إنشاء شهادة موقعة من المرجع المصدق (CA) في خادم إستدعاءات CVP لأمان طبقة النقل (TLS) ل SIP

المقدمة

يوضح هذا المستند كيفية إنشاء شهادة CA الموقعة لخادم إتصالات Customer Voice Portal (CVP) وكيفية التحقق من شهادة خادم الاتصال ل CVP. من CVP صيغة 11.6، جلسة بدء بروتوكول (SIP) TLS ساندت إتصال.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• CVP
• SIP

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى CVP 11.6.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الخطوة 1. البحث عن كلمة مرور لمخزن المفاتيح.

انتقل إلى c:\Cisco\CVP\conf\security.properties في خادم مكالمات CVP للعثور على كلمة المرور هذه.

يحتوي هذا الملف على كلمة مرور مخزن المفاتيح، والتي تكون مطلوبة عند تشغيل مخزن المفاتيح.

الخطوة 2. قم بإنشاء متغير مؤقت لتجنب إدخال قيمة كلمة مرور مخزن المفاتيح في كل مرة.

انتقل إلى c:\Cisco\CVP\conf\security وشغل هذا الأمر:

set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass 592(!aT@Hbt{[c)b7n6{mj6J[0P4C~X2؟4!zv~5(@2*12Dm97 -StoreType JCEKS -KeyStore .keystore

ملاحظة: يجب إستبدال StorePass بكلمة مرور خاصة بك.

الخطوة الثالثة. قم بإزالة بيانات خادم المكالمات الموجودة.

انتقل إلى c:\Cisco\CVP\conf\security للعثور على الشهادة الموجودة. قم بتشغيل هذا الأمر لحذف الشهادة:

٪kt٪ -delete -alias callserver_certificate

بعد حذف الشهادة، يمكن إستخدام هذا الأمر للتحقق من جميع الشهادات في خادم CVP:

٪kt٪ -قائمة

ولتأكيد ما إذا تم حذف شهادة خادم الاتصال، قم بتشغيل هذا الأمر:

٪kt٪ -list | FindSTR CallServer

الخطوة 4. قم بإنشاء زوج المفاتيح. يجب أن تستخدم زوج مفاتيح 2048 بت. 

انتقل إلى c:\Cisco\CVP\conf\security وشغل هذا الأمر:

٪kt٪ -genkeypair -alias callserver_certificate -v -keysize 2048 -keyalg rsa

عندما تقوم بتشغيل هذا الأمر، فإنه يطلب هذه المعلومات:

ملاحظة: يجب إستخدام اسم المضيف للخادم كاسم أول واسم العائلة.

الخطوة 5. إنشاء طلب توقيع الشهادة الجديد (CSR).

انتقل إلى c:\Cisco\CVP\conf\security وشغل هذا الأمر:

٪kt٪ -certreq -alias callserver_certificate -file callServer.csr

الخطوة 6. قم بالتوقيع على CSR بواسطة CA الداخلي أو جهة خارجية.

انتقل إلى c:\Cisco\CVP\conf\security للعثور على ملف CSR هذا:

الخطوة 7. قم بتثبيت المرجع المصدق الجذر.

يتم نسخ ترخيصين إلى c:\Cisco\CVP\conf\security.

• شهادة المرجع المصدق الجذر
• شهادة خادم الاتصال الموقعة 
  

شغل هذا أمر:

٪kt٪ -import -v -trustAcerts -alias root -file dc-root.cer

في هذا المختبر، المرجع المصدق الجذر هو DC-Root.cer.

الخطوة 8. تثبيت شهادة خادم الاتصال التي تم توقيعها بواسطة CA.

انتقل إلى c:\Cisco\CVP\conf\security

شغل هذا أمر:

في هذا المختبر، شهادة خادم الاتصال هي cvpcallServer.cer.

الخطوة 9. التحقق من الشهادة المثبتة الجديدة

ملاحظة: اسم الاسم المستعار هو قيمة نظام ثابتة. يجب إستخدام callServer_certificate.

مثال:

تاريخ الإنشاء: 25 آب/أغسطس 2017

نوع الإدخال: PrivateKeyEntry

طول سلسلة الشهادات: 2

الشهادة[1]:

المالك: CN=col115cvpcall02، OU=TAC، O=Cisco، L=Sydney، ST=NSW، C=AU

المصدر: cn=col115-col115-ca، dc=col115، dc=org، dc=au

الرقم التسلسلي: 610000000e78c717ba3dd3dc2400000000e

صالحة بدءا من: FRI أغسطس 25 11:32:43 EST 2017 حتى: SAT في 25 أغسطس 2011:42:43 AEST 2018

بصمات الأصابع للشهادة:

بعد إكمال كافة هذه الخطوات، تم تثبيت شهادة CA الموقعة لخادم الاتصال. تستخدم هذه الشهادة عند تأسيس اتصال TLS ل SIP.

التحقق من الصحة

يمكن إستخدام هذين الأمرين لسرد جميع الشهادات أو إستدعاء شهادات الخادم فقط:

٪kt٪ -قائمة

٪kt٪ -list | FindSTR CallServer

يمكن إستخدام هذا الأمر لعرض تفاصيل الشهادة:

الاسم المستعار: callserver_certificate

    

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة