音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

Tokenless CTL とミックス モード CUCM

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料はハードウェア USB eTokens の使用の有無にかかわらず Cisco Unified Communications Manager (CUCM)セキュリティ間の違いを記述したものです。 この資料はまた変更の後でようにシステム関数きちんとするために使用する Tokenless Certificate trust list (CTL)およびプロセスを含む基本実装シナリオを解説していたものです。

Milosz Zajac、ミカル Myszor、および Leszek Wojnarski によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は CUCM バージョン 10.0(1) または それ 以降の知識があることを推奨します。 さらに、それを確認して下さい:

  • CUCM パブリッシャ ノードの Command Line Interface (CLI)に管理アクセスをアクセスできます。

  • ハードウェア USB eTokens にアクセスでき、それはハードウェア eTokens の使用に戻って移行するように要求するシナリオのための PC で CTL クライアント プラグイン インストールされています。

  • クラスタの CUCM ノードすべて間にフル接続があります。 これは CTL ファイルが SSH ファイル 転送 プロトコル(SFTP)によってクラスタのノードすべてにコピーされるので非常に重要です。

  • クラスタのデータベース(DB)複製はきちんとはたらき、それはサーバ リアルタイムのデータを複製します。

  • 配備のデバイスはセキュリティをデフォルトでサポートします(TV)。 セキュリティをデフォルトでサポートするデバイスを判別するために Cisco Unified レポート Web ページ(https:// <CUCM IP か FQDN>/cucreports/)からの統一された CM 電話 機能 リストを使用できます。

    : Cisco Jabber は多くの Cisco TelePresence または Cisco 7940/7960 シリーズ IP 電話 現在 セキュリティをデフォルトでサポートしないし。 変更するセキュリティをデフォルトでサポートしないデバイスとの Tokenless CTL を展開すれば、CTL が手動で削除されるまでそれらのデバイスがシステムと登録することをシステムへのどのアップデートでもパブリッシャの CallManager 認証防ぎます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • CUCM バージョン 10.5.1.10000-7 (2 つのノードのクラスタ)

  • Cisco 7975 シリーズ ファームウェアのバージョン SCCP75.9-3-1SR4-1S との Skinny Client Control Protocol (SCCP)によって登録されている IP 電話

  • 2 つの Ciscoセキュリティ トークン CTL クライアントソフトウェアの使用とのミックス モードにクラスタを設定 するために使用される

背景説明

Tokenless CTL はハードウェア USB eTokens および差込式前の CUCM リリースの要件の CTL クライアントを使用する必要性なしで IP 電話のための呼出し シグナリングおよびメディアの暗号化を可能にする CUCM バージョン 10.0(1) および それ 以降の新しい 機能です。

クラスタが CLI コマンドの使用とのミックス モードに置かれるとき、CTL ファイルはパブリッシャ ノードの CCM+TFTP (サーバ)認証と署名し、eToken CTL ファイルで現在の認証をありません。

: パブリッシャの CallManager (CCM+TFTP)認証を再生するとき、ファイルの署名者を変更します。 セキュリティをデフォルトでサポートしないデバイスおよび電話は CTL ファイルが各デバイスから手動で削除されなければ新しい CTL ファイルを受け入れません。 最後の要件を参照して下さい詳細についてはこの資料の Requirements セクション リストされている。

非セキュア モードからミックス モードへの(Tokenless CTL)

このセクションはプロセスを説明します CLI によってミックス モードに CUCM クラスタ セキュリティを移動するために使用される。

このシナリオ前に、CUCM は非セキュア モードにありました、つまりノードの何れかの CTL ファイルがなかったこと、そして登録済みの IP 電話にインストールされた識別信頼リスト(ITL)ファイルだけあったことを意味しますこれらの出力に示すように:

admin:show ctl
Length of CTL file: 0
CTL File not found. Please run CTLClient plugin or run the CLI - utils ctl.. to
generate the CTL file.
Error parsing the CTL File.
admin:

CUCM クラスタ セキュリティを Tokenless 新しい CTL 機能の使用とのミックス モードに移動するために、これらのステップを完了して下さい:

  1. CUCM パブリッシャ ノード CLI に管理アクセスを得て下さい。

  2. CLI に utils ctl 設定クラスタ mixed-mode コマンドを入力して下さい:
    admin:utils ctl set-cluster mixed-mode
    This operation will set the cluster to Mixed mode. Do you want to continue? (y/n):y

    Moving Cluster to Mixed Mode
    Cluster set to Mixed Mode
    Please Restart the TFTP and Cisco CallManager services on all nodes in the cluster
    that run these services
    admin:
  3. CUCM 管理者ページ > System > Enterprise Parameters にナビゲート し、クラスタがミックス モードに設定 されたかどうか確かめて下さい(1 という値はミックス モードを示します):



  4. これらのサービスを経営するクラスタのノードすべての TFTP および Cisco CallManagerサービスを再開して下さい。

  5. CUCM TFTPサービスからの CTL ファイルを得ることができるように IP 電話すべてを再起動して下さい。

  6. CTL ファイルのコンテンツを確認するために、CLI に提示 ctl コマンドを入力して下さい。 CTL ファイルで CTL ファイルに署名するために CUCM パブリッシャ ノードのための CCM+TFTP (サーバ)認証が使用されることがわかります(このファイルはクラスタのすべてのサーバに同じです)。 次に出力例を示します。
    admin:show ctl
    The checksum value of the CTL file:
    0c05655de63fe2a042cf252d96c6d609(MD5)
    8c92d1a569f7263cf4485812366e66e3b503a2f5(SHA1)

    Length of CTL file: 4947
    The CTL File was last modified on Fri Mar 06 19:45:13 CET 2015

    [...]

    CTL Record #:1
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D 21
    A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4
    This etoken was used to sign the CTL file.
    CTL Record #:2
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 CCM+TFTP
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D 21
    A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4

    [...]

    The CTL file was verified successfully.
  7. IP Phone 側で、CUCM からの出力と比較されたとき)サービスが再開された後、TFTPサーバに現在ある CTL ファイルをダウンロードすることを確認できます、(MD5 チェックサムは一致します:

    : 電話のチェックサムを確認するとき、電話のタイプに MD5SHA1 を、依存見ます。


ハードウェア eTokens から Tokenless ソリューションへの

このセクションはハードウェア eTokens から Tokenless 新しいソリューションの使用に CUCM クラスタ セキュリティを移行する方法を記述します。

状況によっては、ミックス モード既に CTL クライアントの使用で CUCM、およびハードウェア USB eTokens からの認証が含まれている IP 電話 使用 CTL ファイルで設定されています。 このシナリオによって、CTL ファイルは USB eTokens の 1 つからの認証によって署名し、IP 電話でインストールされています。 ここに例で:

admin:show ctl
The checksum value of the CTL file:
256a661f4630cd86ef460db5aad4e91c(MD5)

3d56cc01476000686f007aac6c278ed9059fc124(SHA1)

Length of CTL file: 5728
The CTL File was last modified on Fri Mar 06 21:48:48 CET 2015

[...]
CTL Record #:5
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1186
2 DNSNAME 1
3 SUBJECTNAME 56 cn="SAST-ADN008580ef ";ou=IPCBU;o="Cisco Systems
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
6 SERIALNUMBER 10 83:E9:08:00:00:00:55:45:AF:31
7 PUBLICKEY 140
9 CERTIFICATE 902 85 CD 5D AD EA FC 34 B8 3E 2F F2 CB 9C 76 B0 93
3E 8B 3A 4F (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.

The CTL file was verified successfully.

Tokenless CTL の使用に CUCM クラスタ セキュリティを移動するためにこれらのステップを完了して下さい:

  1. CUCM パブリッシャ ノード CLI に管理アクセスを得て下さい。

  2. utils ctl アップデート CTLFile CLI コマンドを入力して下さい:
    admin:utils ctl update CTLFile
    This operation will update the CTLFile. Do you want to continue? (y/n):y

    Updating CTL file
    CTL file Updated
    Please Restart the TFTP and Cisco CallManager services on all nodes in
    the cluster that run these services
  3. これらのサービスを経営するクラスタのノードすべての TFTP および CallManagerサービスを再開して下さい。

  4. CUCM TFTPサービスからの CTL ファイルを得ることができるように IP 電話すべてを再起動して下さい。

  5. CTL ファイルのコンテンツを確認するために CLI に提示 ctl コマンドを入力して下さい。 CTL ファイルでは、ハードウェア USB eTokens からの認証の代りに CTL ファイルに署名するために CUCM パブリッシャ ノードの CCM+TFTP (サーバ)認証が使用されることがわかります。 1 つのより重要な違いはこの場合ハードウェア USB eTokens すべてからの認証が CTL ファイルから削除されることです。 次に出力例を示します。
    admin:show ctl
    The checksum value of the CTL file:
    1d97d9089dd558a062cccfcb1dc4c57f(MD5)
    3b452f9ec9d6543df80e50f8b850cddc92fcf847(SHA1)

    Length of CTL file: 4947
    The CTL File was last modified on Fri Mar 06 21:56:07 CET 2015

    [...]

    CTL Record #:1
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
    21 A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4
    This etoken was used to sign the CTL file.

    CTL Record #:2
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 CCM+TFTP
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
    21 A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4

    [...]

    The CTL file was verified successfully.
  6. IP Phone 側で、CUCM からの出力と比較されたとき) IP 電話が再起動した後、それらは更新済 CTL ファイルのバージョンをダウンロードしたことを確認できます(MD5 チェックサムは一致します:

Tokenless ソリューションからハードウェア eTokens への

このセクションは Tokenless 新しいソリューションからのおよびハードウェア eTokens の使用に戻る CUCM クラスタ セキュリティを移行する方法を記述します。

CUCM クラスタ セキュリティが CLI コマンドの使用とのミックス モードに設定 され、CTL ファイルが CUCM パブリッシャ ノードのための CCM+TFTP (サーバ)認証と署名するとき、CTL ファイルで現在のハードウェア USB eTokens から認証がありません。 従って CTL ファイル(ハードウェア eTokens の使用に戻る移動)をアップデートするために CTL クライアントを実行するとき、このエラーメッセージが現れます:

The Security Token you have inserted does not exist in the CTL File
Please remove any Security Tokens already inserted and insert another
Security Token. Click Ok when done.

これは utils ctl コマンドを含まない pre-10.x バージョンにシステムのダウングレードを(バージョンが切り替えられるとき)含むシナリオで特に重要です。 前の CTL ファイルは Linux (L2)アップグレードにリフレッシュか Linux の過程において(コンテンツの変更なしで)移行され、以前に述べられるように eToken 認証が、含まれていません。 次に出力例を示します。

admin:show ctl
The checksum value of the CTL file:
1d97d9089dd558a062cccfcb1dc4c57f(MD5)
3b452f9ec9d6543df80e50f8b850cddc92fcf847(SHA1)

Length of CTL file: 4947
The CTL File was last modified on Fri Mar 06 21:56:07 CET 2015

Parse CTL File
----------------

Version: 1.2
HeaderLength: 336 (BYTES)

BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
3 SIGNERID 2 149
4 SIGNERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
5 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
6 CANAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
7 SIGNATUREINFO 2 15
8 DIGESTALGORTITHM 1
9 SIGNATUREALGOINFO 2 8
10 SIGNATUREALGORTITHM 1
11 SIGNATUREMODULUS 1
12 SIGNATURE 128
65 ba 26 b4 ba de 2b 13
b8 18 2 4a 2b 6c 2d 20
7d e7 2f bd 6d b3 84 c5
bf 5 f2 74 cb f2 59 bc
b5 c1 9f cd 4d 97 3a dd
6e 7c 75 19 a2 59 66 49
b7 64 e8 9a 25 7f 5a c8
56 bb ed 6f 96 95 c3 b3
72 7 91 10 6b f1 12 f4
d5 72 e 8f 30 21 fa 80
bc 5d f6 c5 fb 6a 82 ec
f1 6d 40 17 1b 7d 63 7b
52 f7 7a 39 67 e1 1d 45
b6 fe 82 0 62 e3 db 57
8c 31 2 56 66 c8 91 c8
d8 10 cb 5e c3 1f ef a
14 FILENAME 12
15 TIMESTAMP 4

CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.

CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4

CTL Record #:3
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1138
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 60 CN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CAPF
5 ISSUERNAME 60 CN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 74:4B:49:99:77:04:96:E7:99:E9:1E:81:D3:C8:10:9B
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 680 46 EE 5A 97 24 65 B0 17 7E 5F 7E 44 F7 6C 0A
F3 63 35 4F A7 (SHA1 Hash HEX)
10 IPADDRESS 4

CTL Record #:4
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1161
2 DNSNAME 17 cucm-1051-a-sub1
3 SUBJECTNAME 63 CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 63 CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 6B:EB:FD:CD:CD:8C:A2:77:CB:2F:D1:D1:83:A6:0E:72
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 696 21 7F 23 DE AF FF 04 85 76 72 70 BF B1 BA 44
DB 5E 90 ED 66 (SHA1 Hash HEX)
10 IPADDRESS 4

The CTL file was verified successfully.

admin:

このシナリオに関しては、安全に失われた eTokens のためにプロシージャを使用する IP 電話すべてからの CTL ファイルの手動削除に行きつく必要なしで CTL ファイルをアップデートするためにこれらのステップを完了して下さい:

  1. CUCM パブリッシャ ノード CLI に管理アクセスを得て下さい。

  2. CTL ファイルを削除するためにパブリッシャ ノード CLI にファイル削除 tftp CTLFile.tlv コマンドを入力して下さい:
    admin:file delete tftp CTLFile.tlv
    Delete the File CTLFile.tlv?
    Enter "y" followed by return to continue: y
    files: found = 1, deleted = 1
  3. インストールされる CTL クライアントを備えている Microsoft Windows マシンの SafeNet 認証 クライアントを開いて下さい(CTL クライアントと自動的にインストールされています):



  4. SafeNet 認証 クライアントでは、詳細表示にナビゲート して下さい:



  5. 最初のハードウェア USB を eToken 挿入して下さい。

  6. 認証をユーザ許可証 フォルダの下で選択し、PC のフォルダにエクスポートして下さい。 パスワードのためにプロンプト表示された場合、Cisco123 のデフォルトパスワードを使用して下さい:



  7. 認証が両方とも PC にエクスポートされるように第 2 ハードウェア USB のためのこれらのステップを eToken 繰り返して下さい:



  8. Cisco Unified Operating System (OS) 管理にログイン し、セキュリティ > Certificate Management > アップロード認証にナビゲート して下さい:



  9. Certificate ページ アップ ロードはそれから現われます。 電話 SAST 信頼を認証目的廃棄メニューから選択し、初めから eToken エクスポートした認証を選択して下さい:



  10. 第 2 から eToken エクスポートした認証をアップロードするために前の手順を完了して下さい:



  11. CTL クライアントを実行し、CUCM パブリッシャ ノードの IP アドレス/ホスト名を提供し、CCM 管理者の資格情報を入力して下さい:



  12. クラスタがパブリッシャ ノードで存在 するミックス モードの、CTL ファイルに既にあっていないがのでこの警告メッセージが現れます(それを無視するために『OK』 をクリック して下さい):
    No CTL File exists on the server but the Call Manager Cluster Security Mode
    is in Secure Mode.
    For the system to function, you must create the CTL File and set Call Manager
    Cluster the Secure Mode.
  13. CTL クライアントから、アップデート CTL Fileオプション・ボタンをクリックし、次に『Next』 をクリック して下さい:



  14. 最初のセキュリティ トークンを挿入し、『OK』 をクリック して下さい:



  15. セキュリティ トークン詳細が表示する後、『Add』 をクリック して下さい:



  16. CTL ファイルのコンテンツが現われたら、第 2 USB を追加するためにトークンを eToken 『Add』 をクリック して下さい:



  17. セキュリティ トークン詳細が現われた後、『Add』 をクリック して下さい:



  18. CTL ファイルのコンテンツが現われた後、『Finish』 をクリック して下さい。 パスワードのためにプロンプト表示された場合、Cisco123 を入力して下さい:



  19. CTL ファイル 存在が現われる CUCM サーバのリストが、『Done』 をクリック する時:



  20. これらのサービスを経営するクラスタのノードすべての TFTP および CallManagerサービスを再開して下さい。

  21. CUCM TFTPサービスからの CTL ファイルの新しい バージョンを得ることができるように IP 電話すべてを再起動して下さい。

  22. CTL ファイルのコンテンツを確認するために、CLI に提示 ctl コマンドを入力して下さい。 CTL ファイルで USB eTokens の両方からの認証を表示できます(CTL ファイルに署名するためにそれらの 1 つは使用されます)。 次に出力例を示します。
    admin:show ctl
    The checksum value of the CTL file:
    2e7a6113eadbdae67ffa918d81376902(MD5)
    d0f3511f10eef775cc91cce3fa6840c2640f11b8(SHA1)

    Length of CTL file: 5728
    The CTL File was last modified on Fri Mar 06 22:53:33 CET 2015

    [...]

    CTL Record #:1
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1186
    2 DNSNAME 1
    3 SUBJECTNAME 56 cn="SAST-ADN0054f509 ";ou=IPCBU;o="Cisco Systems
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
    6 SERIALNUMBER 10 3C:F9:27:00:00:00:AF:A2:DA:45
    7 PUBLICKEY 140
    9 CERTIFICATE 902 19 8F 07 C4 99 20 13 51 C5 AE BF 95 03 93 9F F2
    CC 6D 93 90 (SHA1 Hash HEX)
    10 IPADDRESS 4
    This etoken was not used to sign the CTL file.

    [...]

    CTL Record #:5
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1186
    2 DNSNAME 1
    3 SUBJECTNAME 56 cn="SAST-ADN008580ef ";ou=IPCBU;o="Cisco Systems
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
    6 SERIALNUMBER 10 83:E9:08:00:00:00:55:45:AF:31
    7 PUBLICKEY 140
    9 CERTIFICATE 902 85 CD 5D AD EA FC 34 B8 3E 2F F2 CB 9C 76 B0 93
    3E 8B 3A 4F (SHA1 Hash HEX)
    10 IPADDRESS 4
    This etoken was used to sign the CTL file.

    The CTL file was verified successfully.
  23. IP Phone 側で、CUCM からの出力と比較されたとき) IP 電話が再起動した後、それらは更新済 CTL ファイルのバージョンをダウンロードしたことを確認できます(MD5 チェックサムは一致します:

この変更は CUCM 証明書信頼ストアに以前に eToken 認証を、IP 電話はできます信頼確認サービス(TV)に対して CTL ファイルに署名するために CUCM のその実行使用したこの未知認証を確認エクスポートし、アップロードしたので可能性のあるであり。 このログ snippit は要求の CUCM TV が未知数は電話 SAST 信頼としてアップロードされ、信頼される認証を eToken ことを確認するために IP Phone によってがどのように接触するか説明します、:

//In the Phone Console Logs we can see a request sent to TVS server to verify unknown
certificate

8074: NOT 23:00:22.335499 SECD: setupSocketToTvsProxy: Connected to TVS proxy server
8075: NOT 23:00:22.336918 SECD: tvsReqFlushTvsCertCache: Sent Request to TVS proxy,
len: 3708

//In the TVS logs on CUCM we can see the request coming from an IP Phone which is being
successfully verified

23:00:22.052 | debug tvsHandleQueryCertReq
23:00:22.052 | debug tvsHandleQueryCertReq : Subject Name is: cn="SAST-ADN008580ef
";ou=IPCBU;o="Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq : Issuer Name is: cn=Cisco Manufacturing
CA;o=Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq :subjectName and issuerName matches for
eToken certificate
23:00:22.052 | debug tvsHandleQueryCertReq : SAST Issuer Name is: cn=Cisco
Manufacturing CA;o=Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq : This is SAST eToken cert
23:00:22.052 | debug tvsHandleQueryCertReq : Serial Number is: 83E9080000005545AF31
23:00:22.052 | debug CertificateDBCache::getCertificateInformation - Looking up the
certificate cache using Unique MAP ID : 83E9080000005545AF31cn=Cisco Manufacturing
CA;o=Cisco Systems
23:00:22.052 | debug ERROR:CertificateDBCache::getCertificateInformation - Cannot find
the certificate in the cache
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - Looking up the
certificate cache using Unique MAP ID : 83E9080000005545AF31cn=Cisco Manufacturing
CA;o=Cisco Systems, len : 61
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - Found entry
{rolecount : 1}
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - {role : 0}
23:00:22.052 | debug convertX509ToDER -x509cert : 0xa3ea6f8
23:00:22.053 | debug tvsHandleQueryCertReq: Timer started from tvsHandleNewPhConnection

//In the Phone Console Logs we can see reply from TVS server to trust the new certificate
(eToken Certificate which was used to sign the CTL file)

8089: NOT 23:00:22.601218 SECD: clpTvsInit: Client message received on TVS proxy socket
8090: NOT 23:00:22.602785 SECD: processTvsClntReq: Success reading the client TVS
request, len : 3708
8091: NOT 23:00:22.603901 SECD: processTvsClntReq: TVS Certificate cache flush
request received
8092: NOT 23:00:22.605720 SECD: tvsFlushCertCache: Completed TVS Certificate cache
flush request

Tokenless CTL ソリューションのための認証再生成

このセクションは Tokenless CTL ソリューションが使用されるとき CUCM クラスタ機密保護証明書を再生する方法を記述します。

CUCM メンテナンスの過程において、時々 CUCM パブリッシャ ノード CallManager 認証は変更します。 これが起こる場合があるシナリオはドメインのホスト名、変更、または単に認証再生成の変更が含まれています(認証満了満了日を閉じること当然の)。

CTL ファイルが更新済だった後、CTL ファイルにあるそれより別の認証と署名します IP 電話でインストールされている。 通常、この新しい CTL ファイルは受け入れられません; ただし、IP Phone の後で CTL ファイルに署名するために使用する未知認証をそれ連絡します CUCM の TV サービスに見つけます。

: TV Server リストは IP Phone設定 ファイルにあり、IP Phone デバイス プール > CallManagerグループからの CUCM サーバでマッピング されます。

TV サーバに対する正常な確認に、IP Phone は新しい バージョンとの CTL ファイルをアップデートします。 これらのイベントはそのような場合には発生します:

  1. CUCM と IP Phone で存在 する CTL ファイル。 CUCM パブリッシャ ノードのための CCM+TFT (サーバ)認証は CTL ファイルに署名するために使用されます:
    admin:show ctl
    The checksum value of the CTL file:
    7b7c10c4a7fa6de651d9b694b74db25f(MD5)
    819841c6e767a59ecf2f87649064d8e073b0fe87(SHA1)

    Length of CTL file: 4947
    The CTL File was last modified on Mon Mar 09 16:59:43 CET 2015

    [...]

    CTL Record #:1
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
    21 A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4
    This etoken was used to sign the CTL file.

    CTL Record #:2
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1156
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 CCM+TFTP
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
    7 PUBLICKEY 140
    8 SIGNATURE 128
    9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
    21 A5 A3 8C 9C (SHA1 Hash HEX)
    10 IPADDRESS 4

    [...]

    The CTL file was verified successfully.



  2. CallManager.pem ファイル(CCM+TFTP 認証)は、認証のシリアル番号が変更することがわかる場合があります再生し:



  3. utils ctl アップデート CTLFile コマンドは CLI に CTL ファイルをアップデートするために入力されます:
    admin:utils ctl update CTLFile
    This operation will update the CTLFile. Do you want to continue? (y/n):y

    Updating CTL file
    CTL file Updated
    Please Restart the TFTP and Cisco CallManager services on all nodes in
    the cluster that run these services
    admin:
  4. TV サービスは新しい CTL ファイル 詳細との認証 キャッシュをアップデートします:
    17:10:35.825 | debug CertificateCache::localCTLCacheMonitor - CTLFile.tlv has been
    modified
    . Recaching CTL Certificate Cache
    17:10:35.826 | debug updateLocalCTLCache : Refreshing the local CTL certificate cache
    17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
    6B1D357B6841740B078FEE4A1813D5D6CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL, length : 93
    17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
    6B1D357B6841740B078FEE4A1813D5D6CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL, length : 93
    17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
    744B5199770516E799E91E81D3C8109BCN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL, length : 91
    17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
    6BEBFDCDCD8CA277CB2FD1D183A60E72CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL, length : 94
  5. CTL ファイル内容を表示するとき、ファイルがパブリッシャ ノードのための新しい CallManager Server 認証と署名することがわかります:
    admin:show ctl
    The checksum value of the CTL file:
    ebc649598280a4477bb3e453345c8c9d(MD5)
    ef5c006b6182cad66197fac6e6530f15d009319d(SHA1)

    Length of CTL file: 6113
    The CTL File was last modified on Mon Mar 09 17:07:52 CET 2015

    [..]

    CTL Record #:1
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1675
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 System Administrator Security Token
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 6B:1D:35:7B:68:41:74:0B:07:8F:EE:4A:18:13:D5:D6
    7 PUBLICKEY 270
    8 SIGNATURE 256
    9 CERTIFICATE 955 5C AF 7D 23 FE 82 DB 87 2B 6F 4D B7 F0 9D D5
    86 EE E0 8B FC (SHA1 Hash HEX)
    10 IPADDRESS 4

    This etoken was used to sign the CTL file.

    CTL Record #:2
    ----
    BYTEPOS TAG LENGTH VALUE
    ------- --- ------ -----
    1 RECORDLENGTH 2 1675
    2 DNSNAME 16 cucm-1051-a-pub
    3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    4 FUNCTION 2 CCM+TFTP
    5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
    ST=Malopolska;C=PL
    6 SERIALNUMBER 16 6B:1D:35:7B:68:41:74:0B:07:8F:EE:4A:18:13:D5:D6
    7 PUBLICKEY 270
    8 SIGNATURE 256
    9 CERTIFICATE 955 5C AF 7D 23 FE 82 DB 87 2B 6F 4D B7 F0 9D D5
    86 EE E0 8B FC (SHA1 Hash HEX)
    10 IPADDRESS 4

    [...]

    The CTL file was verified successfully.
  6. 統一されたサービサビリティ ページから、TFTP および Cisco CallManagerサービスはこれらのサービスを経営するクラスタのノードすべてで再開されます。

  7. IP 電話は再起動し、それらは CTL ファイルの新しい バージョンに署名するために今使用する未知認証を確認するために TV サーバを接続します:
    // In the Phone Console Logs we can see a request sent to TVS server to verify
    unknown certificate

    2782: NOT 17:21:51.794615 SECD: setupSocketToTvsProxy: Connected to TVS proxy server
    2783: NOT 17:21:51.796021 SECD: tvsReqFlushTvsCertCache: Sent Request to TVS
    proxy, len: 3708

    // In the TVS logs on CUCM we can see the request coming from an IP Phone which is
    being successfully verified

    17:21:51.831 | debug tvsHandleQueryCertReq
    17:21:51.832 | debug tvsHandleQueryCertReq : Subject Name is: CN=cucm-1051-a-pub;
    OU=TAC;O=Cisco;L=Krakow;ST=Malopolska
    17:21:51.832 | debug tvsHandleQueryCertReq : Issuer Name is: CN=cucm-1051-a-pub;
    OU=TAC;O=Cisco;L=Krakow;ST=Malopolska;
    17:21:51.832 | debug tvsHandleQueryCertReq : Serial Number is:
    6B1D357B6841740B078FEE4A1813D5D6
    17:21:51.832 | debug CertificateDBCache::getCertificateInformation - Looking up the
    certificate cache using Unique MAPco;L=Krakow;ST=Malopolska;C=PL
    17:21:51.832 | debug CertificateDBCache::getCertificateInformation - Found entry
    {rolecount : 2}
    17:21:51.832 | debug CertificateDBCache::getCertificateInformation - {role : 0}
    17:21:51.832 | debug CertificateDBCache::getCertificateInformation - {role : 2}
    17:21:51.832 | debug convertX509ToDER -x509cert : 0xf6099df8
    17:21:51.832 | debug tvsHandleQueryCertReq: Timer started from
    tvsHandleNewPhConnection

    // In the Phone Console Logs we can see reply from TVS server to trust the new
    certificate (new CCM Server Certificate which was used to sign the CTL file)

    2797: NOT 17:21:52.057442 SECD: clpTvsInit: Client message received on TVS
    proxy socket
    2798: NOT 17:21:52.058874 SECD: processTvsClntReq: Success reading the client TVS
    request, len : 3708
    2799: NOT 17:21:52.059987 SECD: processTvsClntReq: TVS Certificate cache flush
    request received
    2800: NOT 17:21:52.062873 SECD: tvsFlushCertCache: Completed TVS Certificate
    cache flush request
  8. 最終的には、IP 電話で、CTL ファイルが新しい バージョンとアップデートされること、そして新しい CTL ファイルの MD5 チェックサムが CUCM のそれと一致することを確認できます:


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118893