSA soient négociés :

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

Configuration de CallManager

Terminez-vous ces étapes afin d'exporter le certificat de l'ASA et importer le certificat dans le CallManager comme certificat de Téléphone-VPN-confiance :

  1. Enregistrez le certificat généré avec le CUCM.

  2. Vérifiez le certificat qui est utilisé pour le SSL :
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. Exportez le certificat :
    ASA(config)#crypto ca export SSL identity-certificate
    Le certificat d'identité encodé du Privacy Enhanced Mail (PEM) suit :
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. Copiez le texte du terminal et sauvegardez-le comme un fichier .pem.

  5. Ouvrez une session au CallManager et naviguez vers la gestion de SYSTÈME D'EXPLOITATION > la Gestion de Sécurité > de certificat > le certificat unifiés de téléchargement > Téléphone-VPN-confiance choisie afin de télécharger le fichier du certificat qui a été enregistré dans l'étape précédente.

Configuration du VPN sur le CallManager

Terminez-vous ces étapes afin de configurer le VPN sur le CallManager :

  1. Naviguez vers la gestion de Cisco Unified CM.

  2. Choisissez la fonctionnalité avancée > le VPN > la passerelle VPN de la barre de menus :



  3. Terminez-vous ces étapes dans la fenêtre de configuration de passerelle VPN :

    1. Écrivez un nom dans la zone d'identification de passerelle VPN. Ceci peut être n'importe quel nom.

    2. Écrivez une description dans le champ description de passerelle VPN (facultatif).

    3. Écrivez le groupe-URL qui est défini sur l'ASA dans le champ URL de passerelle VPN.

    4. Dans la section de Certificats VPN du champ Location, sélectionnez le certificat qui a été téléchargé au CallManager précédemment afin de le déplacer du truststore à cet emplacement :



  4. Choisissez la fonctionnalité avancée > le VPN > le groupe VPN de la barre de menus :



  5. Sélectionnez la passerelle VPN qui a été précédemment définie du tout le gisement disponible de passerelles VPN. Cliquez sur vers le bas la flèche afin de déplacer la passerelle sélectionnée aux passerelles VPN sélectionnées dans ce domaine de groupe VPN :



  6. Choisissez la fonctionnalité avancée > le profil VPN > VPN de la barre de menus :



  7. Terminez-vous tous les champs qui sont identifiés par un astérisque (*) afin de configurer le profil VPN :



    • Le réseau automatique d'enable les détectent : Si cette caractéristique est activée, le téléphone VPN cingle le serveur TFTP. Si aucune réponse n'est reçue, il des automatique-initiés une connexion VPN.

    • Contrôle d'ID d'hôte d'enable : Si cette caractéristique est activée, le téléphone VPN compare le nom de domaine complet (FQDN) de l'URL de passerelle VPN contre le CN/SAN du certificat. Le client ne se connecte pas s'ils ne s'assortissent pas ou si un certificat de masque avec un astérisque (*) est utilisé.

    • Persistance de mot de passe d'enable : Cette caractéristique permet au téléphone VPN pour cacher le nom d'utilisateur et le passsword pour la prochaine tentative VPN.

  8. Cliquez sur Apply le config dans la fenêtre commune de configuration de profil téléphonique afin d'appliquer la nouvelle configuration du VPN. Vous pouvez utiliser le profil téléphonique commun standard ou créer un nouveau profil.





  9. Si vous créiez un nouveau profil pour les téléphones/utilisateurs spécifiques, alors naviguez vers la fenêtre de configuration de téléphone. Choisissez le profil téléphonique commun de norme dans le domaine commun de profil téléphonique :



  10. Enregistrez le téléphone au CallManager de nouveau afin de télécharger la nouvelle configuration.

Configuration d'authentification de certificat

Terminez-vous ces étapes dans le CallManager et l'ASA afin de configurer l'authentification de certificat :

  1. Choisissez la fonctionnalité avancée > le profil VPN > VPN de la barre de menus.

  2. Confirmez que le champ de méthode d'authentification client est placé pour délivrer un certificat :



  3. Procédure de connexion au CallManager. Choisissez la gestion de SYSTÈME D'EXPLOITATION > la Sécurité > la Gestion > la découverte de certificat unifiées de la barre de menus.

  4. Exportez les certificats corrects pour la méthode d'authentification sélectionnée de certificat :

    • Employez le Cisco_Manufacturing_CA afin d'authentifier les Téléphones IP avec une MIC (sélectionnez Cisco_Manufacturing_CA ou Cisco_Manufacturing_CA_SHA2, dépendant sur le modèle de téléphone IP. Vérifiez l'installation de certificat sur le téléphone IP pour plus de détails) : 





    • Employez le CAPF afin d'authentifier les Téléphones IP avec un LSC :



  5. Localisez le certificat (Cisco_Manufacturing_CA, Cisco_Manufacturing_CA_SHA2, ou CAPF). Téléchargez le fichier .pem et sauvegardez-le comme fichier de .txt.

  6. Créez un nouveau point de confiance sur l'ASA et authentifiez le point de confiance avec le certificat enregistré précédent. Quand vous êtes incité pour le certificat de CA encodé par base-64, choisi et collez le texte dans le fichier téléchargé .pem avec le COMMENCER et les lignes de fin. Voici un exemple :
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. Confirmez que l'authentification sur le groupe de tunnels est placée pour délivrer un certificat l'authentification :
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

Installation de certificat sur des Téléphones IP

Les Téléphones IP peuvent fonctionner avec MICs ou LSC, mais le processus de configuration est différent pour chaque certificat.

Installation MIC

Par défaut, tous les téléphones qui prennent en charge le VPN sont préchargés avec MICs. Les 7960 et 7940 téléphones modèles ne sont pas livré avec une MIC et exigent une procédure d'installation spéciale de sorte que le LSC s'enregistre sécurisé.

Les plus nouveaux Téléphones IP de Cisco (8811, 8841, 8851, et 8861) incluent les Certificats MIC qui sont signés par le nouveau SHA2 de fabrication CA :

  • La version 10.5(1) CUCM inclut et fait confiance aux nouveaux Certificats SHA2.

  • Si vous exécutez une version plus tôt CUCM, vous pourriez être requis de télécharger le nouveau certificat de CA de fabrication et :

    • Téléchargez-le à la CAPF-confiance de sorte que les téléphones puissent authentifier avec CAPF afin d'obtenir un LSC.

    • Téléchargez-le à la CallManager-confiance si vous voulez permettre aux téléphones pour authentifier avec une MIC pour le SIP 5061.

Conseil : Cliquez sur ce lien afin d'obtenir le SHA2 CA si le CUCM exécute actuellement une version antérieure.

Attention : Cisco recommande que vous utilisiez MICs pour l'installation LSC seulement. Cisco prend en charge des LSC pour l'authentification de la connexion de TLS avec le CUCM. Puisque les certificats racine MIC peuvent être compromis, les clients qui configurent des téléphones pour utiliser MICs pour l'authentification de TLS ou pour n'importe quel autre but font ainsi à leur propre risque. Cisco n'assume aucune responsabilité si le MICs sont compromis.

Installation LSC

Terminez-vous ces étapes afin d'installer un LSC :

  1. Activez le service CAPF sur le CUCM.

  2. Après que le service CAPF soit lancé, assignez les instructions de téléphone afin de générer un LSC dans le CUCM. Ouvrez une session à la gestion CUCM, choisissez le Device > Phone, et puis sélectionnez le téléphone que vous avez configuré.

  3. Assurez-vous que toutes les configurations sont correctes et que l'exécution est placée à une future date dans la section Informations de la fonction de proxy d'autorité de certification (CAPF) :



  4. Si l'authentication mode est placée à la chaîne null ou au certificat existant, aucune action supplémentaire n'est exigée.

  5. Si l'authentication mode est placée à une chaîne, alors sélectionnez manuellement les configurations > la configuration de sécurité > ** # > LSC > mise à jour dans la console de téléphone.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vérification ASA

Employez ces informations afin de vérifier la configuration sur l'ASA :

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Vérification CUCM

Employez ces informations afin de vérifier la configuration sur le CUCM :

Dépannez

Ces id de bogue Cisco sont liés aux configurations qui sont décrites dans ce document :

  • ID de bogue Cisco CSCtf09529 ? Ajoutez le soutien de la caractéristique VPN dans CUCM pour 8961, 9951, 9971 téléphones

  • ID de bogue Cisco CSCuc71462 ? Le Basculement du téléphone IP VPN prend 8 minutes

  • ID de bogue Cisco CSCtz42052 ? Soutien de VPN SSL de téléphone IP des numéros de port non par défaut

  • ID de bogue Cisco CSCuj71475 ? Entrée manuelle TFTP requise pour le téléphone IP VPN

  • ID de bogue Cisco CSCum10683Appels manqués, placés, ou reçus de ne pas se connecter de Téléphones IP

  • ID de bogue Cisco CSCut10077 ? DX650 : Le profil VPN provisioned par CUCM échoue validation de certificat

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 115785