Guía de procedimientos completa de Jabber para la validación de certificados

Introducción

Este documento combina varios recursos de Cisco en una guía de uso completa y unificada que se utiliza para implementar todos los requisitos para la validación de certificados en Cisco Jabber. Esto es necesario porque Cisco Jabber ahora requiere el uso de la validación de certificados para establecer conexiones seguras con los servidores. Este requisito conlleva muchos cambios que podrían ser necesarios para los entornos de usuario.

Nota: Esta guía está destinada únicamente a implementaciones in situ. Actualmente no se requiere ningún cambio en las implementaciones de servicios en la nube, ya que se validan con la Autoridad Pública de Certificados (CA).

¿Qué clientes de Jabber se ven afectados por este cambio?

Esta es una tabla que enumera todos los clientes que implementan la validación de certificados:

Tabla 1

Clientes de escritorio	Clientes móviles y de tablets
Jabber para Macintosh versión 9.2 (septiembre de 2013)	Jabber para iPhone versión 9.5 (octubre de 2013)
Jabber para Microsoft (MS) Windows versión 9.2.5 (septiembre de 2013)	Jabber para iPhone y iPad versión 9.6 (noviembre de 2013)
	Jabber para Android versión 9.6 (diciembre de 2013)

¿Qué significa esto para el entorno de Jabber?

Cuando instala o actualiza a cualquier cliente que se enumera en la Tabla 1, se utiliza la validación obligatoria de certificados con servidores para conexiones seguras. Básicamente, cuando los clientes de Jabber intentan establecer una conexión segura ahora, los servidores presentan a Cisco Jabber certificados. A continuación, Cisco Jabber intenta validar esos certificados en el almacén de certificados del dispositivo. Si el cliente no puede validar el certificado, le solicita que confirme que desea aceptarlo y colóquelo en su almacén de confianza empresarial.

¿Qué certificados son obligatorios?

A continuación se incluye una lista de los servidores en las instalaciones y los certificados que presentan a Cisco Jabber para establecer una conexión segura:

Tabla 2

Servidor	Certificado
Cisco Unified Presence	HTTP (Tomcat) XMPP
IM y presencia de Cisco Unified Communications Manager	HTTP (Tomcat) XMPP
Cisco Unified Communications Manager	HTTP (Tomcat)
Cisco Unity Connection	HTTP (Tomcat)
Servidor de reuniones Cisco WebEx	HTTP (Tomcat)

A continuación, se indican algunos puntos importantes a tener en cuenta:

• Aplique la actualización de servicio (SU) más reciente para Cisco Unified Presence (CUP) o Cisco Unified Communications Manager (CUCM) IM and Presence antes de iniciar el proceso de firma de certificados.
• Los certificados requeridos se aplican a todas las versiones del servidor. Por ejemplo, tanto CUP Versión 8.x como CUCM IM y Presence Versión 9.x y posteriores presentan al cliente con Extensible Messaging and Presence Protocol (XMPP) y certificados HTTP.
• Cada nodo de un clúster, suscriptores y editores, ejecuta un servicio Tomcat y puede presentar al cliente un certificado HTTP. Planee firmar los certificados de cada nodo del clúster.
• Para asegurar la señalización del protocolo de inicio de sesión (SIP) entre el cliente y CUCM, utilice la inscripción en la función de proxy de la autoridad de certificación (CAPF).

¿Qué métodos están disponibles para la validación de certificados?

Actualmente se pueden utilizar varios métodos de validación de certificaciones.

Método 1: Los usuarios simplemente hacen clic en Aceptar para todas las ventanas emergentes de certificados. Esta podría ser la solución más ideal para entornos más pequeños. Si hace clic en Aceptar, los certificados se colocan en el almacén de confianza empresarial del dispositivo. Después de colocar los certificados en el almacén de confianza de la empresa, ya no se indica a los usuarios cuándo inician sesión en el cliente Jabber en ese dispositivo local.

Método 2: Los certificados requeridos (tabla 2) se descargan de los servidores individuales (de forma predeterminada, son certificados autofirmados) e se instalan en el almacén de confianza empresarial del dispositivo del usuario. Esta podría ser la solución ideal si su entorno no tiene acceso a una CA pública o privada para la firma de certificados.

Se pueden utilizar varios métodos para enviar estos certificados a los usuarios, pero un método rápido es emplear el uso del Registro de Microsoft Windows:

1. Desde una de las máquinas, acepte todos los certificados que se presentan a Jabber en el almacén de confianza empresarial.
2. Para verificar que los certificados estén presentes, ingrese el comando Certmgr.msc y navegue hasta Enterprise Trust > Certificates.
3. Abra Regedit con un comando run y navegue hasta HKCU > Software > Microsoft > SystemCertificates > trust > Certificates.
4. Haga clic con el botón derecho del ratón y exporte la carpeta Certificados en el Registro como un archivo .reg.
5. Extraiga este archivo mediante Group Policy Object (GPO) a todos los usuarios (u otro método preferido).

Esto completa la instalación de certificados de confianza empresarial para Jabber y ya no se solicita a los usuarios.

Método 3: Una CA pública o privada (tabla 2) firma todos los certificados requeridos. Este es el método recomendado por Cisco. Este método requiere que se genere una solicitud de firma de certificado (CSR) para cada uno de los certificados, se firme, se vuelva a cargar en el servidor y, a continuación, se importe en el almacén de autoridades de certificados raíz de confianza en los dispositivos de usuario. Consulte Generar una CSR y ¿Cómo obtengo certificados para los almacenes de certificados de los dispositivos de usuario? para obtener más información.

Nota: En el caso de una CA pública, el certificado raíz ya debe estar en el almacén de confianza del cliente.

Es importante recordar que las CA públicas normalmente requieren CSR para ajustarse a formatos específicos. Por ejemplo, una CA pública sólo puede aceptar CSR que:

• Están codificados en Base64
• No contenga ciertos caracteres, como @&!, en la Organización, unidad organizativa (OU) u otros campos
• Utilizar longitudes de bits específicas en la clave pública para el servidor

Asimismo, si envía CSR desde varios nodos, las CA públicas pueden requerir que la información sea coherente en todos los CSR.

Para evitar problemas con sus CSR, revise los requisitos de formato de la CA pública a la que planea enviar los CSR. A continuación, asegúrese de que la información introducida cuando configure el servidor se ajuste al formato que requiere la CA pública.

Este es un posible requisito que podría encontrar:

Un certificado por FQDN: Algunas CA públicas firman sólo un certificado por nombre de dominio completo (FQDN).

Por ejemplo, para firmar los certificados HTTP y XMPP para un único nodo de MI y presencia de CUCM, es posible que deba enviar cada CSR a diferentes CA públicas.

Verifique si un certificado está firmado automáticamente o firmado por CA

Nota: Este ejemplo corresponde a la versión 8.x de CUCM. El proceso puede variar entre servidores.

1. Vaya a Administración de Cisco Unified OS.
2. Elija Security > Certificate Management.
3. Busque y haga clic en el archivo Tomcat-Trust Certificate .pem.
4. Haga clic en Descargar y Guardar.
5. Desplácese hasta el archivo y cámbielo por la extensión .cer.
6. Abra y vea este archivo (usuarios de MS Windows).
7. Verifique el campo Emitido por. Si coincide con el campo Emitido a, el certificado se firma automáticamente (consulte el Ejemplo).

Ejemplo: Certificado firmado automáticamente frente a certificado firmado por CA privada

                                      Autofirmado                                                                                               Firmado por CA privada

Generar una CSR

Nota: Este ejemplo corresponde a la versión 8.x de CUCM. El proceso puede variar entre servidores.

1. Vaya a Administración de Cisco Unified OS.
2. Elija Security > Certificate Management.
3. Haga clic en Generar CSR y elija Tomcat en la lista desplegable.
4. Haga clic en Generar CSR y haga clic en Cerrar.
5. Haga clic en Descargar CSR y elija Tomcat en la lista desplegable.
6. Haga clic en Descargar CSR y guarde el archivo.
7. Envíe el archivo .csr que firmará el servidor de la CA privada o una CA pública.
   

   Nota: Una vez que tiene este archivo CSR, el proceso varía en función de su entorno.

8. Haga clic en Cargar certificado/cadena de certificado en Seguridad > Administración de certificados Para volver a cargar los nuevos certificados firmados que se emitieron en su servidor.

¿Cómo puedo importar certificados a los almacenes de certificados de dispositivos de usuario?

Cada certificado de servidor debe tener un certificado raíz asociado presente en el almacén de confianza en el dispositivo del usuario. Cisco Jabber valida los certificados que presentan los servidores en los certificados raíz del almacén de confianza.

Importar certificados raíz al almacén de certificados de MS Windows si:

• Los certificados están firmados por una CA que aún no existe en el almacén de confianza, como una CA privada. Si es así, debe importar el certificado de CA privada al almacén de autoridades de certificación raíz de confianza.
• Los certificados están autofirmados. Si es así, debe importar certificados autofirmados al almacén de confianza empresarial.

Puede utilizar cualquier método adecuado para importar certificados al almacén de certificados de MS Windows, como:

• Utilice el Asistente para importación de certificados para importar certificados individualmente.
• Implemente certificados a los usuarios con la herramienta de línea de comandos CertMgr.exe en MS Windows Server. (Esta opción requiere que utilice la herramienta Administrador de certificados, CertMgr.exe, no la consola de gestión de certificados MS, CertMgr.msc.)
• Implemente certificados a usuarios con un GPO en MS Windows Server.

Nota: Para obtener instrucciones detalladas sobre cómo importar certificados, consulte la documentación de MS correspondiente.

Identidad de servidor en certificados

Como parte del proceso de firma, la CA especifica la identidad del servidor en el certificado. Cuando el cliente valida ese certificado, verifica que:

• Una autoridad de confianza ha emitido el certificado.
• La identidad del servidor que presenta el certificado coincide con la identidad del servidor especificado en el certificado.

Nota: Las CA públicas generalmente requieren un FQDN como la identidad del servidor, no una dirección IP.

Campos de identificador

El cliente verifica estos campos de identificador en los certificados del servidor para una coincidencia de identidad:

Certificados XMPP

• SubjectAltName\OtherName\xmppAddr
• SubjectAltName\OtherName\srvName
• SubjectAltName\dnsNames
• Asunto CN

Certificados HTTP

• SubjectAltName\dnsNames
• Asunto CN

Nota: El campo Asunto CN puede contener un carácter comodín (*) como el carácter más a la izquierda; por ejemplo, *.cisco.com. Es posible que los servidores CUCM, CUP y Cisco Unity Connection no admitan certificados comodín. (Consulte la mejora del ID de bug de Cisco CSCta14114).

Evitar la discordancia de identidad

Cuando un cliente Jabber intenta conectarse a un servidor con una dirección IP y el certificado del servidor identifica el servidor con un FQDN, el cliente no puede identificar el servidor como confiable y le pregunta al usuario. Por lo tanto, si los certificados del servidor identifican los servidores con FQDN, debe especificar el nombre del servidor como FQDN en muchos lugares de los servidores.

La tabla 3 enumera todos los lugares que necesitan especificar el nombre del servidor tal como aparece en el certificado, ya sea una dirección IP o un FQDN. 

Tabla 3

Servidor	Ubicación (la configuración debe coincidir con el certificado)
Clientes de Cisco Jabber	Dirección del servidor de inicio de sesión (Difiere para los clientes, normalmente en Configuración de conexión)
CUP (versión 8.x y anteriores)	** Todos los nombres de nodos (System > Cluster Topology) **Precaución: Asegúrese de que si cambia esto a FQDN, puede resolverlo a través de DNS o que los servidores permanezcan en el estado inicial. Servidores TFTP (Aplicación > Cisco Jabber > Configuración) Cisco Call Manager principal y secundario Cisco IP Phone (CCMCIP) (Aplicación > Cisco Jabber > Perfil CCMCIP) Nombre de host del buzón de voz (Aplicación > Cisco Jabber > Servidor de buzón de voz) Nombre del almacén de correo (Aplicación > Cisco Jabber > Almacén de correo) Nombre de host de conferencia (Aplicación > Cisco Jabber > Servidor de conferencia) (sólo Meeting Place) Dominio XMPP (consulte la sección Proporcionar dominio XMPP a los clientes)
CUCM IM and Presence (versión 9.x y posteriores)	**Todos los nombres de nodo (Sistema > Topología de clúster) **Precaución: Asegúrese de que si cambia esto a FQDN, puede resolverlo a través de DNS o que los servidores permanezcan en el estado inicial. Servidores TFTP (Aplicación > Clientes heredados > Configuración) CCMCIP principal y secundario (Aplicación > Clientes heredados > Perfil CCMCIP) Dominio XMPP (consulte la sección Proporcionar dominio XMPP a los Clientes)
CUCM (versión 8.x y anteriores)	Nombre del servidor (Sistema > Servidor)
CUCM (versión 9.x y posteriores)	Nombre de servidor (Sistema > Servidor) Servidor de IM y presencia (Administración de usuarios > Configuración de usuario > Servicio UC > IM y presencia) Nombre de host del buzón de voz (User Management > User Settings > UC Service > Voicemail) Nombre de almacenamiento de correo (Administración de usuarios > Configuración de usuario > Servicio UC > Almacén de correo) Nombre de host de conferencia ((Administración de usuarios > Configuración de usuario > Servicio UC > Conferencias) (sólo Meeting Place)
Cisco Unity Connection (todas las versiones)	No se necesita ningún cambio

Proporcionar dominio XMPP a los clientes

El cliente identifica los certificados XMPP con el dominio XMPP, en lugar de con el FQDN. Los certificados XMPP deben contener el dominio XMPP en un campo de identificador.

Cuando el cliente intenta conectarse al servidor de presencia, el servidor de presencia proporciona el dominio XMPP al cliente. A continuación, el cliente puede validar la identidad del servidor de presencia con el certificado XMPP.

Complete estos pasos para asegurarse de que el servidor de presencia proporcione el dominio XMPP al cliente:

1. Abra la interfaz de administración para su servidor de presencia, ya sea la interfaz Cisco Unified CM IM and Presence Administration o la interfaz Cisco Unified Presence Administration.
2. Vaya a System > Security > Settings.
3. Localice la sección Configuración de certificados XMPP.
   
4. Especifique el dominio del servidor de presencia en el campo Nombre de dominio para el nombre alternativo del asunto del certificado de servidor a servidor XMPP.
5. Marque la casilla de verificación Usar nombre de dominio para el nombre alternativo del asunto del certificado XMPP.
6. Click Save.
7. Después de guardar este cambio, debe regenerar el certificado cup-xmpp en el servidor.
8. Reinicie el router XCP para que el cambio surta efecto.
   
   

   Precaución: Un reinicio del router XCP afecta al servicio.

La validación de certificados ha finalizado.

Información Relacionada

• Notas de la versión de Cisco Jabber 9.2.5
• Cisco Jabber: TechNote de validación obligatoria de certificados de servidor
• Soporte Técnico y Documentación - Cisco Systems