Configurer l'inscription et le renouvellement automatiques des certificats via l'autorité de certification en ligne CAPF

Options de téléchargement

  • PDF     (1.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.7 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 juillet 2021
ID du document:214501

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'inscription et le renouvellement automatiques des certificats via la fonctionnalité en ligne CAPF (Certificate Authority Proxy Function) pour Cisco Unified Communications Manager (CUCM).

    Contribution de Michael Mendoza, ingénieur TAC Cisco.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Solutions Cisco Unified Communications Manager
    • Certificats X.509
    • Serveur Windows
    • Windows Active Directory (AD)
    • Services d'informations Internet Windows (IIS)
    • Authentification NT (New Technology) LAN Manager (NTLM)

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • CUCM version 12.5.1.10000-22
    • Windows Server 2012 R2
    • Téléphone IP CP-8865 / Microprogramme : SIP 12-1-1SR1-4 et 12-5-1SR2.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

     Ce document couvre la configuration de la fonctionnalité et les ressources associées pour des recherches supplémentaires.

    Valider l'heure et la date du serveur

    Assurez-vous que la date, l'heure et le fuseau horaire du serveur Windows sont correctement configurés car ils affectent les durées de validité du certificat de l'autorité de certification racine du serveur ainsi que les certificats émis par celui-ci.

    Mettre à jour le nom de l'ordinateur du serveur

    Par défaut, le nom d'ordinateur du serveur a un nom aléatoire tel que WIN-730K65R6BSK. Avant d'activer les services de domaine AD, vous devez d'abord vous assurer de mettre à jour le nom d'ordinateur du serveur en fonction du nom d'hôte et du nom d'émetteur de l'autorité de certification racine du serveur avant la fin de l'installation ; sinon, il faut beaucoup d'étapes supplémentaires pour changer cela après l'installation des services AD.

    • Accédez à Serveur local, sélectionnez le nom de l'ordinateur pour ouvrir les propriétés système
    • Sélectionnez le bouton Modifier et saisissez le nouveau nom d'ordinateur :

    • Redémarrer le serveur pour que les modifications soient appliquées

    Configuration

    Services AD, utilisateur et modèle de certificat

    Activer et configurer les services Active Directory

    • Dans le Gestionnaire de serveur, sélectionnez l'option Ajouter des rôles et des fonctionnalités, sélectionnez Installation basée sur les rôles ou sur les fonctionnalités et choisissez le serveur dans le pool (il ne doit y en avoir qu'un dans le pool), puis Services de domaine Active Directory :

    • Continuer à sélectionner le bouton Suivant, puis Installer
    • Sélectionnez le bouton Fermer une fois l'installation terminée.
    • Un onglet d'avertissement apparaît sous Gestionnaire de serveur > AD DS avec le titre Configuration requise pour les services de domaine Active Directory ; Sélectionnez d'autres liens, puis l'action disponible pour démarrer l'Assistant de configuration :

    • Suivez les instructions de l'assistant de configuration du domaine, ajoutez une nouvelle forêt avec le nom de domaine racine souhaité (utilisé par michamen.com pour ces travaux pratiques) et décochez la case DNS lorsque disponible, définissez le mot de passe DSRM (utilisé C1sc0123 ! pour ces travaux pratiques) :

    • Vous devez spécifier un nom de domaine NetBIOS (utilisé par MICHAMEN1 dans ces travaux pratiques).
    • Suivez l'assistant pour terminer. Le serveur redémarre ensuite pour terminer l'installation.
    • Vous devez ensuite spécifier le nouveau nom de domaine lors de votre prochaine connexion. Par exemple, MICHAMEN1\Administrator.

    Activer et configurer les services de certificats

    • Dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités
    • Sélectionnez Services de certificats Active Directory et suivez les instructions pour ajouter les fonctionnalités requises (toutes les fonctionnalités disponibles ont été sélectionnées dans les services de rôle activés pour ces travaux pratiques).
    • Pour les services de rôle, vérifiez l'inscription Web de l'autorité de certification

    • Un onglet d'avertissement doit apparaître sous Gestionnaire de serveur >AD DS avec le titre Configuration requise pour les services de certificats Active Directory ; Sélectionnez le lien more, puis l'action disponible :

    • Dans l'Assistant Configuration de post-installation AD-CS, procédez comme suit : 
    • Sélectionnez les rôles d'inscription Web de l'autorité de certification et de l'autorité de certification
    • Choisissez Entreprise CA avec les options suivantes :
    • CA racine
    • Créer une clé privée
    • Utiliser la clé privée - SHA1 avec les paramètres par défaut
    • Définir un nom commun pour l'autorité de certification (doit correspondre au nom d'hôte du serveur) :

    • Définir la validité pour 5 ans (ou plus si vous le souhaitez)
    • Sélectionnez le bouton Suivant dans le reste de l'Assistant

    Création de modèle de certificat pour CiscoRA

    • Ouvrez MMC. Sélectionnez le logo de démarrage de Windows et tapez mmc dans Exécuter
    • Ouvrez une fenêtre MMC et ajoutez les composants logiciels enfichables suivants (Utilisés à différents points de la configuration), puis sélectionnez OK :

    • Sélectionnez Fichier > Enregistrer et enregistrez cette session de console sur le bureau pour un accès rapide
    • Dans les composants logiciels enfichables, sélectionnez Modèles de certificat
    • Créer ou cloner un modèle (de préférence le modèle "Autorité de certification racine" si disponible) et le nommer CiscoRA

    • Modifiez le modèle. Cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés
    • Sélectionnez l'onglet Général et définissez la période de validité sur 20 ans (ou toute autre valeur si vous le souhaitez). Dans cet onglet, vérifiez que les valeurs « nom d'affichage » et « nom » du modèle correspondent

    • Sélectionnez l'onglet Extensions, mettez en surbrillance Stratégies d'application, puis sélectionnez Modifier

    • Supprimer les stratégies affichées dans la fenêtre qui s'affiche
    • Sélectionnez l'onglet Nom du sujet et sélectionnez la case d'option Approvisionnement dans demande.
    • Sélectionnez l'onglet Sécurité et accordez toutes les autorisations pour tous les groupes/noms d'utilisateurs affichés

    Rendre le modèle de certificat disponible pour émettre

    • Dans les composants logiciels enfichables MMC, sélectionnez Autorité de certification et développez l'arborescence des dossiers afin de localiser le dossier Modèles de certificats
    • Cliquez avec le bouton droit de la souris dans l'espace blanc du cadre qui contient Nom et Fonction prévue
    • Sélectionnez Nouveau et Modèle de certificat à émettre
    • Sélectionner le modèle CiscoRA récemment créé et modifié

    Création de compte CiscoRA Active Directory

    • Accédez aux composants logiciels enfichables MMC et sélectionnez Utilisateurs et ordinateurs Active Directory
    • Sélectionnez le dossier Utilisateurs dans l'arborescence du volet le plus à gauche
    • Cliquez avec le bouton droit de la souris dans l'espace blanc du cadre qui contient Nom, Type et Description
    • Sélectionnez Nouveau et Utilisateur
    • Créez le compte CiscoRA avec le nom d'utilisateur/mot de passe (ciscora/Cisco123 a été utilisé pour ces travaux pratiques) et cochez la case Mot de passe n'expire jamais lorsqu'elle est affichée

    IIS Configuration de l'authentification et de la liaison SSL

    Activer NTLM Authentification

    • Accédez aux composants logiciels enfichables MMC et, sous le composant logiciel enfichable Gestionnaire des services Internet (IIS), sélectionnez le nom de votre serveur
    • La liste des fonctionnalités s'affiche dans la trame suivante. Double-cliquez sur l'icône Authentification

    • Mettez en surbrillance Authentification Windows et, dans le cadre Actions (volet de droite), sélectionnez l'option Activer.

    • Le volet Actions affiche l'option Paramètres avancés ; sélectionnez-le et décochez Activer l'authentification en mode noyau

    • Sélectionnez Fournisseurs et mettez en ordre NTML, Négocier et éventuellement Négocier : Kerberos

    Générer le certificat d'identité pour le serveur Web

    Si ce n'est pas déjà le cas, vous devez générer un certificat et un certificat d'identité pour votre service Web qui est signé par l'autorité de certification, car CiscoRA ne peut pas s'y connecter si le certificat du serveur Web est auto-signé :

    • Sélectionnez votre serveur Web dans le composant logiciel enfichable IIS et double-cliquez sur l'icône de fonction Certificats serveur :

    • Par défaut, vous pouvez voir un certificat répertorié dans cette liste ; qui est le certificat d'autorité de certification racine auto-signé ; Dans le menu Actions, sélectionnez l'option Créer un certificat de domaine. Entrez les valeurs dans l'assistant de configuration afin de créer votre nouveau certificat. Assurez-vous que le nom commun est un nom de domaine complet résolvable (FQDN), puis sélectionnez Suivant :

    • Sélectionnez le certificat de votre autorité de certification racine pour être l'émetteur et sélectionnez Terminer :

    • Vous pouvez voir à la fois le certificat CA et le certificat d'identité de votre serveur Web répertoriés :

    Liaison SSL du serveur Web

    • Sélectionnez un site dans l'arborescence (vous pouvez utiliser le site Web par défaut ou le rendre plus précis à des sites spécifiques) et sélectionnez Liaisons dans le volet Actions. Ceci affiche l'éditeur de liaisons qui vous permet de créer, modifier et supprimer des liaisons pour votre site Web. Sélectionnez Add afin d'ajouter votre nouvelle liaison SSL au site.

