语音和统一通信 : Cisco Unified Communications Manager (CallManager)

配置与证书验证的AnyConnect VPN IP电话在ASA

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 10 日) | 反馈

简介

本文描述如何配置思科可适应安全工具(ASA)和Cisco CallManager设备为了为在思科IP电话运作的思科AnyConnect客户端提供证书验证。在此配置完成后,思科IP电话能成功设立对利用证书为了巩固通信的ASA的VPN连接。

由思科 TAC 工程师撰稿。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 思科AnyConnect优质安全套接字协议层(SSL)许可证

  • 思科VPN电话许可证的思科AnyConnect

注意:从属在ASA版本,您ASA版本的8.0.x Linksys电话将看到思科VPN电话的AnyConnectAnyConnect ASA版本8.2.x或以上的。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科ASA版本8.0(4)或以上

  • 思科7942, 7962, 7945, 7965和7975式样IP电话

  • 运行版本9.1(1)固件的思科8961, 9951和9971个式样电话

  • 运行版本9.0(2)SR1S内部呼叫控制协议(SCCP)或以后的Cisco电话

  • Cisco Unified Communications Manager (CUCM)版本8.0.1.100000-4或以上

在本例中配置示例使用的版本包括:

  • 思科ASA版本9.1(1)

  • Cisco CallManager版本8.5.1.10000-26

为了查看支持的电话完整列表在您的CUCM版本的,完成这些步骤:

  1. 打开在浏览器的此URL :https:// <CUCM服务器IP Address>:8443/cucreports/systemReports.do

  2. 导航统一CM电话功能列表>生成新报告>功能:虚拟私有网络。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

电话证书类型

思科在电话使用这些证书类型:

  • 制造商已安装证书(MICs) :

    • MICs在所有7941, 7961和新模型思科IP电话包括。MICs是由思科Certificate Authority (CA)签字的2048位关键证书。当MIC存在时,是不必要的安装一局部重要的证书(LSC)。为了CUCM能委托MIC证书,它使用在其证书truststore的被事先装配的CA证书CAP-RTP-001、CAP-RTP-002、Cisco_Manufacturing_CA和Cisco_Manufacturing_CA_SHA2。

    • MIC是有效在十年内。

    • 没有认证吊销支持。

  • 局部重要的证书(LSCs) :

    • 在您配置验证或加密的后,设备安全性模式LSC巩固CUCM和电话之间的连接。

    • LSC拥有Cisco IP电话的公共密钥,由CUCM认证机关代理功能(CAPF)专用密钥签字。这是首选方法(与使用MICs相对),因为由管理员手工设置仅的思科IP电话允许下载和验证CTL文件。

    • LSC支持Rivest Shamir Adelman (RSA)密钥大小512, 1024或者2048个位。

    • LSC可以安装,被补发或者删除散装用CUCM批量管理工具。

    • 由CAPF签字的LSC是有效在五年内。

警告:由于强化的安全风险,思科独自地推荐使用MICs为LSC安装和不为继续使用。配置思科IP电话使用MICs传输层安全的客户(TLS)验证或其他目的那么责任自负。

配置

此部分描述如何完成这些配置:

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

ASA 配置

ASA的配置类似于介入一台AnyConnect客户端计算机连接对ASA的配置。然而,这些限制适用:

  • 隧道群必须有group-url。此URL在VPN网关URL下的CM配置。

  • 组策略不能包含分割隧道。

此配置在ASA设备的SSL信任点使用一以前已配置的和已安装ASA (自已签署的或第三方)证书。有关详细信息,请参阅以下文档:

这是相关ASA配置:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

请注意在版本9.4.1和以上,椭圆曲线加密算法为SSL/TLS支持。当一椭圆曲线有能力SSL VPN客户端连接对ASA时,椭圆曲线密码器套件协商,并且ASA提交与一椭圆曲线证书的SSL VPN客户端,既使当对应的接口配置与一基于RSA的信任点。为了避免需要有ASA请提交一自已签署的SSL证书,管理员必须通过ssl密码器命令删除相关密码器套件。例如,为配置与RSA信任点的接口,管理员能执行此命令,以便仅基于RSA的密码器协商:

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

CallManager 配置

完成这些步骤为了导出从ASA的证书和导入证书到CallManager作为电话VPN托拉斯证书:

  1. 注册与CUCM的生成的证书。

  2. 验证使用SSL的证书:
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. 导出证书:
    ASA(config)#crypto ca export SSL identity-certificate
    增强加密邮件(PEM)编码的身份证书跟随:
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. 复制从终端的文本并且保存它作为.pem文件。

  5. 登陆对CallManager并且导航统一OS管理> Security > Certificate Management >加载证书>挑选电话VPN托拉斯为了上传在上一步保存的证书文件。

在CallManager的VPN配置

完成这些步骤为了配置在CallManager的VPN :

  1. 导航对Cisco Unified CM管理

  2. 从菜单栏选择高级特性> VPN > VPN网关



  3. 完成在VPN网关配置窗口的这些步骤:

