인증서 개요
시스템은 자체 서명 인증서 및 타사 서명 인증서를 사용합니다. 인증서는 장치를 안전하게 인증하고 데이터를 암호화하고 데이터를 해싱하여 소스와 대상 간의 무결성을 보장하기 위해 시스템의 장치 간에 사용됩니다. 인증서를 사용하면 대역폭, 통신 및 작업을 안전하게 전송할 수 있습니다.
인증서의 가장 중요한 부분은 데이터를 암호화하고 대상 웹사이트, 전화 또는 FTP 서버와 같은 항목과 공유하는 방법을 숙지하고 정의하는 것입니다.
시스템이 인증서를 신뢰하는 경우 올바른 대상과 정보를 공유하는 것을 완벽하게 신뢰할 수 있도록 시스템에 인증서가 미리 설치되어 있음을 의미합니다. 그렇지 않으면, 이러한 지점 간 통신은 종료됩니다.
인증서를 신뢰하기 위해서는 타사 인증 기관(CA)과 미리 신뢰가 설정되어 있어야 합니다.
장치가 CA 및 중간 인증서를 먼저 신뢰할 수 있음을 알고 있어야 보안 소켓 레이어(SSL) 핸드셰이크라고 하는 메시지를 교환하여 제공되는 서버 인증서를 신뢰할 수 있습니다.
참고 |
Tomcat용 EC 기반 인증서가 지원됩니다. 이 새로운 인증서를 tomcat-ECDSA라고 합니다. 자세한 내용은 Cisco Unified Communications Manager의 IM and Presence Service 구성 및 관리의 IM and Presence Service 섹션에서 향상된 TLS 암호화를 참조하십시오. Tomcat 인터페이스의 EC Ciphers는 기본적으로 비활성화됩니다. Cisco Unified Communications Manager 또는 IM and Presence Service에서 HTTPS 암호 엔터프라이즈 매개 변수를 사용하여 활성화할 수 있습니다. 이 매개 변수를 변경하는 경우 모든 노드에서 Cisco Tomcat 서비스를 다시 시작해야 합니다. EC-기반 인증서에 대한 자세한 내용은 Cisco Unified Communications Manager 및 IM and Presence Service에서 릴리스 노트의 승인된 솔루션을 위한 일반 기준에 대한 ECDSA 지원을 참조하십시오. |
타사 서명 인증서 또는 인증서 체인
애플리케이션 인증서를 서명한 인증 기관의 인증 기관 루트 인증서를 업로드합니다. 하위 인증 기관이 애플리케이션 인증서를 서명한 경우 하위 인증 기관의 인증 기관 루트 인증서를 업로드해야 합니다. 모든 인증 기관 인증서의 PKCS#7 형식 인증서 체인을 업로드할 수도 있습니다.
동일한 인증서 업로드 대화 상자를 사용하여 인증 기관 루트 인증서 및 애플리케이션 인증서를 업로드할 수 있습니다. 인증 기관 루트 인증서 또는 인증 기관 인증서만 포함된 인증서 체인을 업로드할 때는 형식 인증서 type-trust인 인증서 이름을 선택합니다. 애플리케이션 인증서 또는 애플리케이션 인증서와 인증 기관 인증서를 포함하는 인증서 체인을 업로드할 때는 인증서 유형만 포함하는 인증서 이름을 선택합니다.
예를 들어, Tomcat 인증 기관 인증서 또는 인증 기관 인증서 체인을 업로드할 때는 tomcat-trust를 선택하고 Tomcat 애플리케이션 인증서 또는 애플리케이션 인증서와 인증 기관 인증서를 포함하는 인증서 체인을 업로드할 때는 tomcat 또는 tomcat ECDSA를 선택합니다.
CAPF 인증 기관 루트 인증서를 업로드할 때 CallManager-trust 저장소로 복사되므로 하지 CallManager용 인증 기관 루트 인증서를 별도로 업로드할 필요가 없습니다.
참고 |
타사 인증 기관에서 서명한 인증서를 성공적으로 업로드하면 서명된 인증서를 가져오는 데 사용된 최근에 생성된 CSR을 삭제하고 타사에서 서명한 인증서(업로드한 경우)를 포함하여 기존 인증서를 덮어씁니다. |
참고 |
시스템은 tomcat-trust, CallManager-trust 및 Phone-SAST-trust 인증서를 클러스터의 각 노드에 자동으로 복제합니다. |
참고 |
디렉터리 신뢰 인증서를 tomcat-trust에 업로드할 수 있으며, 이는 DirSync 서비스가 보안 모드에서 작동하는 데 필요합니다. |
타사 인증 기관 인증서
타사 인증 기관이 발행하는 애플리케이션 인증서를 사용하려면 인증 기관 또는 PKCS #7 인증서 체인에서 서명된 애플리케이션 인증서 및 인증 기관 루트 인증서를 모두 얻어야 합니다(구별된 인코딩 규칙 [DER]). 여기에는 애플리케이션 인증서와 인증 기관 인증서가 모두 포함됩니다. 인증 기관에서 이러한 인증서를 받는 방법에 대한 정보를 검색합니다. 프로세스는 인증 기관마다 다릅니다. 서명 알고리즘은 RSA 암호화를 사용해야 합니다.
Cisco Unified Communications 운영 체제는 프라이버시 향상 메일(PEM) 인코딩 형식으로 CSR을 생성합니다. 시스템은 DER 및 PEM 인코딩 형식의 인증서와 PEM 형식의 PKCS #7 인증서 체인을 사용할 수 있습니다. CAPF(인증 기관 프록시 기능)를 제외한 모든 인증서 유형의 경우 인증 기관 루트 인증서와 애플리케이션 인증서를 받아 각 노드에 업로드해야 합니다.
CAPF의 경우 인증 기관 루트 인증서와 애플리케이션 인증서를 받아 첫 번째 노드에만 업로드합니다. CAPF 및 Unified Communications ManagerCSR은 인증 기관으로부터 애플리케이션 인증서 요청 시 포함해야 하는 확장을 포함합니다. 인증 기관이 ExtensionRequest 메커니즘을 지원하지 않을 경우 다음과 같이 X.509 확장을 활성화해야 합니다.
-
CAPF CSR은 다음 확장을 사용합니다.
X509v3 확장 키 사용: TLS, 웹 서버 인증 X509v3 키 사용: 디지털 서명, 인증서 서명
-
Tomcat 및 Tomcat-ECDSA용 CSR은 다음과 같은 확장을 사용합니다.
참고
Tomcat 또는 Tomcat-ECDSA 는 키 계약 또는 IPsec 엔드 시스템 키 사용을 요구하지 않습니다.
X509v3 확장 키 사용: TLS 웹 서버 인증, TLS 웹 클라이언트 인증, IPSec 엔드 시스템 X509v3 키 사용: 디지털 서명, 키 암호화, 데이터 암호화, 키 계약
-
IPsec용 CSR은 다음 확장을 사용합니다.
X509v3 확장 키 사용: TLS 웹 서버 인증, TLS 웹 클라이언트 인증, IPSec 엔드 시스템 X509v3 키 사용: 디지털 서명, 키 암호화, 데이터 암호화, 키 계약
-
Unified Communications Manager용 CSR은 다음 확장을 사용합니다.
X509v3 확장 키 사용: TLS 웹 서버 인증, TLS 웹 클라이언트 인증 X509v3 키 사용: 디지털 서명, 키 암호화, 데이터 암호화, 키 계약
-
IM and Presence Service cup 및 cup-xmpp 인증서에 대한 CSR은 다음 확장을 사용합니다.
X509v3 확장 키 사용: TLS 웹 서버 인증, TLS 웹 클라이언트 인증, IPSec 엔드 시스템 X509v3 키 사용: 디지털 서명, 키 암호화, 데이터 암호화, 키 계약,
참고 |
인증서에 대한 CSR을 생성하고 SHA256 서명을 사용하여 타사 인증 기관이 서명하도록 할 수 있습니다. 그런 다음 이 서명된 인증서를 다시 Unified Communications Manager에 업로드하여, Tomcat 및 기타 인증서가 SHA256을 지원할 수 있습니다. |
인증서 서명 요청 키 사용 확장
다음 표에는 Unified Communications Manager 및 IM and Presence Service CA 인증서에 대한 인증서 서명 요청(CSR)의 주요 용도 확장이 나와 있습니다.
다중 서버 |
확장 키 사용 |
키 사용 |
|||||||
---|---|---|---|---|---|---|---|---|---|
서버 인증 (1.3.6.1.5.5.7.3.1) |
클라이언트 인증 (1.3.6.1.5.5.7.3.2) |
IP 보안 엔드 시스템 (1.3.6.1.5.5.7.3.5) |
디지털 서명 |
키 암호화 |
데이터 암호화 |
키 인증서 서명 |
키 계약 |
||
CallManager CallManager-ECDSA |
Y |
Y |
Y |
Y |
N |
Y |
|||
CAPF(게시자에만 해당) |
N |
Y |
N |
Y |
N |
Y |
|||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
N |
Y |
|||
TVS |
N |
Y |
Y |
Y |
Y |
Y |
다중 서버 |
확장 키 사용 |
키 사용 |
|||||||
---|---|---|---|---|---|---|---|---|---|
서버 인증 (1.3.6.1.5.5.7.3.1) |
클라이언트 인증 (1.3.6.1.5.5.7.3.2) |
IP 보안 엔드 시스템 (1.3.6.1.5.5.7.3.5) |
디지털 서명 |
키 암호화 |
데이터 암호화 |
키 인증서 서명 |
키 계약 |
||
cup cup-ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
cup-XMPP cup-xmpp-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
||
cup-XMPP-s2s cup-xmpp-s2s-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
참고 |
'데이터 암호화' 비트가 CA 서명 인증서 프로세스의 일부로 변경되거나 제거되지 않았는지 확인하십시오. |