语音和统一通信 : Cisco Unified Communications Manager (CallManager)

有证书验证的AnyConnect VPN电话在ASA配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文提供显示如何配置可适应安全工具的一配置示例(ASA)和Callmanager设备为AnyConnect客户端提供证书验证在思科IP电话运作。在此配置完成后,思科IP电话能建立利用证书为了巩固通信对ASA的VPN连接。

贡献用瓦特卢佩茨, Yamil Gazel和爱德华多萨拉萨尔, Cisco TAC工程师。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • AnyConnect高级版SSL许可证

  • 思科VPN电话许可证的AnyConnect

从属在ASA版本,您为ASA版本8.0.x将看到“Linksys电话的思科VPN电话的AnyConnect”或“AnyConnect” ASA版本8.2.x或以上的。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ASA -版本8.0(4)或以上

  • IP电话型号- 7942/7962/7945/7965/7975

  • 电话- 8961/9951/9971用版本9.1(1)固件

  • 电话-版本9.0(2)SR1S -内部呼叫控制协议(SCCP)或以上

  • Cisco Unified Communications Manager (CUCM) -版本8.0.1.100000-4或以上

用于此配置示例的版本包括:

  • ASA -版本9.1(1)

  • Callmanager版本8.5.1.10000-26

对于支持的电话完整列表在您的CUCM版本的,请完成这些步骤:

  1. 打开此URL :https:// <CUCM服务器IP Address>:8443/cucreports/systemReports.do

  2. 选择Unified CM电话功能列表>生成新报告>功能:虚拟私有网络。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

电话证书类型

思科在电话使用这些证书类型:

  • 制造商预装证书(MIC) - MICs在所有7941, 7961和新模型思科IP电话包括。MICs是由思科Certificate Authority (CA)签字的2048位关键证书。当MIC存在时,是不必要的安装一局部重要的证书(LSC)。为了CUCM能委托MIC证书,它在其证书信任存储使用被事先装配的CA证书CAP-RTP-001、CAP-RTP-002和Cisco_Manufacturing_CA。

  • LSC -在您配置验证或加密的后,设备安全性模式LSC巩固CUCM和电话之间的连接。

    LSC拥有Cisco IP电话的公共密钥,由CUCM认证机关代理功能(CAPF)专用密钥签字。这是首选方法(与使用MICs相对),因为由管理员手工设置仅的思科IP电话允许下载和验证CTL文件。

    注意:由于强化的安全风险,思科独自地推荐使用MICs为LSC安装和不为继续使用。配置思科IP电话使用MICs传输层安全的客户(TLS)验证或其他目的那么责任自负。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

配置

本文描述这些配置:

  • ASA 配置

  • CallManager 配置

  • 在CallManager的VPN配置

  • IP电话的认证安装

ASA 配置

当您连接AnyConnect客户端计算机对ASA时, ASA的配置几乎是相同的象。然而,这些限制适用:

  • 隧道群必须有group-url。此URL在VPN网关URL下的CM将配置。

  • 组策略不能包含分割隧道。

此配置在ASA设备的安全套接字层SSL信任点使用一以前已配置的和已安装ASA (自已签署的或第三方)证书。有关详细信息,请参阅以下文档:

ASA的相关配置是:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

CallManager 配置

为了导出从ASA的证书和导入证书到CallManager作为电话VPN托拉斯证书,请完成这些步骤:

  1. 注册与CUCM的生成的证书。

  2. 检查用于SSL的证书。

    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. 导出证书。

    ASA(config)#crypto ca export SSL identity-certificate

    增强加密邮件(PEM)编码的身份证书跟随:

    -----BEGIN CERTIFICATE-----ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. 复制从终端的文本并且保存它作为.pem文件。

  5. 登陆对CallManager并且选择Unified OS管理> Security > Certificate Management >加载证书>挑选电话VPN托拉斯为了上传在上一步保存的证书文件。

在CallManager的VPN配置

  1. 导航对Cisco Unified CM管理。

  2. 从菜单栏,请选择高级特性> VPN > VPN网关

      

  3. 在VPN网关配置窗口,请完成这些步骤:

    1. 在VPN网关Name字段,请输入名称。这可以是所有名称。

    2. 在VPN网关说明字段,请输入说明(可选)。

    3. 在VPN网关URL字段,请输入在ASA定义的group-url。

    4. 在此Location字段的VPN证书,请选择以前上传对CallManager从truststore搬到它此位置的证书。

       

  4. 从菜单栏,请选择高级特性> VPN > VPN组

  5. 在所有可用的VPN网关领域,请选择以前定义的VPN网关。在此VPN组字段点击下箭头为了移动选定网关向选定VPN网关。

  6. 从菜单栏,请选择高级特性> VPN > VPN配置文件

     

  7. 为了配置VPN配置文件,请填入用星号(*)标记的所有字段。

    Enable (event)自动网络检测:如果启用, VPN电话ping TFTP server,并且,如果无响应接收,自动启动VPN连接。

    Enable (event)主机ID检查:如果启用, VPN电话对证书的CN/SAN比较VPN网关URL的FQDN。客户端不能连接,如果他们不配比或,如果使用与星号(*)的一通配符证书。

    特权密码持续时间:这允许VPN电话缓存用户名和passsword下VPN尝试的。

  8. 在普通的电话配置文件配置窗口,请单击运用设置为了运用新的VPN配置。您能使用“英文虎报普通的电话配置文件”或创建新配置文件。

  9. 如果创建特定电话/用户的一新配置文件,请去Phone Configuration窗口。在普通的电话配置文件字段,请选择英文虎报普通的电话配置文件

      

  10. 注册电话对再CallManager为了下载新的配置。

证书验证配置

为了配置证书验证,请完成在CallManager和ASA的这些步骤:

  1. 从菜单栏,请选择高级特性> VPN > VPN配置文件

  2. 确认客户端验证方法字段设置为证书。

  3. 登陆对CallManager。从菜单栏,请选择Unified OS管理> Security > Certificate Management >查找

  4. 导出选定证书验证方法的正确证书:

    • MICs :Cisco_Manufacturing_CA -验证与MIC的IP电话

    • LSCs :思科认证机关代理功能(CAPF) -验证与LSC的IP电话

  5. 查找证书, Cisco_Manufacturing_CA或CAPF。下载.pem文件并且保存作为.txt文件
  6. 创建在ASA的一新的信任点并且验证与上一个已保存证书的信任点。当提示对于base-64编码的CA证书时,精选和请与开始和结束线路一起粘贴在下载的.pem文件的文本。示例显示:
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. 确认在隧道群的验证设置为证书验证。

    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

IP电话的认证安装

IP电话能与MICs或LSCs一起使用,但是配置过程为每证书是不同的。

MIC安装

默认情况下,支持VPN的所有电话预先输入与MICs。7960个和7940个电话不附有MIC,并且要求LSC的一个特殊安装安装过程能安全地注册。

注意:思科建议您使用MICs仅LSC安装。思科支持LSCs验证与CUCM的TLS连接。由于MIC根证明可以折衷,配置电话使用MICs TLS验证或其他目的客户那么责任自负。如果MICs折衷,思科不假设负债。

LSC安装

  1. Enable (event)在CUCM的CAPF服务。

  2. 在CAPF服务被启动后,请分配电话说明生成在CUCM的一LSC。登陆对Cisco Unified CM管理并且选择Device > Phone。选择您配置的电话。

  3. 在认证机关代理功能(CAPF)信息部分,请保证所有设置正确,并且操作设置为远期。

  4. 如果认证模式设置为空字符串或现有的证书,进一步操作没有要求。

  5. 如果认证模式设置为字符串,请在电话控制台手工选择设置> Security Configuration> ** # > LSC >更新

验证

使用本部分可确认配置能否正常运行。

ASA验证

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

CUCM验证

故障排除

目前没有针对此配置的故障排除信息。

相关 Bug

  • Cisco Bug ID CSCtf09529,添加VPN功能的支持在8961的CUCM, 9951, 9971个电话
  • Cisco Bug ID CSCuc71462, IP电话VPN故障切换花费8分钟
  • Cisco Bug ID CSCtz42052, IP电话非默认端口端口号的SSL VPN支持
  • 在电话VPN用户+密码登录期间, Cisco Bug ID CSCth96551,不是所有的ASCII字符支持。
  • Cisco Bug ID CSCuj71475,为IP电话需要的手工的TFTP条目VPN
  • Cisco Bug ID CSCum10683, IP电话不记录未命中的,发出的或者接收的呼叫

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 115785