Introducción
La función de proxy de la autoridad certificadora (CAPF) Los certificados de importancia local (LSC) se firman localmente. Sin embargo, es posible que necesite teléfonos para utilizar LSC con firma de autoridad certificadora (CA) de terceros. Este documento describe un procedimiento que le ayuda a lograr esto.
Prerequisites
Requirements
Cisco recomienda que conozca Cisco Unified Communication Manager (CUCM).
Componentes Utilizados
La información en este documento se basa en la versión 10.5(2) de CUCM; sin embargo, esta función funciona desde la versión 10.0 y posteriores.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
A continuación se indican los pasos de este procedimiento, cada uno de los cuales se detalla en su propia sección:
- Cargar el certificado CA-Root
- Establecer CA desconectada para emisión de certificado en terminal
- Generar una solicitud de firma de certificado (CSR) para los teléfonos
- Obtenga la CSR generada de Cisco Unified Communications Manager (CUCM) al servidor FTP
- Obtener el certificado telefónico de la CA
- Convertir .cer en formato .der
- Comprimir los certificados (.der) al formato .tgz
- Transferir el archivo .tgz al servidor FTP de Secure Shell (SFTP)
- Importar el archivo .tgz al servidor CUCM
- Firmar el CSR con la autoridad certificadora de Microsoft Windows 2003
- Obtener el certificado raíz de la CA
Cargar el certificado CA-Root
- Inicie sesión en la GUI web de administración de Cisco Unified Operating System (OS).
- Vaya a Administración de certificados de seguridad.
- Haga clic en Cargar certificado/cadena de certificado.
- Elija CallManager-trust en Certificate Purpose.
- Busque el certificado raíz de la CA y haga clic en Cargar.

Establecer CA desconectada para emisión de certificado en terminal
- Inicie sesión en la GUI web de CUCM Administration.
- Vaya a System > Service Parameter.
- Elija el servidor CUCM y seleccione Función Proxy de autoridad certificadora de Cisco para el servicio.
- Seleccione Offline CA para el Problema de Certificados al Extremo.

Generar una solicitud de firma de certificado (CSR) para los teléfonos
- Inicie sesión en la GUI web de CUCM Administration.
- Vaya a Teléfonos del dispositivo.
- Elija el teléfono cuyo LSC debe estar firmado por la CA externa.
- Cambie el perfil de seguridad del dispositivo a uno seguro (si no está presente, agregue un sistema en el perfil de seguridad del teléfono de seguridad).
- En la página de configuración del teléfono, en la sección CAPF, elija Install/Upgrade para la Operación de Certificación. Complete este paso para todos los teléfonos cuyo LSC debe ser firmado por la CA externa. Debería ver Operación pendiente para el estado de operación del certificado.

Perfil de seguridad del teléfono (modelo 7962).

Ingrese el comando utils capf csr count en la sesión de Secure Shell (SSH) para confirmar si se genera una CSR. (Esta captura de pantalla muestra que se generó una CSR para tres teléfonos.)

Nota: El estado de operación del certificado en la sección CAPF del teléfono permanece en el estado Operación pendiente.
Obtenga la CSR generada de CUCM al servidor FTP (o TFTP)
- SSH en el servidor CUCM.
- Ejecute el comando utils capf csr dump. Esta captura de pantalla muestra el volcado que se está transfiriendo al FTP.

- Abra el archivo de volcado con WinRAR y extraiga el CSR en su equipo local.

Obtener el certificado telefónico
- Envíe los CSR del teléfono a la CA.
- La CA le proporciona un certificado firmado.
Nota: Puede utilizar un servidor de Microsoft Windows 2003 como CA. El procedimiento para firmar el CSR con una CA de Microsoft Windows 2003 se explica más adelante en este documento.
Convertir .cer en formato .der
Si los certificados recibidos están en formato .cer, cámbielos a .der.

Comprimir los certificados (.der) al formato .tgz
Puede utilizar la raíz (Linux) del servidor CUCM para comprimir el formato del certificado. También puede hacer esto en un sistema Linux normal.
- Transfiera todos los certificados firmados al sistema Linux con el servidor SFTP.

- Ingrese este comando para comprimir todos los certificados .der en un archivo .tgz.
tar -zcvf
.tgz *.der

Transferir el archivo .tgz al servidor SFTP
Complete los pasos mostrados en la captura de pantalla para transferir el archivo .tgz al servidor SFTP.

Importar el archivo .tgz al servidor CUCM
- SSH en el servidor CUCM.
- Ejecute el comando utils capf cert import.

Una vez que los certificados se importan correctamente, puede ver que el recuento de CSR se ha convertido en cero.

Firmar el CSR con la autoridad certificadora de Microsoft Windows 2003
Esta información es opcional para Microsoft Windows 2003 - CA.
- Autoridad de certificación abierta.

- Haga clic con el botón derecho del ratón en la CA y navegue hasta Todas las tareas > Enviar nueva solicitud...

- Seleccione el CSR y haga clic en Abrir. Realice esto para todos los CSR.

Todas las CSR abiertas se muestran en la carpeta Solicitudes pendientes.
- Haga clic con el botón derecho en cada y navegue hasta Todas las tareas > Problema para emitir certificados. Realice esto para todas las solicitudes pendientes.

- Para descargar el certificado, elija Certificado emitido.
- Haga clic con el botón derecho del ratón en el certificado y haga clic en Abrir.

- Puede ver los detalles del certificado. Para descargar el certificado, seleccione la ficha Detalles y elija Copiar a archivo...

- En el Asistente para exportación de certificados, elija DER binario codificado X.509 (.CER).

- Asigne al archivo un nombre adecuado. Este ejemplo utiliza el formato <MAC>.cer.

- Obtenga los certificados de otros teléfonos en la sección Certificado emitido con este procedimiento.
Obtener el certificado raíz de la CA
- Autoridad de certificación abierta.
- Complete los pasos que se muestran en esta captura de pantalla para descargar la raíz-CA.

Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
- Vaya a la página de configuración del teléfono.
- En la sección CAPF, el estado de operación del certificado debe mostrarse como Upgrade Success.

Nota: Refiérase a Generar e Importar LSCs Firmados por CA de Terceros para obtener más información.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.