Configurer l'inscription et le renouvellement automatiques des certificats via CAPF Online CA

Options de téléchargement

  • PDF     (2.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.8 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 juin 2023
ID du document:214501

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'inscription et le renouvellement automatiques des certificats via la fonctionnalité CAPF Online pour Cisco Unified Communications Manager (CUCM).

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Solutions Cisco Unified Communications Manager
    • Certificats X.509
    • Windows Server
    • Windows Active Directory (AD)
    • Services Internet (IIS) Windows
    • Authentification NT (nouvelle technologie) LAN Manager (NTLM)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • CUCM version 12.5.1.10000-22
    • Windows Server 2012 R2
    • Téléphone IP CP-8865 / Microprogramme : SIP 12-1-1SR1-4 et 12-5-1SR2.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Ce document couvre la configuration de la fonctionnalité et les ressources associées pour des recherches supplémentaires.

    Valider la date et l'heure du serveur

    Assurez-vous que le serveur Windows dispose de la date, de l'heure et du fuseau horaire corrects, car ils affectent les durées de validité du certificat de l'autorité de certification racine du serveur (Certificate Authority) ainsi que les certificats qu'il a émis.

    Mettre à jour le nom du serveur

    Par défaut, le nom de l'ordinateur serveur a un nom aléatoire tel que WIN-730K65R6BSK. La première chose à faire avant d'activer les services de domaine Active Directory est de s'assurer de mettre à jour le nom de l'ordinateur serveur avec ce que vous voulez que le nom d'hôte du serveur et le nom de l'émetteur de l'autorité de certification racine soient avant la fin de l'installation ; sinon, il faut beaucoup d'étapes supplémentaires pour changer cela après l'installation des services AD.

    • Accédez à Local Server, sélectionnez le nom de l'ordinateur pour ouvrir les Propriétés système
    • Cliquez sur le bouton Modifier et saisissez le nouveau nom de l'ordinateur :

    1_rename_server

    • Redémarrez le serveur pour appliquer les modifications

    Configurer

    Services AD, utilisateur et modèle de certificat

    Activer et configurer les services Active Directory

    • Dans le Gestionnaire de serveur, sélectionnez l'option Ajouter des rôles et des fonctionnalités, sélectionnez Installation basée sur les rôles ou sur les fonctionnalités et choisissez le serveur dans le pool (il ne doit y en avoir qu'un seul), puis Services de domaine Active Directory :

    2_ad_ds_enable

    • Cliquez sur le bouton Suivant, puis sur Installer
    • Cliquez sur le bouton Fermer une fois l'installation terminée
    • Un onglet d'avertissement apparaît sous Gestionnaire de serveur > AD DS avec le titre Configuration requise pour les services de domaine Active Directory ; Sélectionnez un lien supplémentaire, puis l'action disponible pour démarrer l'assistant de configuration :

    3_ad_ds_install_1

    • Complétez les invites de l'assistant de configuration de domaine, ajoutez une nouvelle forêt avec le nom de domaine racine souhaité et décochez la case DNS lorsque disponible, définissez le mot de passe DSRM.

    4_ad_ds_install_2

    5a_ad_ds_install_3

    • Vous devez spécifier un nom de domaine NetBIOS (MICHAMEN1 utilisé dans ces travaux pratiques).
    • Terminez l'Assistant. Le serveur redémarre ensuite pour terminer l'installation.
    • Vous devez ensuite spécifier le nouveau nom de domaine lors de votre prochaine connexion. Par exemple, MICHAMEN1\Administrator.

    5b_ad_ds_install_4

    Activer et configurer les services de certificats

    • Dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités
    • Sélectionnez les services de certificats Active Directory et ajoutez les fonctionnalités requises (toutes les fonctionnalités disponibles ont été sélectionnées dans les services de rôle activés pour ces travaux pratiques)
    • Pour les services de rôle, vérifiez l'inscription Web Autorité de certification

    enable_cs_1

    enable_cs_2

    • Un onglet d'avertissement doit apparaître sous Gestionnaire de serveur > AD DS avec le titre Configuration requise pour les services de certificats Active Directory ; Sélectionnez le lien Autres, puis l'action disponible :

    enable_cs_3

    • Dans l'assistant Post Install Configuration d'AD-CS, parcourez les étapes suivantes : 
    • Sélectionnez les rôles d'inscription Web Autorité de certification et Autorité de certification
    • Choisissez Enterprise CA avec les options suivantes :
    • Autorité de certification racine
    • Créer une nouvelle clé privée
    • Utiliser la clé privée - SHA1 avec les paramètres par défaut
    • Définissez un nom commun pour l'autorité de certification (doit correspondre au nom d'hôte du serveur) :

    enable_cs_4

    • Définir la validité pour 5 ans (ou plus si vous le souhaitez)
    • Sélectionnez le bouton Suivant dans le reste de l'assistant

    Création d'un modèle de certificat pour CiscoRA

    • Ouvrez MMC. Sélectionnez le logo de démarrage de Windows et tapez mmc dans Exécuter
    • Ouvrez une fenêtre MMC et ajoutez les composants logiciels enfichables (utilisés à différents points de la configuration), puis sélectionnez OK :

