语音和统一通信 : Cisco Unified Communications Manager IM & Presence Service

证书确认的Jabber完整入门指南

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文结合几Cisco资源到使用为了实现所有证书确认的需求在思科Jabber的一个完整,统一的入门指南。因为思科Jabber当前要求使用证书确认为了建立安全连接用服务器,这是必要的。此需求需要也许为用户环境要求的许多更改。

注意:此指南是为仅前提部署。因为他们验证公共Certificate Authority (CA),当前没有为网云服务部署要求的更改。

贡献由马特怀特和斯科特小山, Cisco TAC工程师。

哪些Jabber客户端是否是受此更改的影响的?

这是列出所有客户端实现证书确认的表:

表 1

桌面客户端莫比尔和片剂客户端
麦金塔版本的9.2 (九月2013) JabberIP电话版本的9.5 (十月2013) Jabber
Microsoft (MS) Windows版本的9.2.5 (九月2013) JabberIP电话和iPad版本的9.6 (十一月2013) Jabber
 机器人版本的9.6 (十二月2013) Jabber

这是什么意思Jabber环境?

当您安装或升级给在列出的所有客户端1时,必须证书确认用服务器使用安全连接。本质上,当Jabber客户端尝试当前时建立安全连接,服务器提交与证书的思科Jabber。思科Jabber然后尝试验证那些证书设备的证书存储。如果客户端不能验证证书,提示您确认您要接受证书,并且在其企业托拉斯存储安置它。

哪证书要求?

这是他们提交对思科Jabber为了建立安全连接前提服务器的列表和证书:

表 2

服务器证书
Cisco Unified Presence

HTTP (Tomcat)

XMPP

Cisco Unified Communications Manager IM和在线状态

HTTP (Tomcat)

XMPP

Cisco Unified Communications ManagerHTTP (Tomcat)
Cisco Unity ConnectionHTTP (Tomcat)
思科WebEx会议服务器HTTP (Tomcat)

这是注释的一些重点:

  • 申请最最近的服务更新(SU) Cisco Unified Presence (CUP)或Cisco Unified Communications Manager (CUCM) IM和在线状态,在您开始证书签署的进程前。
  • 需要的证书适用于所有服务器版本。例如, CUP版本8.x和CUCM IM和在线状态版本9.x和以上提交有可扩展消息传送和在线状态协议(XMPP)和HTTP证书的客户端。
  • 在集群的每个节点,用户和发行商,管理Tomcat服务,并且能提交有HTTP证书的客户端。计划签署每个节点的证书在集群。
  • 为了获取发信号在客户端和CUCM之间的会话初始化协议(SIP),请使用证书颁发机构代理功能(CAPF)登记。

什么方法为证书确认是可用的?

当前有能使用证明验证的几个方法。

方法 1:用户单击接受对所有证书弹出窗口。这也许是更加小的环境的多数理想的解决方案。如果单击接受,证书被放置到企业托拉斯存储在设备。在证书在企业托拉斯存储后安置,不再提示用户,当他们登录该本地设备的时Jabber客户端。

方法 2:需要的证书(表2)从单个服务器下载(默认情况下,这些是自签名证书)并且安装到企业托拉斯用户设备的存储。如果您的环境不访问证书签字的,私有或公共CA这也许是理想的解决方案。

几个方法可以用于为了推送这些证书对用户,但是一个快速方法将使用使用Microsoft Windows注册:

  1. 从其中一台机器,请接受提交闲聊到企业托拉斯存储的所有证书。
  2. 为了验证证书存在,输入Certmgr.msc命令并且导航对EnterpriseTrust >证书。
  3. 开放Regedit运行命令和导航对HKCU >软件> Microsoft > SystemCertificates >信任>证书
  4. 用鼠标右键单击并且导出在注册的Certifates文件夹作为.reg文件。
  5. 通过组策略对象(GPO)推出此文件对所有用户(或其他首选方法)。

这完成企业信任认证安装Jabber的,并且不再提示用户。

方法 3:公共或私有CA (表2)签署所有需要的证书。这是思科推荐的方法。此方法要求证书签名请求(CSR)为其中每一证书生成,签字,重新上传的对服务器,然后导入给可信的根证书权限用户设备的存储。请参阅生成CSR我如何有证书用户设备证书存储?本文的部分欲知更多信息。

注意:一旦公共CA,根证明应该已经在客户端信任存储。

请记住公共CA典型地要求CSR为了依照特定格式。例如,公共CA也许只接受CSR那:

  • 是Base64-encoded
  • 请勿包含某些字符,例如@&! 在组织、组织单位(OU),或者其他字段
  • 请使用特定比特长度在公共密钥服务器

同样,如果提交从多个节点的CSR,公共CA也许需要信息是一致在所有CSR。

为了防止与您的CSR的问题,请查看从您计划提交CSR的公共CA的格式需求。然后请保证您输入的信息,当您配置您的服务器依照公共CA要求的格式时。

这是您也许遇到的一个可能的需求:

每FQDN:一证书某个公共CA符号仅每完全合格的域名(FQDN)一证书。

例如,为了签署单个CUCM IM和在线状态节点的HTTP和XMPP证书,您也许需要提交每个CSR到不同的公共CA。

如果证书自已签署的或CA签名的,请验证

注意:此示例是为CUCM版本8.x。进程也许变化在服务器之间。

  1. 导航对Cisco Unified OS管理
  2. 选择安全> Certificate Management
  3. 查找并且点击Tomcat托拉斯证书.pem文件。
  4. 点击下载,并且保存
  5. 导航到文件,并且重命名它与.cer分机。
  6. 打开并且查看此文件(微软视窗用户)。
  7. 验证字段发出的。如果它匹配发出对字段,则证书自已签署的(请参见示例)。

示例:自已签署的与私有CA签发的证书

                                     自已签署的私有CA签名的

生成 CSR

注意:此示例是为CUCM版本8.x。进程也许变化在服务器之间。

  1. 导航对Cisco Unified OS管理
  2. 选择安全> Certificate Management
  3. 单击生成CSR,并且从下拉列表选择Tomcat
  4. 单击生成CSR,并且点击Close
  5. 点击下载CSR,并且从下拉列表选择Tomcat
  6. 点击下载CSR,并且保存文件。
  7. 发送您的私有CA服务器或公共CA将签字的.csr文件。

    注意:一旦有此CSR文件,进程变化基于您的环境。

  8. 单击加载证书/证书链安全> Certificate Management为了重新上传下发出到您的服务器的新的签名证书。

I进口证明书到用户设备证书存储?

每服务器证书应该有一个相关的根证明现在用户设备的信任存储。思科Jabber验证服务器提交根证明在信任存储的证书。

请导入根证明到微软视窗证书存储,如果:

  • 证书由如果那样不在信任存储已经存在,例如私有CA.,您必须导入私有CA证书到可靠的根证书颁发机构存储的CA签字。
  • 证书自已签署的。如果那样,您必须导入自签名证书到企业托拉斯存储。

您能使用所有适当的方法为了进口证明书到微软视窗证书存储,例如:

  • 单个请使用证书导入向导为了进口证明书。
  • 部署证书给用户用在微软视窗服务器的CertMgr.exe line命令工具。(此选项要求您使用认证管理器工具, CertMgr.exe,不是证书MS管理控制台, CertMgr.msc。)
  • 部署证书给有GPO的用户在微软视窗服务器。

注意:关于关于对进口证明书,如何的更多的指导信息参考适当的MS文档。

在证书的服务器标识

作为签署的进程一部分, CA指定在证书的服务器标识。当客户端验证该证书时,检查:

  • 委托权限发出证书。
  • 提交证书服务器的标识匹配在证书指定的服务器的标识。

注意:公共CA通常需要FQDN作为服务器标识,不是IP地址。

标识符字段

客户端检查服务器证书的这些标识符字段标识匹配:

XMPP证书

  • SubjectAltName \ OtherName \ xmppAddr
  • SubjectAltName \ OtherName \ srvName
  • SubjectAltName \ dnsNames
  • 附属的CN

HTTP证书

  • SubjectAltName \ dnsNames
  • 附属的CN

注意:主题CN字段能包含通配符(*)作为最左边的字符;例如, *.cisco.com。您的CUCM、CUP和Cisco Unity Connection服务器也许不支持通配符证书。(参考的增强Cisco Bug ID CSCta14114)。

防止标识不匹配

当Jabber客户端尝试连接到一个服务器用IP地址时,并且服务器证书识别有FQDN的服务器,客户端不能识别服务器作为委托并且提示用户。因此,如果您的服务器证书识别有FQDN的服务器,您必须指定服务器名作为FQDN在您的服务器的许多地方。

表3列出需要指定服务器名的所有地方,当在证书看起来,它是否是IP地址或FQDN。 

表 3

服务器位置(设置必须匹配证书)

思科Jabber客户端

洛金服务器地址(为客户端有所不同,通常在连接设置下)

CUP (版本8.x和以下)

**所有节点名(系统>集群结构)

**小心:确保,如果更改此对FQDN,您能通过DNS解决此或服务器留在开始的状态!

TFTP服务器(应用程序>思科Jabber >设置)

主要的和附属Cisco Call Manager Cisco IP电话(CCMCIP) (应用程序>思科Jabber > CCMCIP配置文件)

语音邮件主机名(应用程序>思科Jabber >语音邮件服务器)

邮件库名称(应用程序>思科Jabber >邮件库)

会议主机名(应用程序>思科Jabber >会议服务器) (仅会议地点)

XMPP域(请参阅提供XMPP域对客户端部分)

CUCM IM和在线状态(版本9.x和以上)

**所有节点名(系统>集群结构)

**小心:确保,如果更改此对FQDN,您能通过DNS解决此或服务器留在开始的状态!

TFTP服务器(应用程序>传统客户端>设置)

主要的和附属CCMCIP (应用程序>传统客户端> CCMCIP配置文件)

XMPP域(请参阅提供XMPP域对客户端部分)

CUCM (版本8.x和以下)

服务器名(System > Server)

CUCM (版本9.x和以上)

服务器名(System > Server)

IM和Presence Server (用户管理>用户设置> UC Service> IM和在线状态)

语音邮件主机名(用户管理>用户设置> UC Service>语音邮件)

邮件库名称(用户管理>用户设置> UC Service>邮件库)

会议主机名((用户管理>用户设置> UC Service>会议) (仅会议地点)

Cisco Unity Connection (所有版本)

崔凡吉莱没有需要

提供XMPP域给客户端

客户端识别与XMPP域的XMPP证书,而不是与FQDN。XMPP证书必须包含XMPP域在标识符字段。

当客户端尝试连接到Presence Server时, Presence Server提供XMPP域给客户端。客户端能然后验证Presence Server的标识XMPP证书。

完成这些步骤为了以保证Presence Server提供XMPP域给客户端的那:

  1. 打开您的Presence Server的管理界面, Cisco Unified CM IM和在线状态管理界面或者Cisco Unified Presence管理界面
  2. 导航对系统> Security >设置
  3. 找出XMPP证书设置部分。
  4. 指定在域名的Presence Server域XMPP服务器对服务器证书主题替代方案Name字段的
  5. 检查使用域名XMPP证书主题替代方案名称复选框。
  6. 单击 Save
  7. 在您保存此更改后,您必须重新生成在服务器的CUPxmpp证书。
  8. 重新启动XCP路由器为了更改能生效。

    警告:XCP路由器影响服务的重新启动。

证书确认当前完成!

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116917