Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Активируйте зашифрованную опцию конфигурации на CUCM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает использование зашифрованных файлов телефона конфигурации на Cisco Unified Communications Manager (CUCM).

Внесенный Лесзеком Войнарским, специалистом службы технической поддержки Cisco.

Общие сведения

Использование зашифрованных файлов конфигурации для телефонов является дополнительной характеристикой безопасности, которая доступна в CUCM.

Вы не обязаны выполнять кластер CUCM в Смешанном режиме для этой функции для функционирования должным образом, поскольку информация о сертификате функции представительства сертифицирующей организации (CAPF) содержится в файле Идентификационного списка доверия (ITL).

Примечание: Это - расположение по умолчанию для всех Версий 8. X CUCM и позже. Для версий CUCM до Версии 8. X необходимо гарантировать, что cluster run в Смешанном режиме, если вы требуете использовать эту функцию.

Зашифрованный обзор характеристик конфигурации

В этом разделе описываются процесс, который происходит, когда зашифрованные файлы телефона конфигурации используются в CUCM.

Когда вы активируете эту опцию, перезагружаете телефон и загружаете файл конфигурации, вы получаете запрос о файле с .cnf.xml.sgn расширением:

Однако после того, как зашифрованная опция конфигурации активирована на CUCM, Сервис TFTP больше не генерирует файл полной конфигурации с .cnf.xml.sgn расширением. Вместо этого это генерирует файл частичной конфигурации, как показано в следующем примере.

Примечание: При использовании этого метода впервые телефон сравнивает хэш MD5 телефонного сертификата в файле конфигурации к хэшу MD5 логически значимого сертификата (LSC) или Производства установленных сертификатов (MIC).

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash></certHash>
<encrConfig>true</encrConfig>

</device>

Если телефон определяет проблему, он пытается инициировать сеанс с CAPF, пока Режим аутентификации CAPF не совпадает Строками проверки подлинности, когда необходимо вручную ввести строку. Вот некоторые проблемы, которые мог бы определить телефон:

  • Хэш не совпадает.
  • Телефон не содержит сертификат.
  • Значение MD5 является пробелом (как в предыдущем примере).

Примечание: Телефон инициирует сеанс Transport Layer Security (TLS) к сервису CAPF на порту 3804 по умолчанию.

Сертификат CAPF должен быть известен телефоном, поэтому это должно быть включенный или в файл ITL или в файл Списка надежных сертификатов (CTL) (если cluster run в Смешанном режиме).

После того, как связь CAPF установлена, телефон передает информацию к CAPF о LSC или MIC, который используется. CAPF тогда извлекает телефонный открытый ключ из LSC или MIC, генерирует хэш MD5 и хранит значения для открытого ключа и хэша сертификата в базе данных CUCM.

admin:run sql select md5hash,name from device where name='SEPA45630BBFA40'
md5hash name
================================ ===============
6e566143c1c14566c9da943d949a79c8 SEPA45630BBFA40

После того, как открытый ключ сохранен в базе данных, телефон перезагружает и запрашивает новый файл конфигурации. Телефон пытается загрузить файл конфигурации cnf.xml.sgn расширением еще раз.

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash>6e566143c1c14566c9da943d949a79c8</certHash>
<encrConfig>true</encrConfig>

</device>

Телефон сравнивает cerHash снова, и если это не обнаруживает проблему, это загружает зашифрованный файл конфигурации .cnf.xml.enc.sgn расширением. 

............c..)CN=cucm85;OU=It;O=Cisco;L=KRK;ST=PL;C=PL....Z.........)CN=cucm85;
OU=It;O=Cisco;L=KRK;ST=PL;C=PL...........
..........C.<...Y6.Lh.|(..w+..,.0.a.&.
O..........V....T...Z..R^..f....|.=.e.@...5...........G...[.........n.........=
.A..H.(....Z...{.!%[.. SEPA45630BBFA40.cnf.xml.enc.sgn....R.DD..M............
Uu.C..@...........
...................m.b.......6y ..x.^b..-8.^..^'.4.<Wb.n.....5...we.0@..g..
V7.,..r.9
Qs>..).w....pt/...}A.']
.r.t%G..d_.;u.rEI.pr.F
.....M..r...o.N
.=..g.^P....Pz....J..E.S...d|Z).....J..&..I....7.r..g8.{f..o.....:.~..U...5G+V.
[...]

Активируйте зашифрованную опцию конфигурации

Для включения зашифрованных файлов телефона конфигурации необходимо создать новое (или отредактировать ток), Телефонный Профиль безопасности, и назначьте его на телефон. Выполните эти шаги для активации зашифрованной опции конфигурации на CUCM:

  1. Войдите в Страницу администратора CUCM и перейдите к Системному> Security> Телефонный Профиль безопасности:



  2. Скопируйте ток, или создайте новый, Телефонный Профиль безопасности и проверьте TFTP Зашифрованный флажок Config:



  3. Назначьте профиль на телефон:

Устранение неполадок

Выполните эти шаги для решения системных проблем в отношении зашифрованной функции конфигурации:

  1. Гарантируйте, что сервис CAPF активен и выполняется должным образом на узле Издателя в кластере CUCM.

  2. Загрузите файл частичной конфигурации и проверьте, что порт и IP-адрес сервиса CAPF достижимы с телефона.

  3. Проверьте TCP - взаимодействие на порту 3804 к узлу Издателя.

  4. Выполните ранее упомянутую команду StructuredQuery Language (SQL) (язык структурированных запросов), чтобы проверить, имеет ли сервис CAPF информацию о LSC или MIC, который используется телефоном.

  5. Если проблема все еще сохраняется, вы могли бы быть обязаны собирать дополнительную информацию от системы. Перезапустите телефон и соберите эту информацию:

    • Телефонные Console log
    • Журналы TFTP Cisco
    • Журналы CAPF Cisco
    • Захваты пакета от CUCM и телефона

Обратитесь к этим ресурсам для дополнительных сведений о том, как выполнить захваты пакета от CUCM и телефона:

В журналах и захватах пакета, необходимо гарантировать, что процесс, описанный в предыдущих разделах, функционирует должным образом. В частности проверьте что:

  • Телефон загружает файл частичной конфигурации корректной информацией о CAPF.
  • Телефон соединяется через TLS с сервисом CAPF, и что информация о LSC или MIC обновлена в базе данных.
  • Телефон загружает полный зашифрованный файл конфигурации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.