Configurer LSC sur le téléphone IP Cisco avec CUCM

Introduction

Ce document décrit comment installer un certificat d'importance locale (LSC) sur un téléphone IP Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Options du mode de sécurité du cluster de Cisco Unified Communications Manager (CUCM)
• Certificats X.509
• Certificats installés de fabrication (MIC)
• LSC
• Opérations de certificat CAPF (Certificate Authority Proxy Function)
• Sécurité par défaut (SBD)
• Fichiers ITL (Initial Trust List)

Components Used

Les informations de ce document sont basées sur les versions CUCM qui prennent en charge SBD, à savoir CUCM 8.0(1) et versions ultérieures.

Remarque: Elle concerne également uniquement les téléphones qui prennent en charge la sécurité par défaut (SBD). Par exemple, les téléphones 7940 et 7960 ne prennent pas en charge SBD, pas plus que les téléphones de conférence 7935, 7936 et 7937. Pour obtenir la liste des périphériques qui prennent en charge SBD dans votre version de CUCM, accédez à Cisco Unified Reporting > System Reports > Unified CM Phone Feature List et exécutez un rapport sur Feature : Sécurité Par Défaut.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

MIC et LSC

Si vous utilisez l'authentification basée sur un certificat pour 802.1X ou Anyconnect Phone VPN, il est important de comprendre la différence entre les MIC et les LSC.

Chaque téléphone Cisco est livré avec un MIC préinstallé en usine. Ce certificat est signé par l'un des certificats CA de fabrication Cisco, soit par le certificat CA de fabrication Cisco, CA de fabrication Cisco SHA2, CAP-RTP-001 ou CAP-RTP-002. Lorsque le téléphone présente ce certificat, il prouve qu'il s'agit d'un téléphone Cisco valide, mais cela ne confirme pas que le téléphone appartient à un client ou à un cluster CUCM spécifique. Il peut s'agir d'un téléphone non autorisé acheté sur le marché libre ou transféré depuis un autre site.

Les LSC, en revanche, sont installés intentionnellement sur les téléphones par un administrateur et sont signés par le certificat CAPF de CUCM Publisher. Vous configureriez le VPN 802.1X ou Anyconnect pour ne faire confiance qu'aux LSC émis par les autorités de certification CAPF connues. La base de l'authentification des certificats sur les LSC au lieu des MIC vous permet de contrôler de manière beaucoup plus précise quels périphériques téléphoniques sont fiables.

Configuration

Topologie du réseau

Ces serveurs de travaux pratiques CUCM ont été utilisés pour ce document :

• ao115pub - 10.122.138.102 - serveur CUCM Publisher et TFTP
• ao115sub - 10.122.138.103 - Abonné CUCM et serveur TFTP 

Vérifiez que le certificat CAPF n'a pas expiré et qu'il n'est pas sur le point d'expirer dans un avenir proche. Accédez à Cisco Unified OS Administration > Security > Certificate Management, puis Find Certificate List where Certificate is just CAPF tel qu'illustré dans l'image.

Cliquez sur Nom commun afin d'ouvrir la page Détails du certificat. Inspecter la validité à partir de : et À : dates dans le volet Données du fichier de certificat afin de déterminer quand le certificat expire, comme indiqué dans l'image.

Si le certificat CAPF a expiré ou arrive bientôt à expiration, régénérez ce certificat. N'avancez pas avec le processus d'installation LSC avec un certificat CAPF expiré ou qui expirera bientôt. Cela évite la nécessité de réémettre des LSC dans un avenir proche en raison de l'expiration du certificat CAPF. Pour plus d'informations sur la façon de régénérer le certificat CAPF, reportez-vous à l'article Régénération/Processus de renouvellement du certificat CUCM.

De même, si vous devez faire signer votre certificat CAPF par une autorité de certification tierce, vous avez le choix à faire à cette étape. Complétez la génération de fichiers CSR (Certificate Signing Request) et l'importation du certificat CAPF signé maintenant, ou poursuivez la configuration avec un LSC autosigné pour un test préliminaire. Si vous avez besoin d'un certificat CAPF signé par un tiers, il est généralement judicieux de configurer cette fonctionnalité d'abord avec un certificat CAPF autosigné, de le tester et de le vérifier, puis de redéployer les LSC qui sont signés par un certificat CAPF signé par un tiers. Cela simplifie le dépannage ultérieur, si les tests avec le certificat CAPF signé par un tiers échouent.

Avertissement : Si vous régénérez le certificat CAPF ou importez un certificat CAPF signé par un tiers pendant que le service CAPF est activé et démarré, les téléphones sont automatiquement réinitialisés par CUCM. Effectuez ces procédures dans une fenêtre de maintenance lorsqu'il est acceptable de réinitialiser les téléphones. Pour plus d'informations, consultez CSCue55353 - Ajouter un avertissement lors de la régénération du certificat TVS/CCM/CAPF que les téléphones réinitialisent.

Remarque: Si votre version CUCM prend en charge SBD, cette procédure d'installation LSC s'applique, que votre cluster CUCM soit en mode mixte ou non. SBD fait partie de CUCM version 8.0(1) et ultérieure. Dans ces versions de CUCM, les fichiers ITL contiennent le certificat du service CAPF sur le serveur de publication CUCM. Cela permet aux téléphones de se connecter au service CAPF afin de prendre en charge les opérations de certificat telles que Installer/Mettre à niveau et Dépanner.

Dans les versions précédentes de CUCM, il était nécessaire de configurer le cluster pour le mode mixte afin de prendre en charge les opérations de certificat. Comme cela n'est plus nécessaire, cela réduit les obstacles à l'utilisation des LSC comme certificats d'identité de téléphone pour l'authentification 802.1X ou pour l'authentification du client VPN AnyConnect.

Exécutez la commande show itl sur tous les serveurs TFTP du cluster CUCM. Observez que le fichier ITL contient un certificat CAPF.

Par exemple, voici un extrait de la sortie show itl de l'abonné CUCM ao115sub du TP.

Remarque: Ce fichier contient une entrée d'enregistrement ITL avec une fonction CAPF.

Remarque: Si votre fichier ITL n'a pas d'entrée CAPF, connectez-vous à votre éditeur CUCM et vérifiez que le service CAPF est activé. Pour confirmer cela, accédez à Cisco Unified Serviceability > Tools > Service Activation > CUCM Publisher > Security, puis activez le service de fonction proxy d'autorité de certification Cisco. Si le service a été désactivé et que vous venez de l'activer, accédez à Cisco Unified Serviceability > Tools > Control Center - Feature Services > Server > CM Services, puis redémarrez le service Cisco TFTP sur tous les serveurs TFTP du cluster CUCM pour régénérer le fichier ITL. Assurez-vous également de ne pas toucher CSCuj78330.

Remarque : une fois terminé, exécutez la commande show itl sur tous les serveurs TFTP du cluster CUCM afin de vérifier que le certificat CAPF CUCM Publisher actuel est maintenant inclus dans le fichier.

 ITL Record #:1
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 727
2 DNSNAME 2
3 SUBJECTNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 CAPF
5 ISSUERNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 64:F2:FE:61:3B:79:C5:D3:62:E2:6D:AB:4A:8B:76:1B
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 C3 E6 97 D0 8A E1 0B F2 31 EC ED 20 EC C5 BC 0F 83 BC BC 5E
12 HASH ALGORITHM 1 null

 ITL Record #:2
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 6B:99:31:15:D1:55:5E:75:9C:42:8A:CE:F2:7E:EA:E8
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 05 9A DE 20 14 55 23 2D 08 20 31 4E B5 9C E9 FE BD 2D 55 87
12 HASH ALGORITHM 1 null

 ITL Record #:3
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1680
2 DNSNAME 2
3 SUBJECTNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 51:BB:2F:1C:EE:80:02:16:62:69:51:9A:14:F6:03:7E
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 963 DF 98 C1 DB E0 61 02 1C 10 18 D8 BA F7 1B 2C AB 4C F8 C9 D5 (SHA1 Hash HEX)
This etoken was not used to sign the ITL file.

 ITL Record #:4
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 65:E5:10:72:E7:F8:77:DA:F1:34:D5:E3:5A:E0:17:41
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 00 44 54 42 B4 8B 26 24 F3 64 3E 57 8D 0E 5F B0 8B 79 3B BF
12 HASH ALGORITHM 1 null

 ITL Record #:5
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)
This etoken was used to sign the ITL file.

 ITL Record #:6
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)

 ITL Record #:7
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1031
2 DNSNAME 9 ao115sub
3 SUBJECTNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 53:CC:1D:87:BA:6A:28:BD:DA:22:B2:49:56:8B:51:6C
7 PUBLICKEY 97
8 SIGNATURE 103
9 CERTIFICATE 651 E0 CF 8A B3 4F 79 CE 93 03 72 C3 7A 3F CF AE C3 3E DE 64 C5 (SHA1 Hash HEX)

The ITL file was verified successfully.

Une fois l'entrée CAPF confirmée comme entrée dans l'ITL, vous pouvez effectuer une opération de certificat sur un téléphone. Dans cet exemple, un certificat RSA de 2 048 bits est installé à l'aide de l'authentification Null String.

Sur le téléphone, vérifiez qu'un LSC n'est pas encore installé, comme le montre l'image. Par exemple, sur un téléphone de la gamme 79XX, accédez à Paramètres > 4 - Configuration de la sécurité > 4 - LSC.

Ouvrez la page de configuration du téléphone de votre téléphone. Accédez à Cisco Unified CM Administration > Device > Phone.

Entrez ces détails dans la section Informations CAPF de la configuration du téléphone, comme indiqué sur l'image :

• Pour l'opération de certificat, sélectionnez Installer/Mettre à niveau
• Pour le mode d'authentification, sélectionnez Par chaîne nulle
• Pour cet exemple, conservez les valeurs par défaut du système Key Order, RSA Key Size (Bits) et EC Key Size (Bits).
• Pour Opération terminée par, saisissez une date et une heure au moins dans le futur.

Enregistrez vos modifications de configuration, puis Appliquer la configuration.

L'état LSC sur le téléphone devient En attente comme l'illustre l'image.

Le téléphone génère des clés comme indiqué dans l'image.

Le téléphone se réinitialise et, une fois la réinitialisation terminée, l'état LSC du téléphone passe à Installé comme indiqué dans l'image.

Ceci est également visible sous Messages d'état dans le téléphone, comme l'illustre l'image.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Afin de vérifier l'installation du certificat LSC sur plusieurs téléphones, référez-vous à la section Générer le rapport CAPF du Guide de sécurité pour Cisco Unified Communications Manager, version 11.0(1). Vous pouvez également afficher les mêmes données dans l'interface Web Administration de CUCM à l'aide de la procédure Find Phones by LSC Status ou Authentication String.

Afin d'obtenir des copies des certificats LSC installés dans les téléphones, référez-vous à l'article Comment récupérer les certificats des téléphones IP Cisco.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Aucun serveur CAPF valide

L'installation du LSC échoue. Les messages d'état du téléphone indiquent Aucun serveur CAPF valide. Cela indique qu'il n'y a aucune entrée CAPF dans le fichier ITL. Vérifiez que le service CAPF a été activé, puis redémarrez le service TFTP. Vérifiez que le fichier ITL contient un certificat CAPF après le redémarrage, réinitialisez le téléphone pour récupérer le dernier fichier ITL, puis recommencez l'opération de certificat. Si l'entrée du serveur CAPF dans le menu des paramètres de sécurité du téléphone s'affiche sous forme de nom d'hôte ou de nom de domaine complet, vérifiez que le téléphone est en mesure de résoudre l'entrée en adresse IP.

LSC : Échec de la connexion

L'installation du LSC échoue. Les messages d'état du téléphone affichent LSC : Échec de la connexion. Ceci peut indiquer l'une de ces conditions :

• Incompatibilité entre le certificat CAPF dans le fichier ITL et le certificat actuel, le service CAPF est en cours d'utilisation.
• Le service CAPF est arrêté ou désactivé.
• Le téléphone ne peut pas accéder au service CAPF sur le réseau.

Vérifiez que le service CAPF est activé, redémarrez le service CAPF, redémarrez les services TFTP dans toute la grappe, réinitialisez le téléphone pour récupérer le dernier fichier ITL, puis recommencez l'opération de certificat. Si le problème persiste, prenez une capture de paquets à partir du téléphone et du serveur de publication CUCM, et analysez-le afin de voir s'il y a une communication bidirectionnelle sur le port 3804, le port de service CAPF par défaut. Si ce n'est pas le cas, un problème de réseau peut survenir.

LSC : Échec

L'installation du LSC échoue. Les messages d'état du téléphone affichent LSC : Échec. La page Web Configuration du téléphone affiche État de l'opération de certificat : Échec de la mise à niveau : Délai/Délai d'attente de la demande initié par l'utilisateur. Cela indique que l'opération se termine par le temps et la date ont expiré ou sont dans le passé. Saisissez une date et une heure au moins dans le futur, puis recommencez l'opération de certificat.

LSC : Opération en attente

L'installation du LSC échoue. Les messages d'état du téléphone affichent LSC : Échec de la connexion. La page Configuration du téléphone affiche État de l'opération de certificat : Opération en attente. Il y a différentes raisons pour lesquelles on peut voir le statut d'opération de certificat : Statut Opération en attente. Certaines peuvent inclure :

• L'ITL sur le téléphone est différent de celui actuellement utilisé sur les serveurs TFTP configurés.
• Problèmes avec les ITL corrompus. Lorsque cela se produit, les périphériques perdent leur état de confiance et la commande utils itl reset localkey devra être exécutée à partir du serveur de publication CUCM pour forcer les téléphones à utiliser maintenant le certificat ITLRecovery. Si le cluster est en mode mixte, vous devez utiliser la commande utils ctl reset localkey. Vous trouverez ci-dessous un exemple de ce que l'on peut voir en essayant d'afficher un RIT corrompu à partir de l'interface de ligne de commande de CUCM. Si l'erreur ci-dessous se produit lorsque vous essayez d'afficher l'ITL et d'exécuter la commande utils itl reset localkey mais que vous voyez la deuxième erreur, il peut s'agir d'un défaut CSCus33755. Confirmez si la version du CUCM est affectée.

• Les téléphones ne parviennent pas à authentifier le nouveau LSC en raison d'une défaillance de TVS.
• Le téléphone utilise le certificat MIC mais la section Informations CAPF (Certificate Authority Proxy Function) de la page de configuration des téléphones a le mode d'authentification défini sur « par certificat existant (Precendance to LSC)« .
• Le téléphone ne peut pas résoudre le nom de domaine complet de CUCM.

Pour le dernier scénario ci-dessus, j'ai configuré un environnement de travaux pratiques pour simuler ce que nous verrions dans les journaux si un téléphone n'était pas en mesure de résoudre le nom de domaine complet de CUCM. Mon TP est actuellement configuré avec les serveurs suivants :

• Éditeur et abonné CUCM version 11.5.1.15038-2
• Installation de Windows 2016 Server en tant que serveur DNS

Pour le test, aucune entrée DNS n'est configurée pour le serveur CUCM PUB11.

Tentative d'envoi d'un LSC à l'un des téléphones (8845) des travaux pratiques. Voir ci-dessous qu'il affiche toujours l'état de l'opération de certification : Opération en attente.

Dans les journaux de la console du téléphone, reportez-vous à la section Tentatives du téléphone d'interroger sa connexion locale (127.0.0.1), avant de transférer la requête à l'adresse de serveur DNS configurée.

0475 INF Mar 12 15:07:53.686410 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0476 INF Mar 12 15:07:53.686450 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0477 INF Mar 12 15:07:53.694909 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
0478 INF Mar 12 15:07:53.695263 dnsmasq[12864]: reply PUB11.brianw2.lab is NXDOMAIN-IPv4
0479 INF Mar 12 15:07:53.695833 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
0480 INF Mar 12 15:07:53.695865 dnsmasq[12864]: cached PUB11.brianw2.lab is NXDOMAIN-IPv4
0481 WRN Mar 12 15:07:53.697091 (12905:13036) JAVA-configmgr MQThread|NetUtil.traceIPv4DNSErrors:? - DNS unknown IPv4 host PUB11.brianw2.lab

++ However, we see that the phone is not able to resolve the FQDN of the CUCM Publisher. This is because we need to configure the DNS entry for PUB11 on our DNS server.

0482 ERR Mar 12 15:07:53.697267 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Failed to resolve Tvs Ipv4 Address with hostname PUB11.brianw2.lab

++ Afterwards, we see the CAPF operation fail. This is expected because we do not have a DNS mapping for PUB11. 

0632 NOT Mar 12 15:07:55.760715 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty:? - CertificateProperty.setCertificate() authMode=CAPF_AUTH_MODE_NULL_STR authorizationString=null theReason=CAPF_REASON_AUTO
0633 NOT Mar 12 15:07:55.761649 (322:17812) SECUREAPP-RCAPF_START_MODE: Start CAPF - mode:[1]([NULL_STR]), reason:[1]([AUTO]) no auth-str
0634 NOT Mar 12 15:07:55.761749 (322:17812) SECUREAPP-CAPF_CLNT_INIT:CAPF clnt initialized
0635 NOT Mar 12 15:07:55.761808 (322:17812) SECUREAPP-CAPFClnt: SetDelayTimer - set with value <0>
0636 ERR Mar 12 15:07:55.761903 (322:17812) SECUREAPP-Sec create BIO - invalid parameter.
0637 ERR Mar 12 15:07:55.761984 (322:17812) SECUREAPP-SEC_CAPF_BIO_F: CAPF create bio failed
0638 ERR Mar 12 15:07:55.762040 (322:17812) SECUREAPP-SEC_CAPF_OP_F: CAPF operation failed, ret -7
0639 CRT Mar 12 15:07:55.863826 (12905:13036) JAVA-configmgr MQThread|cip.sec.CertificateProperty$1:? - LSC: Connection failed

++ What we would expect to see is something similar to the following where DNS replies with the IP address that is associated with the FQDN of CUCM. After configuring a AAAA record in DNS for PUB11, we now see the below result in the console logs.

4288 INF Mar 12 16:34:06.162666 dnsmasq[12864]: query[A] PUB11.brianw2.lab from 127.0.0.1
4289 INF Mar 12 16:34:06.162826 dnsmasq[12864]: forwarded PUB11.brianw2.lab to X.X.X.X
4290 INF Mar 12 16:34:06.164908 dnsmasq[12864]: reply PUB11.brianw2.lab is X.X.X.X
4291 NOT Mar 12 16:34:06.165024 (12905:13036) JAVA-configmgr MQThread|cip.sec.TvsProperty:? - Resolve Tvs Ipv4 Address to X.X.X.X from hostname PUB11.brianw2.lab

Reportez-vous à la section des messages d'état du téléphone ci-dessous pour savoir si le téléphone ne peut pas résoudre PUB11.brianw2.lab. Voir ensuite le LSC : Message d'échec de connexion.

Défauts à prendre en compte :

CSCub62243 - L'installation de LSC échoue de manière intermittente et gèle ensuite le serveur CAPF

Défaut d'amélioration à prendre en compte :

CSCuz18034 - Rapports nécessaires pour les terminaux LSC installés et état d'expiration

Informations connexes

Ces documents fournissent plus d'informations sur l'utilisation des LSC dans le contexte de l'authentification client VPN AnyConnect et de l'authentification 802.1X.

• Téléphone VPN AnyConnect - Dépannage des téléphones IP, ASA et CUCM
• Services réseau basés sur l'identité : Guide de déploiement et de configuration de la téléphonie IP dans les réseaux compatibles IEEE 802.1X

Il existe également un type avancé de configuration LSC, dans lequel les certificats LSC sont signés directement par une autorité de certification tierce et non par le certificat CAPF.

Pour plus d'informations, consultez l'exemple de configuration de génération et d'importation de LSC signées par une autorité de certification tierce CUCM

• Support et documentation techniques - Cisco Systems