Inleiding
Lokaal significante certificaten (LSC’s) van de certificaatinstantie Proxy-functie (CAPF) worden lokaal ondertekend. Mogelijk hebt u echter telefoons nodig om met de door derden ondertekende LSC’s (certificaatautoriteit (CA) van derden te gebruiken. Dit document beschrijft een procedure die u hierbij helpt.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Cisco Unified Communications Manager (CUCM).
Gebruikte componenten
De informatie in dit document is gebaseerd op CUCM versie 10.5(2); deze optie werkt echter vanaf versie 10.0 en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
Hier volgen de stappen die bij deze procedure betrokken zijn, die elk in de eigen sectie worden beschreven:
- Het CA-wortelcertificaat uploaden
- Offline CA instellen voor certificaatafgifte op endpoint
- Genereert een CSR-aanvraag (certificaatsignalering) voor de telefoons
- Verkrijg de gegenereerde CSR van Cisco Unified Communications Manager (CUCM) naar de FTP-server
- Ontvang het telefooncertificaat via CA
- .cer converteren naar .der Format
- Comprimeer de certificaten (.der) tot .tgz formaat
- Transfer het .tgz-bestand naar de Secure Shell FTP-server (SFTP)
- Het .tgz-bestand naar de CUCM-server importeren
- Teken de CSR met Microsoft Windows 2003 certificaatinstantie
- Ontvang het wortelcertificaat van de CA
Het CA-wortelcertificaat uploaden
- Meld u aan in de Cisco Unified Operating System (OS) Administration Web GUI.
- Navigeer in op Security certificaatbeheer.
- Klik op Certificaat uploaden/certificaatketen.
- Kies CallManager-trust onder certificaatdoel.
- Bladeren naar het basiscertificaat van de CA en klik op Upload.
Offline CA instellen voor certificaatafgifte op endpoint
- Log in op de CUCM Administration web GUI.
- Navigeer naar System > Service Parameter.
- Kies de CUCM Server en selecteer de optie Cisco Certificate Authority Proxy voor de Service.
- Selecteer Offline CA voor certificaatuitgifte aan endpoint.
Genereert een CSR-aanvraag (certificaatsignalering) voor de telefoons
- Log in op de CUCM Administration web GUI.
- Navigeren naar apparaattelefoons.
- Kies de telefoon waarvan LSC door de externe CA moet worden ondertekend.
- