このドキュメントでは、セキュア ソケット レイヤ(SSL)経由で Communications Manager Express(CME)への IP 電話の登録を行う方法について説明します。
セキュリティ証明書、パケット キャプチャ ツール、および Communications Manager Express の基本的な知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
インターネット上の IP 電話と社内ネットワーク内の CME の間の SSL VPN をセットアップする方法は 2 つあります。
どちらのシナリオの場合も、インターネット上の IP 電話と CME の間の SSL VPN を確立するために同じ手順を行います。
CME が IP 電話にハッシュをプッシュしたことを確認するには、安全な電話に対して生成された設定ファイルを確認します。 この手順を簡略化するために、電話ごとに設定ファイルを生成してそれをフラッシュに保存するよう CME を設定できます。
R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:
新しい設定が確実に生成されるようにするために、設定ファイルを再作成することをお勧めします。
R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files
フラッシュの対応する設定ファイルが表示された後(vpn-group が設定された ephone)、ファイル コンテンツの末尾付近に次のように表示されます。
<vpnGroup> <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>
certHash1 値は、証明書のハッシュです。 IP 電話が TLS セットアップ時に VPN ヘッドエンドから証明書を受信する際、証明書のハッシュが保存されたハッシュ値と同じである必要があります。 IP 電話が「Bad Certificate」エラーをスローする場合は、ハッシュ値が一致していない可能性があります。
確認するには、次の手順に従って、IP 電話と VPN ヘッドエンドの間で収集されたパケット キャプチャからハッシュ値を抽出します。