    • Les paramètres par défaut d'une nouvelle liaison sont définis sur HTTP sur le port 80. Sélectionnez https dans la liste déroulante Type. Sélectionnez le certificat auto-signé que vous avez créé dans la section précédente dans la liste déroulante Certificat SSL, puis sélectionnez OK.

    • Vous avez maintenant une nouvelle liaison SSL sur votre site et tout ce qui reste est de vérifier qu'elle fonctionne en sélectionnant l'option Parcourir *:443 (https) dans le menu et de s'assurer que la page Web IIS par défaut utilise HTTPS :

    • N'oubliez pas de redémarrer le service IIS après les modifications de configuration. Utilisez l'option Redémarrer du volet Actions.

    Configuration CUCM

    • Accédez à Sécurité > Gestion des certificats à partir de la page Administration du système d'exploitation et sélectionnez le bouton Télécharger le certificat/la chaîne de certificats afin de télécharger le certificat de l'autorité de certification avec l'objectif défini sur CAPF-trust.

    ... À ce stade, il est également recommandé de télécharger le même certificat d'autorité de certification que CallManager-trust car il est nécessaire si le chiffrement de signalisation sécurisée est activé (ou sera activé) pour les terminaux ; qui est probable si le cluster est en mode mixte.

    • Accédez à System > Service Parameters. Sélectionnez le serveur de publication Unified CM dans le champ Serveur et la fonction proxy d'autorité de certification Cisco dans le champ Service.
    • Définissez la valeur de l'émetteur de certificat sur Terminer sur CA en ligne et entrez les valeurs des champs Paramètres de CA en ligne. Assurez-vous d'utiliser le nom de domaine complet du serveur Web, le nom du modèle de certificat créé précédemment (CiscoRA), le type d'autorité de certification en tant qu'autorité de certification Microsoft et d'utiliser les informations d'identification du compte d'utilisateur CiscoRA créé précédemment

    • Une fenêtre contextuelle vous informe que le service CAPF doit être redémarré. Mais d'abord, activez le service d'inscription de certificats Cisco via Cisco Unified Serviceability > Tools > Service Activation, sélectionnez le serveur de publication dans le champ Server et cochez la case Service d'inscription de certificats Cisco, puis cliquez sur le bouton Enregistrer :

    Vérification

    Vérifier les certificats IIS

    • À partir d'un navigateur Web d'un PC connecté au serveur (de préférence dans le même réseau que le serveur de publication CUCM), accédez à l'URL suivante :

    https://YOUR_SERVER_FQDN/certsrv/

    • Une alerte de certificat non approuvé s'affiche. Ajoutez l'exception et vérifiez le certificat. Assurez-vous qu'il correspond au FQDN attendu :

    • Après avoir accepté l'exception, vous devez vous authentifier ; à ce stade, vous devez utiliser les informations d'identification configurées pour le compte CiscoRA précédemment :

    • Après l'authentification, vous devez voir la page d'accueil AD CS (Active Directory Certificate Services) :

    Vérifier la configuration de CUCM

    Suivez les étapes normales pour installer un certificat LSC sur l'un des téléphones.

    Étape 1. Ouvrez la page CallManager Administration, Device, puis Phone

    Étape 2. Cliquez sur le bouton Rechercher pour afficher les téléphones

    Étape 3. Sélectionnez le téléphone sur lequel vous souhaitez installer le LSC

    Étape 4. Faites défiler jusqu'aux informations CAPF (Certification Authority Proxy Function)

    Étape 5. Sélectionnez Installer/Mettre à niveau dans l'opération de certificat.

    Étape 6. Sélectionnez le mode d'authentification. (Par chaîne nulle est correcte à des fins de test)

    Étape 7. Faites défiler la page jusqu'en haut et sélectionnez Enregistrer, puis Appliquer la configuration pour le téléphone.

    Étape 8. Après le redémarrage et l'enregistrement du téléphone, utilisez le filtre d'état LSC pour confirmer que le LSC a été correctement installé.

    • Du côté du serveur AD, ouvrez MMC et développez le composant logiciel enfichable Autorité de certification pour sélectionner le dossier Certificats émis
    • L'entrée du téléphone s'affiche Dans la vue récapitulative, voici quelques-uns des détails affichés :
      • ID de la demande : Numéro de séquence unique
      • Nom du demandeur : Le nom d'utilisateur du compte CiscoRA configuré doit être affiché
      • Modèle de certificat : Le nom du modèle CiscoRA créé doit être affiché
      • Nom commun émis : Le modèle du téléphone ajouté par le nom du périphérique doit être affiché
      • Date d'entrée en vigueur du certificat et date d'expiration du certificat

    Liens connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    05-Jun-2019
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Michael Mendoza
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits