Este documento describe el uso de los archivos cifrados del teléfono de la configuración en el administrador de las Comunicaciones unificadas de Cisco (CUCM).
El uso de los archivos de configuración cifrados para los teléfonos es una función de seguridad opcional que está disponible en el CUCM.
Le no requieren ejecutar el cluster CUCM en el modo mezclado para que esta característica funcione correctamente, pues la información del certificado de la función de proxy del Certificate Authority (CAPF) se contiene dentro del archivo de la lista de la confianza de la identidad (ITL).
Esta sección describe el proceso que ocurre cuando los archivos cifrados del teléfono de la configuración se utilizan dentro del CUCM.
Cuando usted habilita esta característica, reajusta el teléfono, y descarga el archivo de configuración, usted recibe una petición el archivo con una extensión .cnf.xml.sgn:
Sin embargo, después de que la característica de configuración cifrada se habilite en el CUCM, servicio TFTP genera no más un archivo de configuración total con la extensión .cnf.xml.sgn. En lugar, genera el archivo de configuración parcial, tal y como se muestra en del próximo ejemplo.
HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash></certHash>
<encrConfig>true</encrConfig>
</device>
Si el teléfono identifica un problema, intenta iniciar una sesión con el CAPF, a menos que el modo de autenticación del CAPF corresponda con por las cadenas de la autentificación, en este caso usted debe ingresar manualmente la cadena. Aquí están algunos problemas que el teléfono pudo identificar:
El certificado del CAPF se debe saber para el teléfono, así que debe ser incluido en o el archivo ITL o Certificate Trust List (Lista de confianza del certificado) el archivo (CTL) (si el cluster se ejecuta en el modo mezclado).
Después de que se establezca la comunicación del CAPF, el teléfono envía la información al CAPF sobre el LSC o el MIC se utiliza que. El CAPF después extrae la clave pública del teléfono del LSC o del MIC, genera un hash MD5, y salva los valores para el hash de la clave pública y del certificado en la base de datos CUCM.
admin:run sql select md5hash,name from device where name='SEPA45630BBFA40'
md5hash name
================================ ===============
6e566143c1c14566c9da943d949a79c8 SEPA45630BBFA40
Después de que la clave pública se salve en la base de datos, el teléfono reajusta y pide un nuevo archivo de configuración. El teléfono intenta descargar el archivo de configuración con la extensión cnf.xml.sgn de nuevo.
HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash>6e566143c1c14566c9da943d949a79c8</certHash>
<encrConfig>true</encrConfig>
</device>
El teléfono compara el cerHash otra vez, y si no detecta el problema, descarga el archivo de configuración cifrado con la extensión .cnf.xml.enc.sgn.
............c..)CN=cucm85;OU=It;O=Cisco;L=KRK;ST=PL;C=PL....Z.........)CN=cucm85;
OU=It;O=Cisco;L=KRK;ST=PL;C=PL...........
..........C.<...Y6.Lh.|(..w+..,.0.a.&.
O..........V....T...Z..R^..f....|.=.e.@...5...........G...[.........n.........=
.A..H.(....Z...{.!%[.. SEPA45630BBFA40.cnf.xml.enc.sgn....R.DD..M........ ....
Uu.C..@...........
...................m.b.......6y ..x.^b..-8.^..^'.4.<Wb.n.....5...we.0@..g..
V7.,..r.9
Qs>..).w....pt/...}A.']
.r.t%G..d_.;u.rEI.pr.F
.....M..r...o.N
.=..g.^P....Pz....J..E.S...d|Z).....J..&..I....7.r..g8.{f..o.....:.~..U...5G+V.
[...]
Para habilitar los archivos cifrados del teléfono de la configuración, usted debe crear un nuevo (o editar una corriente) perfil de seguridad del teléfono y asignarlo al teléfono. Complete estos pasos para habilitar la característica de configuración cifrada en el CUCM:
Complete estos pasos para resolver problemas los problemas del sistema con respecto a la característica de configuración cifrada:
Refiera a estos recursos para más información sobre cómo funcionar con a las capturas de paquetes del CUCM y del teléfono:
En los registros y las capturas de paquetes, usted debe asegurarse de que funcione el proceso descrito en las secciones anteriores correctamente. Específicamente, verifique eso: