语音和统一通信 : Cisco Unified Mobility

Cisco Unified Mobility Advantage与ASA的服务器证书问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述如何交换在可适应安全工具(ASA)和Cisco Unified Mobility Advantage (CUMA)服务器之间的自签名证书反之亦然。发生的它也解释如何排除故障常见问题,当您导入证书时。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 5500系列Cisco的ASA

  • Cisco Unified Mobility Advantage服务器7

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

部署方案

Cisco Mobility优点解决方案使用的TLS代理的两个部署方案。

注意: 在两种情况下,客户端从互联网连接。

  1. 可适应安全工具功能作为防火墙和TLS代理。

  2. 可适应安全工具功能作为仅TLS代理。

在两种情况下,您需要导出思科UMA服务器证书密钥对PKCS-12格式和导入它到可适应安全工具。证书使用在握手期间与思科UMA客户端。

思科UMA服务器自签名证书的安装在可适应安全工具truststore的是必要为了可适应安全工具能验证思科UMA服务器在可适应安全工具代理和思科UMA服务器之间的握手期间。

安装思科UMA服务器自签名证书

任务执行在CUMA服务器

这些步骤在CUMA服务器需要被实行。使用这些步骤,您创建在CUMA的一自签名证书交换与与CN=portal.aipc.com的ASA。这在ASA信任存储需要安装。完成这些步骤:

  1. 创建在CUMA服务器的自已签署的cert。

    1. 签到到Cisco Unified Mobility Advantage Admin门户。

    2. 选择在安全上下文管理旁边的[+]

      http://www.cisco.com/c/dam/en/us/support/docs/unified-communications/unified-mobility/112884-cuma-certificate-asa-01.gif

    3. 选择安全上下文

    4. 选择添加上下文

    5. 输入此信息:

      Do you want to create/upload a new certificate? create
      Context Name "cuma"
      Description "cuma"
      Trust Policy "Trusted Certificates"
      Client Authentication Policy "none"
      Client Password "changeme"
      Server Name cuma.ciscodom.com
      Department Name "vsec"
      Company Name "cisco"
      City "san jose"
      State "ca"
      Country "US"
  2. 下载从Cisco Unified Mobility Advantage的自签名证书。完成这些步骤为了完成任务:

    1. 选择在安全上下文管理旁边的[+]

    2. 选择安全上下文

    3. 选择管理在有证书下载的安全上下文旁边的上下文

    4. 选择下载证书

      注意: 如果证书是一系列和关联根或中间证书,只有在一系列的第一证书下载。这为自签名证书是满足的。

    5. 保存文件。

  3. 下一步是添加从Cisco Unified Mobility Advantage的自签名证书在ASA上。完成在ASA的这些步骤:

    1. 打开从Cisco Unified Mobility Advantage的自签名证书在文本编辑。

    2. 导入证书到思科可适应安全工具信任存储:

      cuma-asa(config)# crypto ca trustpoint cuma-server-id-cert
      cuma-asa(config-ca-trustpoint)# enrollment terminal 
      cuma-asa(config-ca-trustpoint)# crypto ca authenticate
      cuma-server-id-cert
      Enter the base 64 encoded CA certificate.
      End with the word "quit" on a line by itself
      
      ----BEGIN CERTIFICATE----
      ** paste the contents from wordpad **
      ----END CERTIFICATE----
  4. 导出在CUMA服务器的ASA自签名证书。您需要配置Cisco Unified Mobility Advantage需要从思科可适应安全工具的一证书。完成这些步骤为了提供需要的自签名证书。这些步骤在ASA需要被实行。

    1. 生成一个新密钥对:

      cuma-asa(config)# crypto key generate rsa label asa-id-key mod 1024
      
      INFO: The name for the keys will be: asa-id-key
      
      Keypair generation process begin. Please wait...
    2. 添加一新的信任点:

      cuma-asa(config)# crypto ca trustpoint asa-self-signed-id-cert
      
      cuma-asa(config-ca-trustpoint)# keypair asa-id-key
      
      cuma-asa(config-ca-trustpoint)# enrollment self
      
    3. 登记信任点:

      cuma-asa(config-ca-trustpoint)# crypto ca enroll asa-self-signed-id-cert
      % The fully-qualified domain name in the certificate will be:
      cuma-asa.cisco.com
      % Include the device serial number in the subject name? [yes/no]: n
      Generate Self-Signed Certificate? [yes/no]: y
    4. 导出证书到文本文件。

      cuma-asa(config)# crypto ca export asa-self-signed-id-cert
      identity-certificate
      The PEM encoded identity certificate follows:
      
      -----BEGIN CERTIFICATE-----
      
      Certificate data omitted
      
      -----END CERTIFICATE-----
  5. 复制上一个输出到文本文件并且添加它到CUMA服务器信任存储并且使用此步骤:

    1. 选择在安全上下文管理旁边的[+]

    2. 选择安全上下文

    3. 选择管理在您导入签名证书的安全上下文旁边的上下文

    4. 选择导入在信任证书柱状图。

    5. 粘贴证书文本。

    6. 为证书命名。

    7. 选择 Import

      注意: 远程目的地配置,呼叫到台式电话里为了确定移动电话是否同时响。这确认移动连接工作,并且没有与远程目的地配置的问题。

麻烦添加CUMA证书请求到其他证书权限

问题 1

许多它帮助的演示/原型安装,如果CUMC/CUMA解决方案与信任证书一起使用是自已签署的或获取从其他证书权限。Verisign认证昂贵,并且需要很长时间获得这些证书。是好,如果解决方案支持自签名证书和证书从其他CA。

支持的当前证书是GeoTrust和Verisign。这在Cisco Bug ID CSCta62971 (仅限注册用户)描述

Error:无法连接

当您设法访问用户入口页面,例如, https://<host>:8443时无法对Connect错误信息出现。

解决方案

此问题在Cisco Bug ID CSCsm26730 (仅限注册用户)描述。为了访问用户入口页面,请完成此应急方案:

此问题的原因是美元字符,因此请退出与另一个美元字符的美元字符在被管理的服务器的server.xml文件。例如,请编辑/opt/cuma/jboss-4.0.1sp1/server/cuma/deploy/jbossweb-tomcat50.sar/server.xml。

在线路中:keystorePass= " pa$word” maxSpareThreads="15"

$$替换$字符。它看起来象keystorePass= " pa$$word” maxSpareThreads="15"。

一些页在CUMA Admin门户不可访问

这些页不可能在CUMA Admin门户查看:

  • 激活/撤销用户

  • 搜索/维护

如果用户点击在菜单的上述两个页之一到左边,浏览器似乎指示装载页,但是什么都不发生(在浏览器仅的上一页可视)。

解决方案

为了解决此问题与用户页涉及,更换用于活动目录的端口到3268并且重新启动CUMA。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 112884