Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Ejemplo de Configuración de Generación e Importación de LSCs Firmados por CA de Terceros de CUCM

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (660.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (782.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de marzo de 2015
ID del documento:118779

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

La función de proxy de la autoridad certificadora (CAPF) Los certificados de importancia local (LSC) se firman localmente. Sin embargo, es posible que necesite teléfonos para utilizar LSC con firma de autoridad certificadora (CA) de terceros. Este documento describe un procedimiento que le ayuda a lograr esto.

Prerequisites

Requirements

Cisco recomienda que conozca Cisco Unified Communication Manager (CUCM).

Componentes Utilizados

La información en este documento se basa en la versión 10.5(2) de CUCM; sin embargo, esta función funciona desde la versión 10.0 y posteriores.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

A continuación se indican los pasos de este procedimiento, cada uno de los cuales se detalla en su propia sección:

  1. Cargar el certificado CA-Root
  2. Establecer CA desconectada para emisión de certificado en terminal
  3. Generar una solicitud de firma de certificado (CSR) para los teléfonos
  4. Obtenga la CSR generada de Cisco Unified Communications Manager (CUCM) al servidor FTP
  5. Obtener el certificado telefónico de la CA
  6. Convertir .cer en formato .der
  7. Comprimir los certificados (.der) al formato .tgz
  8. Transferir el archivo .tgz al servidor FTP de Secure Shell (SFTP)
  9. Importar el archivo .tgz al servidor CUCM
  10. Firmar el CSR con la autoridad certificadora de Microsoft Windows 2003
  11. Obtener el certificado raíz de la CA

Cargar el certificado CA-Root

  1. Inicie sesión en la GUI web de administración de Cisco Unified Operating System (OS).

  2. Vaya a Administración de certificados de seguridad.

  3. Haga clic en Cargar certificado/cadena de certificado.

  4. Elija CallManager-trust en Certificate Purpose.

  5. Busque el certificado raíz de la CA y haga clic en Cargar.

Establecer CA desconectada para emisión de certificado en terminal

  1. Inicie sesión en la GUI web de CUCM Administration.

  2. Vaya a System > Service Parameter.

  3. Elija el servidor CUCM y seleccione Función Proxy de autoridad certificadora de Cisco para el servicio.

  4. Seleccione Offline CA para el Problema de Certificados al Extremo.

Generar una solicitud de firma de certificado (CSR) para los teléfonos

  1. Inicie sesión en la GUI web de CUCM Administration.

  2. Vaya a Teléfonos del dispositivo.

  3. Elija el teléfono cuyo LSC debe estar firmado por la CA externa.

  4. Cambie el perfil de seguridad del dispositivo a uno seguro (si no está presente, agregue un sistema en el perfil de seguridad del teléfono de seguridad).

  5. En la página de configuración del teléfono, en la sección CAPF, elija Install/Upgrade para la Operación de Certificación. Complete este paso para todos los teléfonos cuyo LSC debe ser firmado por la CA externa. Debería ver Operación pendiente para el estado de operación del certificado.



    Perfil de seguridad del teléfono (modelo 7962).



    Ingrese el comando utils capf csr count en la sesión de Secure Shell (SSH) para confirmar si se genera una CSR. (Esta captura de pantalla muestra que se generó una CSR para tres teléfonos.)



    Nota: El estado de operación del certificado en la sección CAPF del teléfono permanece en el estado Operación pendiente.

Obtenga la CSR generada de CUCM al servidor FTP (o TFTP)

  1. SSH en el servidor CUCM.

  2. Ejecute el comando utils capf csr dump. Esta captura de pantalla muestra el volcado que se está transfiriendo al FTP.



  3. Abra el archivo de volcado con WinRAR y extraiga el CSR en su equipo local.

Obtener el certificado telefónico

  1. Envíe los CSR del teléfono a la CA.

  2. La CA le proporciona un certificado firmado.

    Nota: Puede utilizar un servidor de Microsoft Windows 2003 como CA. El procedimiento para firmar el CSR con una CA de Microsoft Windows 2003 se explica más adelante en este documento.

Convertir .cer en formato .der

Si los certificados recibidos están en formato .cer, cámbielos a .der.

Comprimir los certificados (.der) al formato .tgz

Puede utilizar la raíz (Linux) del servidor CUCM para comprimir el formato del certificado. También puede hacer esto en un sistema Linux normal.

  1. Transfiera todos los certificados firmados al sistema Linux con el servidor SFTP.



  2. Ingrese este comando para comprimir todos los certificados .der en un archivo .tgz.

    tar -zcvf 
         
         
           .tgz    *.der


Transferir el archivo .tgz al servidor SFTP

Complete los pasos mostrados en la captura de pantalla para transferir el archivo .tgz al servidor SFTP.

Importar el archivo .tgz al servidor CUCM

  1. SSH en el servidor CUCM.

  2. Ejecute el comando utils capf cert import.



    Una vez que los certificados se importan correctamente, puede ver que el recuento de CSR se ha convertido en cero.

Firmar el CSR con la autoridad certificadora de Microsoft Windows 2003

Esta información es opcional para Microsoft Windows 2003 - CA.

  1. Autoridad de certificación abierta.



  2. Haga clic con el botón derecho del ratón en la CA y navegue hasta Todas las tareas > Enviar nueva solicitud...



  3. Seleccione el CSR y haga clic en Abrir. Realice esto para todos los CSR.



    Todas las CSR abiertas se muestran en la carpeta Solicitudes pendientes.

  4. Haga clic con el botón derecho en cada y navegue hasta Todas las tareas > Problema para emitir certificados. Realice esto para todas las solicitudes pendientes.



  5. Para descargar el certificado, elija Certificado emitido.

  6. Haga clic con el botón derecho del ratón en el certificado y haga clic en Abrir.



  7. Puede ver los detalles del certificado. Para descargar el certificado, seleccione la ficha Detalles y elija Copiar a archivo...



  8. En el Asistente para exportación de certificados, elija DER binario codificado X.509 (.CER).



  9. Asigne al archivo un nombre adecuado. Este ejemplo utiliza el formato <MAC>.cer.



  10. Obtenga los certificados de otros teléfonos en la sección Certificado emitido con este procedimiento.

Obtener el certificado raíz de la CA

  1. Autoridad de certificación abierta.

  2. Complete los pasos que se muestran en esta captura de pantalla para descargar la raíz-CA.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

  1. Vaya a la página de configuración del teléfono.

  2. En la sección CAPF, el estado de operación del certificado debe mostrarse como Upgrade Success.

Nota: Refiérase a Generar e Importar LSCs Firmados por CA de Terceros para obtener más información.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
09-Mar-2015
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Ramesh Balakrishnan
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco