AnyConnect 기능을 사용하여 전화 VPN용 CUCM의 ASA 인증서 업데이트

소개

이 문서에서는 전화 서비스 중단을 방지하기 위해 AnyConnect 기능을 사용하여 VPN(Virtual Private Network)을 통한 전화에 대해 CUCM(Cisco Unified Communications Manager)에서 ASA(Adaptive Security Appliance) 인증서를 업데이트하는 올바른 프로세스에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• AnyConnect 기능이 있는 전화 VPN
• ASA 및 CUCM 인증서

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Unified Communications Manager 10.5.2.15900-8.
• Cisco Adaptive Security Appliance 소프트웨어 버전 9.8(2)20.
• Cisco IP Phone CP-8841.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

AnyConnect의 전화 VPN 기능을 사용하면 VPN 연결을 통해 전화 서비스를 제공할 수 있습니다.

전화기가 VPN에 대한 준비가 되기 전에 먼저 내부 네트워크에서 프로비저닝되어야 합니다. 이를 위해서는 CUCM TFTP(Trivial File Transfer Protocol) 서버에 직접 액세스해야 합니다.

ASA가 완전히 구성된 후 첫 번째 단계는 ASA HTTPS(Hypertext Transfer Protocol Secure) 인증서를 가져와 CUCM 서버에 Phone-VPN-trust로 업로드하고 CUCM의 올바른 VPN 게이트웨이에 할당하는 것입니다. 이렇게 하면 CUCM 서버가 전화기에 ASA에 도달하는 방법을 알려주는 IP Phone 구성 파일을 작성할 수 있습니다. 

전화기를 네트워크 외부로 이동하여 VPN 기능을 사용하려면 전화기를 네트워크 내부에서 프로비전해야 합니다. 전화기가 내부로 프로비전된 후에는 VPN 액세스를 위해 외부 네트워크로 이동할 수 있습니다. 

전화기는 HTTPS를 통해 TCP 포트 443에서 ASA에 연결됩니다. ASA는 구성된 인증서로 응답하고 제공된 인증서를 확인합니다.

VPN Phone 서비스가 중단되지 않고 ASA 인증서를 업데이트하는 방법

예를 들어 어떤 상황에서는 ASA 인증서를 변경해야 합니다.

인증서가 곧 만료됩니다.

인증서는 서명한 타사 인증서이며 CA(Certificate Authority) 변경 등입니다

AnyConnect를 통해 VPN을 통해 CUCM에 연결된 전화기의 서비스 중단을 방지하기 위해 몇 가지 단계를 수행해야 합니다.

주의: 단계를 따르지 않을 경우 외부 네트워크에 전화기를 구축하려면 먼저 내부 네트워크에서 다시 프로비저닝해야 합니다.

1단계. 새 ASA 인증서를 생성하지만 인터페이스에 아직 적용하지 않습니다.

인증서는 자체 서명 또는 CA 서명될 수 있습니다.

참고: ASA 인증서에 대한 자세한 내용은 디지털 인증서 구성을 참조하십시오

2단계. CUCM 게시자에서 해당 인증서를 Phone VPN Trust로 CUCM에 업로드합니다.

Call Manager에 로그인하고 Unified OS Administration(Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리) > Upload Certificate(인증서 업로드) > Phone-VPN-trust 선택을 선택합니다.

루트 및 중간 인증서가 이미 CUCM에 업로드된 경우, 권장사항으로서 전체 인증서 체인을 업로드합니다. 다음 단계로 이동합니다.

주의: 이전 ID 인증서와 새 ID 인증서가 동일한 CN(Common Name)을 가지고 있는 경우 새 인증서가 이전 ID를 덮어쓰지 않도록 하려면 버그 CSCuh19734에 대한 해결 방법을 따라야 합니다. 이러한 방식으로 새 인증서는 Phone VPN Gateway 컨피그레이션의 데이터베이스에 있지만 이전 인증서를 덮어쓰지 않습니다.

3단계. VPN 게이트웨이에서 두 인증서(이전 인증서 및 새 인증서)를 모두 선택합니다.

Cisco Unified CM Administration(Cisco Unified CM 관리) > Advanced Features(고급 기능) > VPN > VPN Gateway(VPN 게이트웨이)로 이동합니다.

이 Location(위치) 필드의 VPN Certificates(VPN 인증서)에 두 인증서가 모두 있는지 확인합니다.

4단계. VPN 그룹, 프로필 및 일반 전화기 프로필이 올바르게 설정되었는지 확인합니다.

5단계. 전화기를 재설정합니다.

이 단계에서는 전화기에서 새 컨피그레이션 설정을 다운로드하고 전화기에 두 인증서 해시가 모두 있는지 확인하여 이전 인증서와 새 인증서를 신뢰할 수 있게 합니다.

6단계. ASA 인터페이스에 새 인증서를 적용합니다.

ASA 인터페이스에 인증서가 적용되면 전화기는 이전 단계의 두 인증서 해시를 모두 가지고 있으므로 새 인증서를 신뢰해야 합니다.

다음을 확인합니다. 

이 섹션을 사용하여 단계를 올바르게 따랐는지 확인합니다.

1단계. 기존 및 새 ASA 인증서를 열고 SHA-1 핑거프린트를 기록해 둡니다.

2단계. VPN을 통해 연결해야 하는 전화기를 선택하고 해당 컨피그레이션 파일을 수집합니다.

참고: 전화기 컨피그레이션 파일을 수집하는 방법에 대한 자세한 내용은 CUCM에서 전화기의 컨피그레이션 파일을 가져오는 두 가지 방법을 참조하십시오

3단계. 컨피그레이션 파일이 있으면 다음 섹션을 찾습니다.

<vpnGroup>
<mtu>1290</mtu>
<failConnectTime>30</failConnectTime>
<authMethod>2</authMethod>
<pswdPersistent>0</pswdPersistent>
<autoNetDetect>1</autoNetDetect>
<enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1> https://radc.cgsinc.com/Cisco_VOIP_VPN</url1>;
</addresses>
<credentials>
<hashAlg>0</hashAlg>
vcRjqz0ivVp04BSuntrmbZAxnC8=
SEnDU8oo49agcRObtMBACXdaiTI=
</credentials>
</vpnGroup>

4단계. 컨피그레이션 파일의 해시는 Base 64 형식으로 인쇄되고 ASA 인증서는 16진수 형식으로 인쇄되므로 Base 64에서 16진으로의 디코더를 사용하여 해시된(전화기와 ASA) 둘 다 일치하는지 확인할 수 있습니다.

관련 정보

AnyConnect VPN Phone 기능에 대한 자세한 내용은

• ASA에서 인증서 인증을 사용하여 AnyConnect VPN Phone을 구성합니다.

https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/115785-anyconnect-vpn-00.html