Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Настройте IP-телефоны VPN AnyConnect с проверкой подлинности сертификата на ASA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) и Устройства Cisco CallManager для обеспечения проверки подлинности сертификата для клиентов AnyConnect Cisco, которые работают на Cisco IP Phone. После того, как эта конфигурация завершена, Cisco IP Phone могут успешно установить VPN-подключения к ASA, которые используют сертификаты для обеспечения связи.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • AnyConnect Cisco Premium лицензия уровня защищенных сокетов (SSL)

  • AnyConnect Cisco для лицензии телефона VPN Cisco

Примечание: Зависящий от версии ASA, вы будете видеть или AnyConnect для телефона Linksys для Выпуска 8.0.x ASA или AnyConnect для Телефона VPN Cisco для Выпуска 8.2.x ASA или позже.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Выпуск 8.0 (4) Cisco ASA или позже

  • Cisco 7942, 7962, 7945, 7965 и 7975 IP-телефонов модели

  • Cisco 8961, 9951 и 9971 модельный телефон, которые выполняют микропрограммное обеспечение Выпуска 9.1 (1)

  • Телефоны Cisco, которые выполняют Протокол SCCP Выпуска 9.0 (2) SR1S или позже

  • Выпуск 8.0.1.100000-4 Cisco Unified Communications Manager (CUCM) или позже

Версии, которые используются в этом примере конфигурации, включают:

  • Выпуск 9.1 (1) Cisco ASA

  • Релиз Cisco CallManager 8.5.1.10000-26

Для просмотра полного списка поддерживаемых телефонов в версии CUCM выполните эти шаги:

  1. Откройте этот URL в браузере: https://<IP-адрес сервера CUCM>:8443/cucreports/systemReports.do.

  2. Перейдите к Унифицированному Списку Функции телефона CM>, Генерируют новый отчёт> Функция: Виртуальная частная сеть.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Телефонные Типы сертификата

Cisco использует эти Типы сертификата в телефонах:

  • Изготовитель установленные сертификаты (MIC):

    • MIC включены во все 7941, 7961, и более новые Cisco IP Phone модели. MIC являются 2048-разрядными ключевыми сертификатами, которые подписаны Центром сертификации (CA) Cisco. Когда MIC присутствует, необязательно для установки логически значимого сертификата (LSC). Для CUCM для доверия сертификату MIC это использует предварительно установленные сертификаты CA CAP-RTP-001, CAP-RTP-002, Cisco_Manufacturing_CA и Cisco_Manufacturing_CA_SHA2 в его базе доверенных сертификатов сертификата.

    • MIC допустим в течение десяти лет.

    • Нет никакой поддержки аннулирования сертификата.

  • Локально значительные сертификаты (LSC):

    • LSC защищает соединение между CUCM и телефоном после настройки режима безопасности устройства для аутентификации или шифрования.

    • LSC обладает открытым ключом для Cisco IP Phone, который подписан секретным ключом функции представительства сертифицирующей организации (CAPF) CUCM. Это - предпочтительный способ (в противоположность использованию MIC), потому что только Cisco IP Phone, которые вручную обеспечены администратором, позволяют загрузить и проверить файл CTL.

    • LSC поддерживает размер ключа Rivest-Shamir-Adleman (RSA) 512, 1024, или 2048 битов.

    • LSC может быть установлен, переиздан или удален оптом с Bulk Administration Tool CUCM.

    • LSC, который подписан CAPF, допустим в течение пяти лет.

Внимание.  : Из-за риска повышенного уровня безопасности, Cisco рекомендует использование MIC исключительно для установки LSC а не для длительного использования. Клиенты, которые настраивают Cisco IP Phone для использования MIC для аутентификации Transport Layer Security (TLS) или в любой другой цели, делают так в их собственном риске.

Настройка

В этом разделе описывается завершить эти конфигурации:

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Конфигурация ASA

Конфигурация ASA подобна конфигурациям, которые включают компьютер клиента AnyConnect, который связан с ASA. Однако эти ограничения применяются:

  • Туннельная группа должна иметь URL группы. Этот URL настроен в CM под URL Шлюза VPN.

  • Групповая политика не должна содержать разделение туннеля.

Эта конфигурация использует ранее настроенный и установленный ASA (самоподписанный или независимый поставщик) сертификат в точке доверия SSL устройства ASA. Дополнительные сведения см. в следующих документах:

Вот соответствующая конфигурация ASA:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

Следует отметить, что в Версиях 9.4.1 и позже, шифрование в эллиптических кривых поддерживается для SSL/TLS. Когда способный к эллиптической кривой VPN-клиент SSL (SVC) соединяется с ASA, о наборе шифров эллиптической кривой выполняют согласование, и ASA предоставляет VPN-клиенту SSL (SVC) сертификат эллиптической кривой, даже когда интерфейс, который соответствует, настроен с основанной на RSA точкой доверия. Во избежание потребности иметь ASA представляют самоподписанный сертификат SSL, администратор должен удалить связанные наборы шифров через ssl команду шифра. Например, для интерфейса, который настроен с точкой доверия RSA, администратор может выполнить эту команду так, чтобы только об основанных на RSA шифрах выполнили согласование:

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

Конфигурация CallManager

Выполните эти шаги, чтобы экспортировать сертификат от ASA и импортировать сертификат в CallManager как ТЕЛЕФОННЫЙ ТРАСТОВЫЙ VPN сертификат:

  1. Зарегистрируйте генерируемый сертификат в CUCM.

  2. Проверьте сертификат, который используется для SSL:
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. Экспортируйте сертификат:
    ASA(config)#crypto ca export SSL identity-certificate
    Закодированный сертификат идентификации Privacy Enhanced Mail (PEM) придерживается:
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. Скопируйте текст с терминала и сохраните его как файл .pem.

  5. Войдите к CallManager и перейдите к Администрированию унифицированной ОС> Безопасность> Управление сертификатами>, Сертификат Загрузки> Выбирает Phone-VPN-trust для загрузки файла сертификата, который был сохранен в предыдущем шаге.

Конфигурация VPN на CallManager

Выполните эти шаги для настройки VPN на CallManager:

  1. Переместитесь к Cisco по унифицированному администрированию CM.

  2. Выберите Advanced Features> VPN> VPN Gateway от строки меню:



  3. Выполните эти шаги в Окне конфигурации Шлюза VPN:

    1. Введите имя в Поле имени Шлюза VPN. Это может быть любым названием.

    2. Введите описание в (дополнительное) Поле описания Шлюза VPN.

    3. Введите URL группы, который определен на ASA в поле VPN Gateway URL.

    4. В разделе Сертификатов VPN поля Location выберите сертификат, который был загружен к CallManager ранее для перемещения его от базы доверенных сертификатов до этого местоположения:



  4. Выберите Advanced Features> VPN> VPN Group от строки меню:



  5. Выберите VPN Gateway, который был ранее определен от поля All Available VPN Gateways. Нажмите стрелку вниз для перемещения выбранного шлюза в Выбранные Шлюзы VPN в этом поле VPN Group:



  6. Выберите Advanced Features> VPN> VPN Profile от строки меню:



  7. Завершите все поля, которые отмечены со звездочкой (*) для настройки Профиля VPN:



    • Включите Автоматическую Сеть, Обнаружьте: Если эта опция активирована, телефон VPN пропинговывает TFTP server. Если никакой ответ не получен, это автоинициирует VPN-подключение.

    • Включите Проверку Идентификатора хоста: Если эта опция активирована, телефон VPN сравнивает Полное доменное имя (FQDN) URL Шлюза VPN против CN/SAN сертификата. Клиент не в состоянии соединяться, если они не совпадают или если используется сертификат подстановочного знака со звездочкой (*).

    • Устойчивость Enable Password: Эта функция позволяет телефону VPN кэшировать имя пользователя и passsword для следующей попытки VPN.

  8. Нажмите Apply Config в Окне конфигурации Общего телефонного профиля для применения новой конфигурации VPN. Можно использовать стандартный Общий телефонный профиль или создать новый профиль.





  9. При создании нового профиля для определенных телефонов/пользователей то перейдите к Окну конфигурации телефона. Выберите Standard Common Phone Profile в поле Common Phone Profile:



  10. Зарегистрируйте телефон к CallManager снова для загрузки новой конфигурации.

Конфигурация проверки подлинности сертификата

Выполните эти шаги в CallManager и ASA для настройки проверки подлинности сертификата:

  1. Выберите Advanced Features> VPN> VPN Profile от строки меню.

  2. Подтвердите, что поле Client Authentication Method установлено в Сертификат:



  3. Войдите к CallManager. Выберите Unified OS Administration> Security> Certificate Management> Find от строки меню.

  4. Экспортируйте корректный сертификат (ы) для выбранного метода проверки подлинности сертификата:

    • Используйте Cisco_Manufacturing_CA для аутентификации IP-телефонов с MIC (Выберите Cisco_Manufacturing_CA или Cisco_Manufacturing_CA_SHA2, зависящий от Модели IP-телефона. Проверьте установку сертификатов на IP-телефоне для получения дополнительной информации): 





    • Используйте CAPF для аутентификации IP-телефонов с LSC:



  5. Найдите сертификат (или Cisco_Manufacturing_CA, Cisco_Manufacturing_CA_SHA2 или CAPF). Загрузите файл .pem и сохраните его как файл .txt.

  6. Создайте новую точку доверия на ASA и подтвердите подлинность точки доверия с предыдущим сохраненным сертификатом. То, когда вам предлагают для base64, закодировало сертификат CA, выберите и вставьте текст в загруженном файле .pem вместе с НАЧИНАНИЕМ и Конечными линиями. Например:
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. Подтвердите, что аутентификация на туннельной группе установлена в проверку подлинности сертификата:
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

Установка сертификатов на IP-телефонах

IP-телефоны могут работать или с MIC или с LSC, но процесс конфигурирования является другим для каждого сертификата.

Установка MIC

По умолчанию все телефоны, которые поддерживают VPN, предварительно загружены с MIC. 7960 и 7940 модельных телефонов не идут с MIC и требуют процедуры специальной установки так, чтобы LSC зарегистрировался надежно.

Новейшие Cisco IP Phone (8811, 8841, 8851, и 8861) включают сертификаты MIC, которые подписаны новым Производственным SHA2 CA:

  • Версия 10.5 (1) CUCM включает и доверяет новым сертификатам SHA2.

  • При выполнении более ранней версии CUCM вы могли бы быть обязаны загружать новый Производственный сертификат ЦС и:

    • Загрузите его к доверию CAPF так, чтобы телефоны могли подтвердить подлинность с CAPF для получения LSC.

    • Загрузите его к доверию CallManager, если вы хотите позволить телефонам подтверждать подлинность с MIC для SIP 5061.

Совет: Щелкните по этой ссылке для получения SHA2 CA, если CUCM в настоящее время выполняет более раннюю версию.

Внимание.  : Cisco рекомендует использовать MIC для установки LSC только. Cisco поддерживает LSC для аутентификации TLS подключение с CUCM. Поскольку корневые сертификаты MIC могут поставиться под угрозу, клиенты, которые устанавливают настройки телефонов для использования MIC для аутентификации TLS или в любой другой цели, делают так в их собственном риске. Если MIC поставились под угрозу, Cisco не принимает ответственности.

Установка LSC

Выполните эти шаги для установки LSC:

  1. Включите сервис CAPF на CUCM.

  2. После того, как сервис CAPF активирован, назначьте телефонные инструкции для генерации LSC в CUCM. Войдите к администрированию CUCM, выберите Device> Phone, и затем выберите телефон, которого вы установили настройки.

  3. Гарантируйте, что все параметры настройки корректны и что операция установлена в будущую дату в Разделе сведений функции представительства сертифицирующей организации (CAPF):



  4. Если Режим аутентификации установлен или в Пустую строку или в Существующий сертификат, никакие дальнейшие действия не требуются.

  5. Если Режим аутентификации установлен в строку, то вручную выбирают> Security Settings Конфигурация> **#> LSC> Обновление в телефонной консоли.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Проверка ASA

Используйте эту информацию для подтверждения конфигурации на ASA:

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Проверка CUCM

Используйте эту информацию для подтверждения конфигурации на CUCM:

Устранение неполадок

Эти идентификаторы ошибок Cisco отнесены к конфигурациям, которые описаны в этом документе:

  • Идентификатор ошибки Cisco CSCtf09529Добавляет поддержку функции VPN в CUCM для 8961, 9951, 9971 телефон

  • Идентификатор ошибки Cisco CSCuc71462аварийное переключение VPN IP-телефона занимает 8 минут

  • Идентификатор ошибки Cisco CSCtz42052Поддержка VPN SSL IP-телефона Количества Порта по умолчанию Non

  • Идентификатор ошибки Cisco CSCuj71475Ручная запись TFTP необходим для VPN IP-телефона

  • Идентификатор ошибки Cisco CSCum10683 – IP-телефоны, не регистрирующие, отсутствовал, размещенный, или принятые вызовы

  • Идентификатор ошибки Cisco CSCut10077DX650: CUCM обеспечил проверку достоверности сертификата сбоев профиля VPN

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.