Voix et communications unifiées : Cisco Unified Communications Manager (CallManager)

Transfert de téléphone IP de version 8.x CUCM entre les batteries avec des fichiers ITL

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment empêcher une situation avec la version 8.0(1) de Cisco Unified Communications Manager (CUCM) où les milliers de téléphones doivent avoir leurs fichiers initiaux de la liste de confiance (ITL) manuellement supprimés.

Contribué par des brûlures de Jason, ingénieur TAC Cisco.

Informations générales

Avec la version 8.0(1) CUCM, la nouvelle Sécurité par la caractéristique (SBD) par défaut et l'utilisation des fichiers ITL ont été introduites. Avec cette nouvelle configuration, le soin doit être pris quand vous déplacez des téléphones entre différentes batteries CUCM. Si vous ne vous terminez pas les étapes appropriées, il est possible de rencontrer une situation où les milliers de téléphones doivent manuellement avoir leurs fichiers ITL supprimés. Les téléphones qui prennent en charge les nouveaux fichiers ITL téléchargent un fichier spécial de leur serveur CUCM TFTP. Une fois qu'un fichier ITL est installé à un téléphone, tous les futurs fichiers de configuration et mises à jour des fichiers ITL doivent être l'un ou l'autre :

  • Signé par le certificat de serveur CCM+TFTP qui est actuellement installé dans le fichier de la liste de confiance de certificat (CTL) du téléphone (si la Sécurité de batterie avec CTLs est activée).

  • Signé par le certificat de serveur CCM+TFTP qui est installé dans le fichier ITL du téléphone.

  • Signé par un certificat qui existe dans une des mémoires de certificat des services de vérification de confiance de serveur CUCM (TV) qui sont répertoriées dans le fichier ITL.

Avec la nouvelle fonctionnalité de Sécurité, voici les trois problèmes que vous pouvez rencontrer quand vous déplacez un téléphone d'une batterie à une autre batterie :

  • Le fichier ITL de la nouvelle batterie n'est pas signé par le certificat ITL CCM+TFTP de courant du téléphone, ainsi le téléphone ne reçoit pas le nouveau fichier ou des fichiers de configuration ITL.

  • Les serveurs TV qui sont répertoriés dans le fichier ITL de courant du téléphone ne pourraient pas être accessibles quand les téléphones sont déplacés à la nouvelle batterie.

  • Même si les serveurs TV sont accessibles pour la vérification de certificat, les vieux serveurs de la batterie TV ne pourraient pas avoir les Certificats pour le nouveau serveur.

Si ces trois problèmes sont produits, un choix possible est de supprimer le fichier ITL manuellement de tous les téléphones qui sont déplacés entre les batteries. Ce n'est pas une solution desirable, car il exige l'effort massif à mesure que le nombre de téléphones affectés augmente.

Conseil : Pour information les informations complémentaires, référez-vous à la Sécurité par la section par défaut du guide de Sécurité de Cisco Unified Communications Manager, la version 8.5(1).

Problème

Aucune modification qu'un téléphone reçoit par le TFTP ou le HTTP à partir des fichiers de configuration n'est honorée. Les options de configuration qui sont passées par les fichiers de configuration incluent partiellement :

  • URLs (tel que l'authentication url, l'URL de répertoires, et l'URL de services, pour inclure la configuration interne et externe de répertoires)

  • Caractéristiques de paramètre régional

  • Groupes de CallManager pour l'enregistrement primaire et secondaire

Le téléphone s'enregistre vraisemblablement au serveur configuré TFTP par défaut, mais il très probablement ne s'enregistre pas si le nouveau serveur TFTP ne dirige pas le service de CallManager. Quand un téléphone a un fichier incorrect ITL pour le serveur du courant TFTP, les logs de console de téléphone affichent un message semblable à ceci :

1715: ERR 16:59:35.170584 SECD: EROR:verifyFile: sgn verify file failed 
</usr/ram/SEP00260BD749E9.cnf.xml>, errclass 8, errcode 19 (signer not in CTL)
1716: ERR 16:59:35.171327 SECD: EROR:verifyFile: verify FAILED,
</usr/ram/SEP00260BD749E9.cnf.xml>

Solution

Cette section décrit comment migrer les téléphones sans faille d'une batterie vers le prochain, aussi bien que comment supprimer manuellement les fichiers ITL des téléphones dans un scénario de mauvais-dossier.

Exportation en vrac de certificat

Remarque: Cette méthode en vrac d'exportation de certificat fonctionne seulement si les deux batteries sont en ligne avec la connexion réseau tandis que les téléphones sont migrés.

Une solution possible, si les vieilles et nouvelles batteries sont en ligne en même temps, est d'utiliser la méthode en vrac de transfert de certificat.

Il est important de comprendre que les Téléphones IP vérifient chaque fichier téléchargé contre le fichier ITL ou contre un serveur TV qui existe dans le fichier ITL. Si le téléphone doit se déplacer à une nouvelle batterie, le fichier ITL que la nouvelle nécessité de présents de batterie sont de confiance par le stock de certificat TV de la vieille batterie.

Terminez-vous ces étapes afin d'appliquer la méthode en vrac d'exportation de certificat :

  1. Naviguez vers la gestion de SYSTÈME D'EXPLOITATION > la Sécurité > le certificat en vrac.

  2. Exportez les Certificats du nouveau cluster de destination (TFTP seulement) et de la batterie d'origine à un serveur central de protocole de transfert de fichiers de Protocole Secure Shell (SSH) (SFTP).

  3. Dirigez le service de Certificats de consolidation de la batterie d'origine (TFTP seulement) sur le serveur de SFTP qui utilise l'interface en vrac de certificat.

  4. Employez la fonction en vrac de certificat de la vieille batterie d'origines afin d'importer les Certificats TFTP du serveur central de SFTP.

  5. Redémarrez les services TV sur la vieille batterie d'origines.

  6. Employez l'option 150 DHCP, ou une autre méthode, afin d'indiquer les téléphones le nouveau cluster de destination.

Après que vous vous terminiez ces étapes, les téléphones téléchargent le nouveau fichier ITL de cluster de destination et le tentent de le vérifier contre le fichier ITL de courant. Puisque le certificat n'est pas présent dans le fichier ITL de courant, les téléphones demandent au vieux serveur TV de vérifier la signature du nouveau fichier ITL. Les téléphones envoient une requête TV à la vieille batterie d'origines sur le port TCP 2445 afin de faire cette demande.

Si le processus de certificat fonctionné correctement, le service TV retourne avec succès et les téléphones remplacent le fichier ITL de dans-mémoire par le fichier nouvellement téléchargé ITL. Les téléphones peuvent maintenant télécharger et vérifier les fichiers de configuration signés de la nouvelle batterie.

Paramètre d'entreprise de repositionnement

Remarque: Cette méthode est seulement valide si terminé avant que le transfert de téléphone soit tenté et ne puisse pas être utilisé une fois les téléphones soyez dans l'état défaillant de fichier de vérifier. Les téléphones qui prennent en charge le service TV peuvent potentiellement perdre l'accès aux services sécurisés URL tels que le répertoire d'entreprise avant qu'ils soient migrés vers la nouvelle batterie et après que la batterie de préparation pour le repositionnement au paramètre pre-8.0 est placée pour rectifier sur la batterie d'origine. Une fois migré vers la nouvelle batterie, les téléphones téléchargent les nouveaux fichiers ITL, et l'exécution sécurisée URL devrait retourner à la normale.

Cette solution se sert de la batterie de préparation pour le repositionnement au paramètre d'entreprise pre-8.0 CUCM. Une fois que ce paramètre est placé pour rectifier, les téléphones téléchargent un fichier ITL d'offre spéciale qui des sections contient certificat vide TV et TFTP.

Quand un téléphone a un fichier vide ITL, il reçoit n'importe quel fichier de configuration non signé (pour des transferts aux batteries qui exécutent des versions CUCM plus tôt que la version 8.x) et n'importe quel nouveau fichier ITL (pour des transferts aux différentes batteries qui exécutent la version 8.X CUCM). Afin de vérifier le fichier vide ITL, naviguez vers des configurations > la Sécurité > la liste de confiance > l'ITL. Les entrées vides apparaissent où les vieux serveurs TV et TFTP étaient.

Les téléphones doivent avoir accès aux vieux serveurs CUCM seulement tant que il les prend pour télécharger la nouvelle, vide ITL classe. Une fois le téléphone a un fichier vide ITL, les vieux serveurs peut être désarmé, mis, ou être reconstruit hors tension (dépendant sur vos conditions requises d'affaires).

Conseil : Pour information les informations complémentaires, référez-vous au roulement de retour la batterie à une section de la release Pre-8.0 du guide de Sécurité de Cisco Unified Communications Manager, la version 8.5(1).

Jetons de degré de sécurité de matériel (KEY-CCM-ADMIN-K9=)

Si des jetons de degré de sécurité de matériel (nombre KEY-CCM-ADMIN-K9= de produit) ont été utilisés afin de générer un CTL sur les vieilles et nouvelles batteries, les téléphones peuvent migrer librement entre les batteries, tant que au moins un des mêmes jetons de matériel a été utilisé sur les vieilles et nouvelles batteries.

Quand un téléphone qui a un CTL de la vieille batterie est déplacé à la nouvelle batterie, il reçoit le CTL de la nouvelle batterie, car le nouveau CTL contient un certificat symbolique de Sécurité ce les correspondances qui du courant CTL. Puisque le CTL contient également le certificat pour le serveur CCM+TFTP, les fichiers ITL de la nouvelle batterie sont également reçus par le téléphone, tellement là ne sont aucune question quand vous tentez de déplacer le téléphone entre les batteries.

Pour les téléphones qui n'utilisent pas la caractéristique SBD (ITLs), comme les 7960 et 7940 modèles, vous devez exécuter le client CTL de nouveau sur la batterie d'origine d'abord afin d'ajouter les nouvelles entrées TFTP pour les serveurs TFTP de la nouvelle batterie avant que vous déplaciez les téléphones à la nouvelle batterie. C'est parce que ces modèles de téléphone n'atteignent pas pour des fichiers TFTP pour un serveur qui n'est pas dans le CTL.

Cette méthode exige le matériel symbolique de Sécurité supplémentaire et doit être configurée sur la vieille batterie. Normalement, des jetons de Sécurité sont utilisés afin de tenir compte du protocole de transport en temps réel Secure (SRTP) dans une batterie et fichiers de configuration chiffrés/authentifiés. Une fois qu'une batterie a la sécurité activée avec des jetons de Sécurité, vous devez manuellement retirer le CTL de chaque téléphone sur cette batterie (du téléphone lui-même) afin de désactiver la Sécurité sur cette batterie.

Suppression de fichier ITL de manuel

Si une certaine panne catastrophique se produit et la clé/certificat TFTP n'est plus fourni par la vieille batterie (ceci est mis à jour dans une sauvegarde du cadre de Reprise sur sinistre (DRF)), alors la seule option disponible de migrer un téléphone vers une nouvelle batterie est de supprimer manuellement le fichier ITL des téléphones.

Remarque: Ce processus diffère pour chaque modèle de téléphone. Les étapes qui sont exigées pour supprimer l'ITL introduit sur les modèles de téléphone les plus communs sont décrites dans cette section, mais les étapes pour d'autres modèles peuvent être trouvées dans les guides d'administration de téléphone.

Terminez-vous ces étapes afin de supprimer manuellement les fichiers ITL aux téléphones de gamme 7900 :

  1. Naviguez vers des configurations > la Sécurité > la liste de confiance > le fichier ITL.

  2. Entrez ** # afin de déverrouiller les configurations.

  3. Effacement de clic.

Afin de supprimer manuellement les fichiers ITL aux téléphones de gamme 8900 ou 9900, naviguez vers des configurations > des configurations d'administrateur > les configurations remises à l'état initial > les configurations de Sécurité.



Document ID: 118850