语音和统一通信 : Cisco Unified Communications Manager (CallManager)

CUCM第三方CA签名的LSCs生成和导入配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

认证机关代理功能(CAPF)局部重要的证书(LSCs)本地签字。然而,您也许要求电话使用第三方Certificate Authority (CA) -签字的LSCs。本文描述帮助您达到此的步骤。

贡献用Ramesh Balakrishnan, Cisco TAC工程师。

先决条件

要求

思科建议您有知识Cisco Unified Communications管理器(CUCM)。

使用的组件

本文档中的信息根据CUCM版本10.5(2);然而,此功能从版本10.0和以上运作。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

这是在此步骤涉及的步骤,其中每一在其自己的部分被选派:

  1. 上传CA根证书
  2. 设置证书问题的脱机CA对终端
  3. 生成一证书签名请求(CSR)电话的
  4. 从Cisco Unified Communications Manager (CUCM)有生成的CSR FTP服务器
  5. 从CA获得电话证书
  6. 转换.cer对.der格式
  7. 压缩证书(.der)对.tgz格式
  8. 转接.tgz文件到Secure Shell FTP (SFTP)服务器
  9. 导入.tgz文件到CUCM服务器
  10. 签署CSR用Microsoft Windows 2003年认证机关
  11. 从CA获得根证明

上传CA根证书

  1. 登录Cisco Unified操作系统(OS)管理Web GUI。

  2. 导航对安全证书管理

  3. 点击加载证书/证书链

  4. 选择CallManager托拉斯在证书目的下。

  5. 浏览对CA的根证明并且点击加载

设置证书问题的脱机CA对终端

  1. 登录CUCM管理Web GUI。

  2. 导航对系统>服务参数

  3. 选择CUCM服务器并且选择服务的思科认证机关代理功能

  4. 选择证书问题的脱机CA对终端。

生成证书签名请求(CSR)电话的

  1. 登录CUCM管理Web GUI。

  2. 导航到设备电话

  3. 选择必须由外部CA签字LSC的电话。

  4. 请更改设备安全性配置文件到一获取的一个(如果没有请提交,添加在安全电话安全配置文件的一个系统)。

  5. 在Phone Configuration页,在CAPF部分下,请选择为证明操作安装/升级。完成必须由外部CA签字LSC的所有的此步骤电话。您应该为证书操作状态看到待定的操作



    电话安全配置文件(7962型号)。



    输入使用情况capf csr count命令在安全壳SSH会话上为了确认CSR是否生成。(此屏幕画面显示CSR为三个电话生成。)



    注意:在电话的CAPF部分下的证书操作状态留在操作待定状态。

从CUCM有生成的CSR FTP (或TFTP)服务器

  1. SSH到CUCM服务器里。

  2. 执行dump命令使用情况capf的csr。此屏幕画面显示转接对FTP的转储。



  3. 打开有WinRAR的转储文件并且解压缩CSR到您的本地设备。

获得电话证书

  1. 发送电话的CSR对CA。

  2. CA提供您签名证书。

    注意:您能使用Microsoft Windows 2003服务器作为CA。签署与Microsft Windows 2003 CA的CSR的步骤是解释的以后在本文。

.der格式的转换.cer

如果已接收证书在.cer格式,则请重命名他们对.der。

压缩证书(.der)对.tgz格式

您能使用CUCM服务器根(Linux)为了压缩证书格式。您在一个正常Linux系统能也执行此。

  1. 转接所有签名证书到Linux系统用SFTP服务器。



  2. 输入此命令为了压缩所有.der证书到.tgz文件。

    tar -zcvf <file_name>.tgz    *.der


转接.tgz文件到SFTP服务器

完成在屏幕画面显示的步骤为了转接.tgz文件到SFTP服务器。

导入.tgz文件到CUCM服务器

  1. SSH到CUCM服务器里。

  2. 执行import命令使用情况的capf cert



    一旦证书顺利地导入,然后您能看到CSR计数变为零。

签署CSR用Microsoft Windows 2003年认证机关

这是Microsoft Windows的可选信息2003年- CA.

  1. 打开证书颁发机构。



  2. 用鼠标右键单击CA并且导航对所有任务>提交新要求…



  3. 选择CSR并且点击开放。为所有CSR执行此。



    所有在待定请求文件夹的打开的CSR显示。

  4. 用鼠标右键单击其中每一并且导航对所有任务>问题为了发行证书。为所有待定请求执行此。



  5. 为了下载证书,请选择已签发证书

  6. 用鼠标右键单击证书并且点击开放



  7. 您能看到证书详细信息。为了下载证书,选择详细信息选项卡和选择复制到文件…



  8. 在Export向导的证书,请选择DER编码的二进制X.509 (.CER)



  9. 名叫文件适当的事。此示例使用<MAC>.cer格式。



  10. 获得其他电话的证书在与此步骤的已签发证书部分下。

从CA获得根证明

  1. 打开证书颁发机构

  2. 完成在此屏幕画面显示的步骤为了下载根CA。

验证

使用本部分可确认配置能否正常运行。

  1. 去Phone Configuration页。

  2. 在CAPF部分下,证书操作状态应该显示作为升级成功

注意:参考生成并且导入第三方CA签名的LSCs欲知更多信息。

故障排除

目前没有针对此配置的故障排除信息。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118779