    6_template_1

    6_template_2

    • Sélectionnez Fichier > Enregistrer et enregistrez cette session de console sur le Bureau pour un accès rapide
    • Dans les composants logiciels enfichables, sélectionnez Modèles de certificat
    • Créez ou clonez un modèle (de préférence le modèle « Autorité de certification racine » si disponible) et nommez-le CiscoRA

    6_template_3

    • Modifiez le modèle. Cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés
    • Sélectionnez l'onglet Général et définissez la période de validité sur 20 ans (ou une autre valeur si vous le souhaitez). Dans cet onglet, assurez-vous que les valeurs « display name » et « name » du modèle correspondent

    6_template_8

    • Sélectionnez l'onglet Extensions, mettez en surbrillance Stratégies d'application, puis sélectionnez Modifier

    6_template_4

    • Supprimez toutes les stratégies affichées dans la fenêtre qui s'affiche
    • Sélectionnez l'onglet Nom de l'objet, puis la case d'option Fournir dans la demande
    • Sélectionnez l'onglet Sécurité et accordez des autorisations en fonction de vos besoins en termes de noms de groupes/d'utilisateurs.

    Remarque : Dans cet exemple, des autorisations complètes ont été accordées à tous les niveaux pour plus de simplicité, mais cela a des implications en matière de sécurité. Dans un environnement de production, les autorisations d'écriture et d'inscription ne doivent être accordées qu'aux utilisateurs et aux groupes qui en ont besoin. Pour plus d'informations, reportez-vous à la documentation Microsoft.

    6_template_5

    Rendre le modèle de certificat disponible pour l'émission

    • Dans les composants logiciels enfichables MMC, sélectionnez Autorité de certification et développez l'arborescence des dossiers afin de localiser le dossier Modèles de certificats
    • Cliquez avec le bouton droit de la souris dans l'espace blanc du cadre contenant le nom et l'objectif souhaité
    • Sélectionnez Nouveau et Modèle de certificat à émettre
    • Sélectionnez le modèle CiscoRA nouvellement créé et modifié

    6_template_6

    Création de compte CiscoRA Active Directory

    • Accédez à MMC et sélectionnez Utilisateurs et ordinateurs Active Directory
    • Sélectionnez le dossier Utilisateurs dans l'arborescence du volet le plus à gauche
    • Cliquez avec le bouton droit dans l'espace blanc du cadre contenant Nom, Type et Description
    • Sélectionnez Nouveau et Utilisateur
    • Créez le compte CiscoRA avec le nom d’utilisateur/mot de passe (ciscora/Cisco123 a été utilisé pour ces travaux pratiques) et cochez la case Le mot de passe n’expire jamais lorsqu’il s’affiche

    6_template_7

    Configuration de l'authentification IIS et de la liaison SSL

    Activer l'authentification NTLM

    • Accédez aux composants logiciels enfichables MMC et, sous le composant logiciel enfichable Gestionnaire des services Internet (IIS), sélectionnez le nom de votre serveur
    • La liste des fonctions s'affiche dans la trame suivante. Double-cliquez sur l'icône de la fonction Authentification

    web_auth_1

    • Sélectionnez Authentification Windows et, dans le cadre Actions (volet de droite), sélectionnez l'option Activer

    web_auth_2

    • Le volet Actions affiche l'option Paramètres avancés ; sélectionnez-le et décochez Activer l'authentification en mode noyau

    web_auth_3

    • Sélectionnez Fournisseurs et mettez en ordre NTML puis Négocier.

    web_auth_4

    Générer le certificat d'identité pour le serveur Web

    Si ce n'est pas déjà le cas, vous devez générer un certificat et un certificat d'identité pour votre service Web qui est signé par l'autorité de certification, car CiscoRA ne peut pas s'y connecter si le certificat du serveur Web est auto-signé :

    • Sélectionnez votre serveur Web dans le composant logiciel enfichable IIS et double-cliquez sur l'icône de la fonctionnalité Certificats de serveur :

    gen_cert_1

    • Par défaut, vous pouvez voir un certificat répertorié à cet endroit ; qui est le certificat CA racine auto-signé ; Dans le menu Actions, sélectionnez l'option Créer un certificat de domaine. Entrez les valeurs dans l'assistant de configuration afin de créer votre nouveau certificat. Assurez-vous que le nom commun est un nom de domaine complet (FQDN) résoluble, puis sélectionnez Suivant :

    gen_cert_2

    • Sélectionnez le certificat de votre autorité de certification racine comme émetteur et sélectionnez Terminer :

    gen_cert_3

    • Vous pouvez voir à la fois le certificat CA et votre certificat d'identité de serveur Web répertoriés :

    gen_cert_4

    Liaison SSL du serveur Web

    • Sélectionnez un site dans l'arborescence (vous pouvez utiliser le site Web par défaut ou le rendre plus granulaire pour des sites spécifiques) et sélectionnez Liaisons dans le volet Actions. L'éditeur de liaisons qui s'affiche vous permet de créer, de modifier et de supprimer des liaisons pour votre site Web. Sélectionnez Add afin d'ajouter votre nouvelle liaison SSL au site.

    ssl_1

    • Les paramètres par défaut d'une nouvelle liaison sont définis sur HTTP sur le port 80. Sélectionnez https dans la liste déroulante Type. Sélectionnez le certificat auto-signé que vous avez créé dans la section précédente dans la liste déroulante Certificat SSL, puis sélectionnez OK.

    ssl_2

    • Maintenant, vous avez une nouvelle liaison SSL sur votre site et tout ce qui reste est de vérifier qu'il fonctionne en sélectionnant Parcourir * : 443 (https) option du menu et assurez-vous que la page Web IIS par défaut utilise HTTPS :

    ssl_3

    ssl_4

    • N'oubliez pas de redémarrer le service IIS après les modifications de configuration. Utilisez l'option Redémarrer du volet Actions.

    Configuration CUCM

    cm_config_1

    • Accédez à Security > Certificate Management à partir de la page OS Administration et sélectionnez le bouton Upload Certificate/Certificate chain afin de télécharger le certificat CA avec l'objectif défini sur CAPF-trust.

    cm_config_2

    ... À ce stade, il est également conseillé de télécharger le même certificat CA que CallManager-trust, car il est nécessaire si le cryptage de signalisation sécurisé est activé pour les terminaux ; ce qui est probable si le cluster est en mode mixte.

    • Accédez à System > Service Parameters. Sélectionnez le serveur de publication Unified CM dans le champ Serveur et la fonction Proxy de l'autorité de certification Cisco dans le champ Service
    • Définissez la valeur de Certificate Issuer sur Endpoint sur Online CA et saisissez les valeurs des champs Online CA Parameters. Veillez à utiliser le nom de domaine complet du serveur Web, le nom du modèle de certificat créé précédemment (CiscoRA), le type d'autorité de certification en tant qu'autorité de certification Microsoft et utilisez les informations d'identification du compte utilisateur CiscoRA créé précédemment

    cm_config_3

    • Une fenêtre contextuelle vous informe que le service CAPF doit être redémarré. Mais tout d'abord, activez le service d'inscription de certificats Cisco via Cisco Unified Serviceability > Tools > Service Activation, sélectionnez l'éditeur dans le champ du serveur et cochez la case Cisco Certificate Enrollment Service, puis cliquez sur le bouton Save :

    cm_config_4

    Vérifier

    Vérifier les certificats IIS

    • À partir d'un navigateur Web sur un PC connecté au serveur (de préférence sur le même réseau que le serveur de publication CUCM), accédez à l'URL suivante : 

    https://YOUR_SERVER_FQDN/certsrv/

    • L'alerte Certificat non approuvé s'affiche. Ajoutez l'exception et vérifiez le certificat. Vérifiez qu'il correspond au nom de domaine complet attendu :

    verify_1

    • Après avoir accepté l'exception, vous devez vous authentifier ; à ce stade, vous devez utiliser les informations d'identification configurées pour le compte CiscoRA précédemment :

    verify_2

    • Après l'authentification, vous devez pouvoir afficher la page d'accueil AD CS (Active Directory Certificate Services) :

    verify_3

    Vérification de la configuration CUCM

    Suivez les étapes ci-dessous pour installer un certificat LSC sur l'un des téléphones.

    Étape 1. Ouvrez la page CallManager Administration, Device, puis Phone

    Étape 2. Cliquez sur le bouton Rechercher pour afficher les téléphones

    Étape 3. Sélectionnez le téléphone sur lequel vous souhaitez installer le contrôleur LSC

    Étape 4. Faites défiler la page jusqu’à Certification Authority Proxy Function (CAPF) Information

    Étape 5. Sélectionnez Installation/Mise à niveau dans l’opération de certificat.

    Étape 6. Sélectionnez le mode d’authentification. (Par chaîne Null convient pour les tests)

    Étape 7. Faites défiler la page jusqu’en haut et sélectionnez Enregistrer, puis Appliquer la configuration pour le téléphone.

    Étape 8. Après le redémarrage et le réenregistrement du téléphone, utilisez le filtre d’état LSC pour confirmer que le contrôleur LSC a été correctement installé.

    • Du côté du serveur AD, ouvrez MMC et développez le composant logiciel enfichable Autorité de certification pour sélectionner le dossier Certificats émis
    • L'entrée du téléphone s'affiche. Dans la vue récapitulative, voici quelques-uns des détails affichés :
      • ID de la demande : Numéro de séquence unique
      • Nom du demandeur : Le nom d'utilisateur du compte CiscoRA configuré doit être affiché
      • Modèle de certificat : Le nom du modèle CiscoRA créé doit être affiché
      • Nom usuel émis : Le modèle du téléphone ajouté au nom du périphérique doit être affiché
      • Date d'effet et d'expiration du certificat

    cert_issue_1

    Liens connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    08-Jun-2023
    Confirmé avec BU que kerbeos n'est pas pris en charge, donc en supprimant toute configuration suggérée associée.
    1.0
    05-Jun-2019
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Michael Mendoza
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits