CAPF(Certificate Authority Proxy Function) 설정
CAPF(Certificate Authority Proxy Function)는 LSC(Locally Significant Certificate)를 발급하고 Cisco 엔드포인트를 인증하는 Cisco 독점 서비스입니다. CAPF 서비스는 Unified Communications Manager에서 실행되며 다음 작업을 수행합니다.
-
지원되는 Cisco Unified IP Phone에 LSC를 발급합니다.
-
혼합 모드가 활성화된 경우 전화기를 인증합니다.
-
전화기에 대한 기존 LSC를 업그레이드합니다.
-
보기 및 문제해결을 위해 전화기 인증서를 검색합니다.
CAPF 실행 모드
다음 모드에서 작동하도록 CAPF를 구성할 수 있습니다.
-
CAPF(Cisco Authority Proxy Function)—Unified Communications Manager의 CAPF 서비스는 CAPF 서비스에서 자체 서명한 LSC를 발급합니다. 이것이 기본 모드입니다.
-
온라인 CA—이 옵션을 사용하여 전화기에 대한 외부 온라인 CA 서명 LSC를 확보합니다. CAPF 서비스는 자동으로 외부 CA에 연결됩니다. CSR(Certificate Signing Request)이 수동으로 제출되면 CA는 서명 후 CA 서명된 LSC를 자동으로 반환합니다.
-
오프라인 CA—오프라인 외부 CA를 사용하여 전화기의 LSC를 서명하려는 경우, 이 옵션을 사용합니다. 이 옵션을 사용하려면 LSC를 수동으로 다운로드하여 CA에 제출한 다음, CA 서명 인증서가 준비되고 나면 이를 업로드해야 합니다.
참고
타사 CA를 사용하여 LSC에 서명하려는 경우, Cisco에서는 프로세스가 자동화되고 훨씬 더 빨라져 문제가 발생할 가능성이 적기 때문에 온라인 CA를 오프라인 CA 대신 사용할 것을 권장합니다.
CAPF 서비스인증서
Unified Communications Manager가 설치되면 CAPF 서비스가 자동으로 설치되고 CAPF에 따른 시스템 인증서가 생성됩니다. 보안이 적용되면 Cisco CTL 클라이언트에서 인증서를 모든 클러스터 노드에 복사합니다.
전화기 인증서 유형
Cisco에서는 전화기에 다음과 같은 전화기 X.509v3 인증서 유형을 사용합니다.
-
LSC(Locally Significant Certificate)—CAPF(Certificate Authority Proxy Function)와 관련된 필수 구성 작업을 수행한 후 지원되는 전화기에 설치되는 인증서입니다. 인증 또는 암호화를 위한 디바이스 보안 모드를 구성하고 나면 LSC가 Unified Communications Manager와 전화기 간의 연결을 보호합니다.
참고
온라인 CA의 경우, LSC 유효성은 CA에 기반하며 CA가 허용하는 한 사용할 수 있습니다.
-
MIC(Manufacturing Installed Certificate)—Cisco Manufacturing에서 지원되는 전화기 모델에 MIC를 자동으로 설치합니다. 제조업체에서 설치한 인증서는 LSC 설치를 위해 Cisco CAPF(Certificate Authority Proxy Function)를 인증합니다. 제조업체에서 설치한 인증서를 덮어쓰기하거나 삭제할 수 없습니다.
참고 |
Cisco에서는 LSC 설치용으로만 MIC(Manufacturer Installed Certificate)를 사용할 것을 권장합니다. Cisco에서는 LSC를 지원하여 Unified Communications Manager와 TLS 연결을 인증합니다. MIC 루트 인증서의 보안이 침해될 수 있으므로, TLS 인증을 위해 MIC를 사용하기 위해 또는 다른 목적으로 전화기를 구성하는 고객은 이러한 위험을 감수해야 합니다. MIC의 보안이 침해된 경우 Cisco에서는 어떤 책임도 지지 않습니다. |
CAPF를 통한 LSC 세대
CAPF를 구성한 후에는 전화기에 구성된 인증 문자열을 추가합니다. 전화기와 CAPF 간에 키 및 인증서 교환이 발생하고 다음과 같은 상황이 발생합니다.
-
전화기에서 구성된 인증 방법을 사용하여 CAPF에 대해 자체 인증을 진행합니다.
-
전화기에서 공개-개인 키 쌍을 생성합니다.
-
전화기에서 서명된 메시지로 공개 키를 CAPF로 착신 전송합니다.
-
개인 키는 전화기에 남아 있으며 외부에 절대 공개되지 않습니다.
-
CAPF에서 전화기 인증서에 서명하고 서명된 메시지로 전화기에 인증서를 보냅니다.
참고 |
전화기 사용자가 인증서 작업을 중단하거나 전화기의 작동 상태를 볼 수 있으니, 주의하십시오. |
참고 |
우선 순위가 낮게 설정되어 있는 키 생성을 통해 작업 수행 중에도 전화기가 작동할 수 있습니다. 인증 생성 중에 전화기가 작동하더라도 추가 TLS 트래픽으로 인해 전화기에 대한 최소 통화 처리 중단이 발생할 수 있습니다. 예를 들어, 설치가 끝날 때 인증서가 플래시에 기록되면 오디오 결함이 발생할 수 있습니다. |