    1. VPN网关Name字段输入一名称。这可以是所有名称。

    2. VPN网关说明字段输入一说明(可选)。

    3. 输入在VPN网关URL字段的ASA定义的group-url。

    4. Location字段的VPN Certificates部分,请选择以前上传对CallManager为了从truststore搬到它此位置的证书:



  4. 从菜单栏选择高级特性> VPN > VPN组



  5. 选择从所有可用的VPN网关领域以前定义的VPN网关。在此VPN组字段点击下箭头为了移动选定网关向选定VPN网关:



  6. 从菜单栏选择高级特性> VPN > VPN配置文件



  7. 填入标记以星号(*)为了配置VPN配置文件的所有字段:



    • Enable (event)自动网络检测:如果此功能启用, VPN电话ping TFTP server。如果无响应接收,自动启动VPN连接。

    • Enable (event)主机ID检查:如果此功能启用, VPN电话对证书的CN/SAN比较VPN网关URL的完全合格的域名(FQDN)。客户端不能连接,如果他们不配比或,如果使用与星号(*)的一通配符证书。

    • 特权密码持续时间:此功能允许VPN电话缓存用户名和passsword下VPN尝试的。

  8. 单击运用普通的电话配置文件配置窗口的设置为了运用新的VPN配置。您能使用标准的普通的电话配置文件或创建新配置文件。





  9. 如果创建特定电话/用户的一新配置文件,则请导航对Phone Configuration窗口。在普通的电话配置文件字段选择英文虎报普通的电话配置文件



  10. 注册电话对再CallManager为了下载新的配置。

证书验证配置

完成在CallManager和ASA的这些步骤为了配置证书验证:

  1. 从菜单栏选择高级特性> VPN > VPN配置文件

  2. 确认客户端验证方法字段设置为证书



  3. 登陆对CallManager。从菜单栏选择Unified OS管理> Security > Certificate Management >查找

  4. 导出选定证书验证方法的正确证书:

    • 请使用Cisco_Manufacturing_CA为了验证与MIC的IP电话(请选择Cisco_Manufacturing_CACisco_Manufacturing_CA_SHA2,从属在IP电话型号。欲了解更详细的信息检查IP电话的认证安装) : 





    • 请使用CAPF为了验证与LSC的IP电话:



  5. 找出证书(Cisco_Manufacturing_CA、Cisco_Manufacturing_CA_SHA2或者CAPF)。下载.pem文件并且保存它作为.txt文件。

  6. 创建在ASA的一新的信任点并且验证与上一个已保存证书的信任点。当提示对于base-64编码的CA证书时,精选和请与开始和结束线路一起粘贴在下载的.pem文件的文本。示例如下:
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. 确认在隧道群的验证设置为证书验证:
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

IP电话的认证安装

IP电话能与MICs或LSCs一起使用,但是配置过程为每证书是不同的。

MIC安装

默认情况下,支持VPN的所有电话预先输入与MICs。7960个和7940个式样电话不附有MIC并且要求特殊安装安装过程,以便LSC安全地注册。

最新的思科IP电话(8811, 8841, 8851和8861)包括由新的制造的SHA2 CA:签字的MIC证书

  • CUCM版本10.5(1)包括并且委托新的SHA2证书。

  • 如果运行一个初期的CUCM版本,您也许要求下载新的制造CA证书和:

    • 上传它对CAPF托拉斯,以便电话能验证与CAPF为了获取LSC。

    • 如果要允许电话验证与SIP的5061, MIC请上传它对CallManager托拉斯。

提示:如果CUCM当前运行更早版本,请点击此链路为了获取SHA2 CA。

警告:思科建议您使用MICs仅LSC安装。思科支持TLS连接的验证的LSCs与CUCM的。由于MIC根证明可以折衷,配置电话使用MICs TLS验证或其他目的客户那么责任自负。如果MICs折衷,思科不假设负债。

LSC安装

完成这些步骤为了安装LSC :

  1. 启用在CUCM的CAPF服务。

  2. 在CAPF服务被启动后,请分配电话说明为了生成在CUCM的一LSC。登陆对CUCM管理,选择Device > Phone,然后选择该的电话您配置。

  3. 保证所有设置正确,并且操作设置为在认证机关代理功能(CAPF)信息部分的一个远期:



  4. 如果认证模式设置为空字符串现有的证书,进一步操作没有要求。

  5. 如果认证模式设置为字符串,则请在电话控制台手工选择设置> Security Configuration> ** # > LSC >更新

验证

使用本部分可确认配置能否正常运行。

ASA验证

请使用此信息为了验证在ASA的配置:

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

CUCM验证

请使用此信息为了验证在CUCM的配置:

故障排除

这些Cisco Bug ID与在本文描述的配置涉及:

  • Cisco Bug ID CSCtf09529添加VPN功能的支持在8961的CUCM, 9951, 9971个电话

  • Cisco Bug ID CSCuc71462IP电话VPN故障切换花费8分钟

  • Cisco Bug ID CSCtz42052IP电话非默认端口端口号的SSL VPN支持

  • Cisco Bug ID CSCuj71475为IP电话需要的手工的TFTP条目VPN

  • Cisco Bug ID CSCum10683 – IP电话不记录未命中的,发出的或者接收的呼叫

  • Cisco Bug ID CSCut10077DX650 :CUCM设置的VPN配置文件发生故障证书确认


Document ID: 115785