Automatische Zertifikatregistrierung und -verlängerung über CAPF Online CA konfigurieren

Einleitung

Dieses Dokument beschreibt die automatische Zertifikatregistrierung und -verlängerung über die CAPF Online-Funktion für Cisco Unified Communications Manager (CUCM).

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Unified Communications Manager
• X.509-Zertifikate
• Windows-Server
• Windows Active Directory (AD)
• Windows-Internetinformationsdienste (IIS)
• NT (New Technology) LAN Manager (NTLM)-Authentifizierung

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• CUCM-Version 12.5.1.10000-22
• Windows Server 2012 R2
• IP-Telefon CP-8865/Firmware: SIP 12-1-1SR1-4 und 12-5-1SR2.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

In diesem Dokument wird die Konfiguration der Funktion und der zugehörigen Ressourcen für weitere Recherchen beschrieben.

Serverzeit und -datum überprüfen

Stellen Sie sicher, dass auf dem Windows-Server das richtige Datum, die richtige Uhrzeit und die richtige Zeitzone konfiguriert sind, da sich dies auf die Gültigkeitsdauer des Zertifikats der Serverstammzertifizierungsstelle (Certificate Authority) und der von ihm ausgestellten Zertifikate auswirkt.

Computername des Aktualisierungsservers

Standardmäßig hat der Name des Servercomputers einen zufälligen Namen wie WIN-730K65R6BSK. Bevor Sie die AD-Domänendienste aktivieren, müssen Sie zunächst sicherstellen, dass der Name des Servercomputers auf den Namen des Serverhostnamens und des Stammnamens des CA-Ausstellers aktualisiert wird. Andernfalls sind nach der Installation der AD-Dienste viele zusätzliche Schritte erforderlich, um dies zu ändern.

• Navigieren Sie zu Lokaler Server, wählen Sie den Computernamen aus, um die Systemeigenschaften zu öffnen.
• Klicken Sie auf die Schaltfläche Ändern, und geben Sie den neuen Computernamen ein:

• Starten Sie den Server neu, damit die Änderungen angewendet werden.

Konfigurieren

AD-Dienste, Benutzer und Zertifikatvorlage

Aktivieren und Konfigurieren der Active Directory-Dienste

• Wählen Sie im Server Manager die Option Rollen und Features hinzufügen aus, wählen Sie die rollenbasierte oder funktionsbasierte Installation aus, und wählen Sie den Server aus dem Pool (es darf nur einen Server im Pool geben) und dann die Active Directory-Domänendienste aus:

• Fahren Sie mit der Auswahl der Schaltfläche "Weiter" fort, und klicken Sie dann auf "Installieren"
• Wählen Sie nach Abschluss der Installation die Schaltfläche Schließen aus.
• Unter Server Manager > AD DS wird eine Warnregisterkarte mit dem Titel Configuration required for Active Directory Domain Services (Konfiguration für Active Directory-Domänendienste erforderlich) angezeigt. Klicken Sie auf den Link "More" (Mehr) und anschließend auf die verfügbare Aktion, um den Setup-Assistenten zu starten:

• Führen Sie die Eingabeaufforderungen im Domäneneinrichtungsassistenten aus, fügen Sie eine neue Gesamtstruktur mit dem gewünschten Root-Domänennamen hinzu, und deaktivieren Sie das DNS-Feld, sofern verfügbar, und definieren Sie das DSRM-Kennwort.

• Es muss ein NetBIOS-Domänenname angegeben werden (in dieser Übung wird MICHAMEN1 verwendet).
• Schließen Sie den Assistenten ab. Der Server wird dann neu gestartet, um die Installation abzuschließen.
• Dann müssen Sie bei der nächsten Anmeldung den neuen Domänennamen angeben. Beispiel: MICHAMEN1\Administrator.

Aktivieren und Konfigurieren der Zertifikatdienste

• Wählen Sie im Server Manager die Option Rollen und Features hinzufügen aus.
• Wählen Sie die Active Directory-Zertifikatdienste aus, und fügen Sie die erforderlichen Funktionen hinzu (alle verfügbaren Funktionen wurden aus den Rollendiensten ausgewählt, die für diese Übung aktiviert wurden).
• Für Role Services Check Certification Authority Web Enrollment

• Unter Server Manager > AD DS muss eine Warnregisterkarte mit dem Titel Configuration required for Active Directory Certificate Services (Konfiguration für Active Directory-Zertifikatdienste erforderlich) angezeigt werden. Klicken Sie auf den Link "More" (Mehr) und anschließend auf die verfügbare Aktion:

• Navigieren Sie im AD-CS-Assistenten nach der Installation durch die folgenden Schritte: 
• Wählen Sie die Web Enrollment-Rollen für die Zertifizierungsstelle und die Zertifizierungsstelle aus.
• Enterprise CA mit Optionen auswählen:
• Stamm-CA
• Neuen privaten Schlüssel erstellen
• Privaten Schlüssel verwenden - SHA1 mit Standardeinstellungen
• Legen Sie einen gemeinsamen Namen für die Zertifizierungsstelle fest (muss mit dem Hostnamen des Servers übereinstimmen):

• Gültigkeit für 5 Jahre (oder mehr, falls gewünscht) festlegen
• Klicken Sie im restlichen Assistenten auf die Schaltfläche Weiter.

Erstellung von Zertifikatvorlagen für Cisco RA

• MMC öffnen. Wählen Sie das Windows Start-Logo aus, und geben Sie mmc aus Run ein.
• Öffnen Sie ein MMC-Fenster, und fügen Sie die Snap-Ins hinzu (an verschiedenen Stellen der Konfiguration verwendet). Wählen Sie anschließend OK:

• Wählen Sie Datei > Speichern, und speichern Sie diese Konsolensitzung auf dem Desktop, um schnell wieder darauf zuzugreifen.
• Wählen Sie in den Snap-Ins Zertifikatvorlagen aus.
• Erstellen oder Klonen einer Vorlage (vorzugsweise der Vorlage "Root Certification Authority", falls verfügbar) und Benennen der Vorlage Cisco RA

• Ändern Sie die Vorlage. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Eigenschaften aus
• Wählen Sie die Registerkarte Allgemein, und legen Sie die Gültigkeitsdauer auf 20 Jahre (oder einen anderen Wert, falls gewünscht) fest. Stellen Sie in dieser Registerkarte sicher, dass die Werte für die Vorlage "Anzeigename" und "Name" übereinstimmen.

• Wählen Sie die Registerkarte Erweiterungen aus, markieren Sie Anwendungsrichtlinien, und wählen Sie dann Bearbeiten aus.

• Entfernen Sie alle Richtlinien, die im angezeigten Fenster angezeigt werden
• Wählen Sie die Registerkarte "Subject Name" (Antragstellername) und das Optionsfeld "Supply in Request" (Lieferung in Anfrage).
• Wählen Sie die Registerkarte Sicherheit aus, und gewähren Sie Berechtigungen entsprechend Ihren Anforderungen für Gruppen-/Benutzernamen.

Anmerkung: In diesem Beispiel wurden der Einfachheit halber umfassende Berechtigungen gewährt, was jedoch Auswirkungen auf die Sicherheit hat. In einer Produktionsumgebung dürfen Schreib- und Registrierungsberechtigungen nur den Benutzern und Gruppen erteilt werden, die diese benötigen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Bereitstellung der Zertifikatvorlage für die Ausgabe

• Wählen Sie in den MMC-Snap-Ins Zertifizierungsstelle aus, und erweitern Sie die Ordnerstruktur, um den Ordner Zertifikatvorlagen zu suchen.
• Klicken Sie mit der rechten Maustaste in den leeren Bereich im Rahmen, der Name und beabsichtigte Verwendung enthält.
• Neue und auszugebende Zertifikatvorlage auswählen
• Wählen Sie die neu erstellte und bearbeitete Cisco RA-Vorlage aus.

Active Directory CiscoRA-Kontoerstellung

• Navigieren Sie zu MMC-Snap-Ins, und wählen Sie Active Directory-Benutzer und -Computer aus.
• Wählen Sie den Ordner Benutzer in der Struktur im linken Bereich aus.
• Klicken Sie mit der rechten Maustaste in das Leerzeichen im Rahmen, das Name, Typ und Beschreibung enthält
• Neuen Benutzer auswählen
• Erstellen Sie ein CiscoRA-Konto mit Benutzername/Kennwort (für diese Übung wurde Cisco/Cisco123 verwendet), und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab, wenn es angezeigt wird.

Konfiguration für IIS-Authentifizierung und SSL-Bindung

NTLM-Authentifizierung aktivieren

• Navigieren Sie zu MMC-Snap-Ins, und wählen Sie unter dem Snap-In Internetinformationsdienste (IIS)-Manager den Servernamen aus.
• Die Funktionsliste wird im nächsten Frame angezeigt. Doppelklicken Sie auf das Symbol für die Authentifizierungsfunktion

• Markieren Sie Windows-Authentifizierung, und wählen Sie im Aktionsbereich (rechter Bereich) die Option Aktivieren aus.

• Aktionsbereich zeigt die Option Erweiterte Einstellungen an; Wählen Sie es aus, und deaktivieren Sie die Option Kernel-Modus-Authentifizierung aktivieren.

• Wählen Sie Anbieter aus, und ordnen Sie NTML an, und verhandeln Sie.

Identitätszertifikat für den Webserver generieren

Wenn dies noch nicht der Fall ist, müssen Sie ein Zertifikat und ein Identitätszertifikat für den Webdienst generieren, das von der Zertifizierungsstelle signiert wird, da Cisco RA keine Verbindung mit dem Zertifikat herstellen kann, wenn das Webserverzertifikat selbstsigniert ist:

• Wählen Sie Ihren Webserver aus dem IIS-Snap-In aus, und doppelklicken Sie auf das Funktionssymbol Serverzertifikate:

• Standardmäßig wird dort ein Zertifikat angezeigt. das selbstsignierte Root-Zertifizierungsstellenzertifikat; Wählen Sie im Menü Aktionen die Option Domänenzertifikat erstellen. Geben Sie die Werte im Konfigurationsassistenten ein, um das neue Zertifikat zu erstellen. Stellen Sie sicher, dass es sich bei dem Common Name um einen auflösbaren FQDN (Fully Qualified Domain Name) handelt, und wählen Sie dann Weiter:

• Wählen Sie das Zertifikat Ihrer Stammzertifizierungsstelle als Aussteller aus, und wählen Sie Beenden:

• Es werden sowohl das Zertifizierungsstellenzertifikat als auch das Webserver-Identitätszertifikat angezeigt:

Webserver SSL-Bindung

• Wählen Sie in der Strukturansicht eine Site aus (Sie können die Standardwebsite verwenden oder sie für bestimmte Sites detaillierter gestalten), und wählen Sie im Aktionsbereich die Option Bindings aus. Dadurch wird der Bindungs-Editor geöffnet, mit dem Sie Bindungen für die Website erstellen, bearbeiten und löschen können. Wählen Sie Add aus, um der Site Ihre neue SSL-Bindung hinzuzufügen.

• Die Standardeinstellungen für eine neue Bindung sind auf HTTP an Port 80 festgelegt. Wählen Sie in der Dropdown-Liste Typ die Option https aus. Wählen Sie aus der Dropdown-Liste "SSL-Zertifikat" das selbstsignierte Zertifikat aus, das Sie im vorherigen Abschnitt erstellt haben, und wählen Sie dann OK aus.

• Jetzt haben Sie eine neue SSL-Bindung auf Ihrer Website und alles, was bleibt, ist zu überprüfen, dass es funktioniert, indem Sie Durchsuchen *:443 (https) Option aus dem Menü und stellen Sie sicher, dass die Standard-IIS-Webseite HTTPS verwendet:

• Denken Sie daran, den IIS-Dienst nach Konfigurationsänderungen neu zu starten. Verwenden Sie die Option Neustart im Aktionsbereich.

Konfiguration des CUCM

• Navigieren Sie zu Ihrer AD CS-Webseite (https://YOUR_SERVER_FQDN/certsrv/), und laden Sie das Zertifizierungsstellen-Zertifikat herunter.

• Navigieren Sie auf der Seite "OS Administration" zu Security > Certificate Management, und wählen Sie die Schaltfläche Upload Certificate/Certificate chain aus, um das CA-Zertifikat hochzuladen, dessen Zweck auf "CAPF-trust" festgelegt ist.

... An dieser Stelle ist es auch empfehlenswert, dasselbe CA-Zertifikat hochzuladen wie CallManager-trust, da es erforderlich ist, wenn die sichere Signalisierungsverschlüsselung für die Endpunkte aktiviert ist. Dies ist wahrscheinlich, wenn sich der Cluster im gemischten Modus befindet.

• Navigieren Sie zu System > Dienstparameter. Wählen Sie im Serverfeld den Unified CM Publisher-Server und im Dienstfeld die Cisco Certificate Authority Proxy Function aus.
• Legen Sie den Wert des Zertifikatausstellers auf Endpunkt auf Online-Zertifizierungsstelle fest, und geben Sie die Werte für die Felder "Online-Zertifizierungsparameter" ein. Verwenden Sie den FQDN des Webservers, den Namen der zuvor erstellten Zertifikatvorlage (CiscoRA), den CA-Typ als Microsoft-CA und die Anmeldeinformationen des zuvor erstellten CiscoRA-Benutzerkontos.

• Ein Popup-Fenster informiert Sie, dass der CAPF-Dienst neu gestartet werden muss. Aktivieren Sie jedoch zunächst den Cisco Certificate Enrollment Service über Cisco Unified Serviceability > Tools > Service Activation, wählen Sie den Publisher im Serverfeld aus, aktivieren Sie das Kontrollkästchen Cisco Certificate Enrollment Service, und klicken Sie dann auf die Schaltfläche Save:

Überprüfung

Überprüfen von IIS-Zertifikaten

• Navigieren Sie von einem Webbrowser auf einem PC mit Verbindung zum Server (vorzugsweise im selben Netzwerk wie der CUCM Publisher) zu URL: 

https://YOUR_SERVER_FQDN/certsrv/

• Das Zertifikat wird als nicht vertrauenswürdig angezeigt. Fügen Sie die Ausnahme hinzu, und überprüfen Sie das Zertifikat. Stellen Sie sicher, dass er dem erwarteten FQDN entspricht:

• Nachdem Sie die Ausnahme akzeptiert haben, müssen Sie authentifizieren. an dieser Stelle müssen Sie die zuvor für das CiscoRA-Konto konfigurierten Anmeldeinformationen verwenden:

• Nach der Authentifizierung müssen Sie in der Lage sein, die Willkommensseite von AD CS (Active Directory Certificate Services) anzuzeigen:

CUCM-Konfiguration überprüfen

Führen Sie die erforderlichen Schritte aus, um ein LSC-Zertifikat auf einem der Telefone zu installieren.

Schritt 1. Öffnen Sie die Seite CallManager-Verwaltung, Gerät und dann Telefon.

Schritt 2: Wählen Sie die Schaltfläche "Suchen", um die Telefone anzuzeigen.

Schritt 3: Wählen Sie das Telefon aus, auf dem Sie das LSC installieren möchten.

Schritt 4: Blättern Sie nach unten zu Informationen zur Zertifizierungsstellen-Proxy-Funktion (CAPF)

Schritt 5: Wählen Sie im Zertifikatvorgang die Option "Installieren/Aktualisieren" aus.

Schritt 6: Wählen Sie den Authentifizierungsmodus aus. (Mit Null String ist für Testzwecke kein Problem.)

Schritt 7: Navigieren Sie zum Seitenanfang, und wählen Sie "Save" (Speichern) und dann "Apply Config" (Konfiguration für das Telefon übernehmen) aus.

Schritt 8: Verwenden Sie nach dem Neustart des Telefons und der Registrierung den LSC-Statusfilter, um die erfolgreiche Installation des LSC zu bestätigen.

• Öffnen Sie auf der AD-Serverseite MMC, und erweitern Sie das Snap-In Zertifizierungsstelle, um den Ordner Ausgestellte Zertifikate auszuwählen.
• Der Eintrag für das Telefon wird angezeigt. In der Zusammenfassungsansicht werden einige Details angezeigt:
  • Anforderungs-ID: Eindeutige Sequenznummer
  • Name des Antragstellers: Der Benutzername des konfigurierten CiscoRA-Kontos muss angezeigt werden.
  • Zertifikatvorlage: Der Name der erstellten CiscoRA-Vorlage muss angezeigt werden.
  • Ausgestellter allgemeiner Name: Das Telefonmodell, an das der Gerätename angehängt wird, muss angezeigt werden.
  • Gültigkeitsdatum des Zertifikats und Ablaufdatum des Zertifikats

Verwandte Links

• Fehlerbehebung CAPF Online CA
• Technischer Support und Dokumentation für Cisco Systeme