Voz y Comunicaciones unificadas : Cisco Unified Communications Manager (CallManager)

Teléfonos IP de AnyConnect VPN de la configuración con la autenticación certificada en un ASA

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (10 Diciembre 2015) | Comentarios

Introducción

Este documento describe cómo configurar el dispositivo de seguridad adaptante de Cisco (ASA) y los dispositivos Cisco CallManager para proporcionar la autenticación certificada para los clientes de Cisco AnyConnect que se ejecutan en los Teléfonos IP de Cisco. Después de que esta configuración sea completa, los Teléfonos IP de Cisco pueden establecer con éxito las conexiones VPN a los ASA que hacen uso de los Certificados para asegurar la comunicación.

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Licencia superior de Cisco AnyConnect Secure Sockets Layer (SSL)

  • Cisco AnyConnect para la licencia del teléfono del Cisco VPN

Nota: Dependiente sobre la Versión de ASA, usted verá AnyConnect para el teléfono de Linksys para la versión 8.0.x ASA o AnyConnect para el teléfono del Cisco VPN para la versión 8.2.x ASA o más adelante.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión de Cisco ASA 8.0(4) o más adelante

  • Teléfonos IP modelo de Cisco 7942, 7962, 7945, 7965, y 7975

  • Teléfonos modelo de Cisco 8961, 9951, y 9971 que funcionan con el firmware de la versión 9.1(1)

  • Teléfonos de Cisco que ejecutan el Skinny Call Control Protocol (SCCP) de la versión 9.0(2)SR1S o más adelante

  • Versión 8.0.1.100000-4 del administrador de las Comunicaciones unificadas de Cisco (CUCM) o más adelante

Las versiones que se utilizan en este ejemplo de configuración incluyen:

  • Versión de Cisco ASA 9.1(1)

  • Versión del CallManager de Cisco 8.5.1.10000-26

Para ver una lista completa de teléfonos soportados en su versión CUCM, complete estos pasos:

  1. Abra este URL en un navegador: https:// <CUCM IP del servidor Address>:8443/cucreports/systemReports.do.

  2. Navegue la lista unificada de la función del teléfono CM > generan un nuevos informe > característica: Virtual Private Network.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Llame por teléfono a los tipos de certificado

Cisco utiliza estos tipos de certificado en los teléfonos:

  • Certificados instalados fabricante (MIC):

    • Los MIC se incluyen en 7941, 7961, y los Teléfonos IP de Cisco de un más nuevo modelo. Los MIC son los Certificados dominantes 2048-bit que son firmados por el Certificate Authority (CA) de Cisco. Cuando un MIC está presente, no es necesario instalar el certificado significativo a localmente - (LSC). Para que el CUCM confíe en el certificado MIC, utiliza los Certificados de CA instalados previamente CAP-RTP-001, CAP-RTP-002, Cisco_Manufacturing_CA, y Cisco_Manufacturing_CA_SHA2 en su truststore del certificado.

    • Un MIC es válido por diez años.

    • No hay soporte de la revocación de certificado.

  • Localmente - Certificados significativos (LSC):

    • El LSC asegura la conexión entre el CUCM y el teléfono después de que usted configure el modo de la seguridad del dispositivo para la autenticación o el cifrado.

    • El LSC posee la clave pública para el Cisco IP Phone, que es firmada por la clave privada de la función de proxy del Certificate Authority CUCM (CAPF). Éste es el método preferido (en comparación con el uso de los MIC) porque solamente los Teléfonos IP de Cisco que es manualmente aprovisionado de un administrador se permiten descargar y verificar el archivo CTL.

    • El LSC soporta los bits del tamaño de clave 512, 1024 del Rivest-Shamir-Adleman (RSA), o 2048.

    • Un LSC se puede instalar, reeditar, o borrar en el bulto con la herramienta de administración global CUCM.

    • Un LSC que es firmado por el CAPF es válido por cinco años.

Precaución: Debido al riesgo de seguridad mayor, Cisco recomienda el uso de los MIC solamente para la instalación LSC y no para el uso continuo. Los clientes que configuran los Teléfonos IP de Cisco para utilizar los MIC para la autenticación de Transport Layer Security (TLS) o para cualquier otro propósito hacen tan por su cuenta y riesgo.

Configurar

Esta sección describe cómo completar estas configuraciones:

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Configuración ASA

La configuración del ASA es similar a las configuraciones que implican una computadora cliente de AnyConnect que esté conectada con el ASA. Sin embargo, estas restricciones se aplican:

  • El grupo de túnel debe tener un grupo-URL. Este URL se configura en el CM bajo el gateway de VPN URL.

  • La directiva del grupo no debe contener un túnel dividido.

Esta configuración utiliza un certificado (uno mismo-firmado o de tercera persona) previamente configurado y instalado ASA en el trustpoint SSL del dispositivo ASA. Para más información, refiérase a estos documentos:

Aquí está la configuración relevante ASA:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

Es importante observar que en las versiones 9.4.1 y posterior, la criptografía elíptica de la curva está soportada para el SSL/TLS. Cuando un cliente VPN curva-capaz elíptico SSL conecta con el ASA, se negocia la habitación elíptica de la cifra de la curva, y el ASA presenta al cliente VPN SSL con un certificado elíptico de la curva, incluso cuando la interfaz que corresponde se configura con un trustpoint RSA-basado. Para evitar la necesidad de tener el ASA presente un certificado uno mismo-firmado SSL, el administrador debe quitar las habitaciones relacionadas de la cifra vía el comando de la cifra SSL. Por ejemplo, para una interfaz que se configure con un trustpoint RSA, el administrador puede ejecutar este comando para solamente negociar las cifras RSA-basadas:

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

Configuración del CallManager

Complete estos pasos para exportar el certificado del ASA e importar el certificado en el CallManager como certificado de la Teléfono-VPN-confianza:

  1. Registre el certificado generado con el CUCM.

  2. Verifique el certificado que se utiliza para el SSL:
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. Exporte el certificado:
    ASA(config)#crypto ca export SSL identity-certificate
    El certificado de identidad codificado Privacy Enhanced Mail (PEM) sigue:
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. Copie el texto de la terminal y sálvelo como archivo del .pem.

  5. Inicie sesión al CallManager y navegue el Certificate Management (Administración de certificados) del > Security (Seguridad) de la administración OS > el certificado unificados de la carga > Teléfono-VPN-confianza selecta para cargar el archivo de certificado que fue guardado en el paso anterior.

Configuración VPN en el CallManager

Complete estos pasos para configurar el VPN en el CallManager:

  1. Navegue a Cisco unificó la administración CM.

  2. Elija las funciones avanzadas > el VPN > el gateway de VPN de la barra de menú:



  3. Complete estos pasos en la ventana de configuración del gateway de VPN:

    1. Ingrese un nombre en el campo de nombre del gateway de VPN. Éste puede ser cualquier nombre.

    2. Ingrese una descripción en el campo Description (Descripción) del gateway de VPN (opcional).

    3. Ingrese el grupo-URL que se define en el ASA en el campo URL del gateway de VPN.

    4. En la sección de los Certificados VPN del campo de la ubicación, seleccione el certificado que fue cargado al CallManager previamente para moverlo desde el truststore a esta ubicación:



  4. Elija las funciones avanzadas > el VPN > al grupo VPN de la barra de menú:



  5. Seleccione el gateway de VPN que fue definido previamente de todo el campo disponible de los gatewayes de VPN. Haga clic la flecha hacia abajo para mover el gateway seleccionado a los gatewayes de VPN seleccionados en este campo del grupo VPN:



  6. Elija las funciones avanzadas > el perfil VPN > VPN de la barra de menú:



  7. Complete todos los campos que se marquen con un asterisco (*) para configurar el perfil VPN:



    • La red auto del permiso detecta: Si se habilita esta característica, el teléfono VPN hace ping al servidor TFTP. Si no se recibe ninguna respuesta, él los auto-iniciados una conexión VPN.

    • Control del ID del host del permiso: Si se habilita esta característica, el teléfono VPN compara el nombre de dominio completo (FQDN) del gateway de VPN URL contra el CN/SAN del certificado. El cliente no puede conectar si no hacen juego o si un certificado del comodín con un asterisco (*) se utiliza.

    • Persistencia de la contraseña habilitada: Esta característica permite que el teléfono VPN oculte el nombre de usuario y el passsword para la tentativa siguiente VPN.

  8. El tecleo aplica los Config en la ventana común de la configuración del perfil del teléfono para aplicar la nueva configuración VPN. Usted puede utilizar el perfil común estándar del teléfono o crear un nuevo perfil.





  9. Si usted creó un nuevo perfil para los teléfonos/los usuarios específicos, después navegue a la ventana de la Configuración del teléfono. Elija el perfil común del teléfono del estándar en el campo común del perfil del teléfono:



  10. Registre el teléfono al CallManager otra vez para descargar la nueva configuración.

Configuración de la autenticación certificada

Complete estos pasos en el CallManager y el ASA para configurar la autenticación certificada:

  1. Elija las funciones avanzadas > el perfil VPN > VPN de la barra de menú.

  2. Confirme que el campo del método de autenticación de cliente está fijado para certificar:



  3. Inicie sesión al CallManager. Elija el Certificate Management (Administración de certificados) unificado > el hallazgo del > Security (Seguridad) de la administración OS de la barra de menú.

  4. Exporte los certificados correctos para el método de autenticación certificada seleccionado:

    • Utilice el Cisco_Manufacturing_CA para autenticar los Teléfonos IP con un MIC (seleccione Cisco_Manufacturing_CA o Cisco_Manufacturing_CA_SHA2, dependiente sobre el modelo del teléfono del IP. Marque la instalación del certificado en el teléfono del IP para más detalles): 





    • Utilice el CAPF para autenticar los Teléfonos IP con un LSC:



  5. Localice el certificado (Cisco_Manufacturing_CA, Cisco_Manufacturing_CA_SHA2, o CAPF). Descargue el archivo del .pem y sálvelo como archivo de .txt.

  6. Cree un nuevo trustpoint en el ASA y autentique el trustpoint con el certificado guardado anterior. Cuando le indican para el certificado de CA codificado base 64, selecto y pegue el texto en el archivo descargado del .pem junto con el COMENZAR y las líneas extremas. Aquí tiene un ejemplo:
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. Confirme que la autenticación en el grupo de túnel está fijada a la autenticación certificada:
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

Instalación del certificado en los Teléfonos IP

Los Teléfonos IP pueden trabajar con los MIC o los LSC, pero el proceso de configuración es diferente para cada certificado.

Instalación MIC

Por abandono, todos los teléfonos que soportan el VPN se cargan con los MIC. Los 7960 y 7940 teléfonos modelo no vienen con un MIC y requieren un procedimiento de la instalación especial de modo que el LSC se registre con seguridad.

Los Teléfonos IP más nuevos de Cisco (8811, 8841, 8851, y 8861) incluyen los Certificados MIC que son firmados por el nuevo SHA2 de fabricación CA:

  • La versión 10.5(1) CUCM incluye y confía en los nuevos Certificados SHA2.

  • Si usted funciona con una versión anterior CUCM, usted puede ser que sea requerido descargar el nuevo certificado de CA de la fabricación y:

    • Carguela a la CAPF-confianza de modo que los teléfonos puedan autenticar con el CAPF para obtener un LSC.

    • Carguelo a la CallManager-confianza si usted quiere permitir que los teléfonos autentiquen con un MIC para el SORBO 5061.

Consejo: Haga clic este link para obtener el SHA2 CA si el CUCM funciona con actualmente una versión anterior.

Precaución: Cisco recomienda que usted utiliza los MIC para la instalación LSC solamente. Cisco soporta los LSC para la autenticación de la conexión TLS con el CUCM. Porque los certificados raíz MIC pueden ser comprometidos, los clientes que configuran los teléfonos para utilizar los MIC para la autenticación de TLS o para cualquier otro propósito hacen tan por su cuenta y riesgo. Cisco no asume ningún defecto si se comprometen los MIC.

Instalación LSC

Complete estos pasos para instalar un LSC:

  1. Habilite el servicio del CAPF en el CUCM.

  2. Después de que se active el servicio del CAPF, asigne las instrucciones del teléfono para generar un LSC en el CUCM. Inicie sesión a la administración CUCM, elija el Device (Dispositivo) > Phone (Teléfono), y después seleccione el teléfono que usted configuró.

  3. Asegúrese de que todas las configuraciones estén correctas y de que la operación está fijada a una fecha futura en la sección de información de la función de proxy del Certificate Authority (CAPF):



  4. Si fijan al modo de autenticación a la cadena nula o al certificado existente, no se requiere ninguna otra acción.

  5. Si fijan al modo de autenticación a una cadena, después seleccione manualmente la configuración del > Security (Seguridad) de las configuraciones > ** # > LSC > actualización en la consola del teléfono.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Verificación ASA

Utilice esta información para verificar la configuración en el ASA:

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Verificación CUCM

Utilice esta información para verificar la configuración en el CUCM:

Troubleshooting

Este bug Cisco ID se relaciona con las configuraciones que se describen en este documento:

  • Id. de bug Cisco CSCtf09529Agregue el soporte para la característica VPN en CUCM para 8961, 9951, 9971 teléfonos

  • Id. de bug Cisco CSCuc71462La Conmutación por falla del teléfono del IP VPN tarda 8 minutos

  • Id. de bug Cisco CSCtz42052Soporte del teléfono del IP SSL VPN para no los números del puerto predeterminado

  • Id. de bug Cisco CSCuj71475Entrada TFTP manual necesaria para el teléfono del IP VPN

  • Id. de bug Cisco CSCum10683 – Llamadas faltadas, puestas, o recibidas de la registración de los Teléfonos IP

  • Id. de bug Cisco CSCut10077DX650: El perfil del aprovisionado VPN CUCM falla la validación de certificado

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 115785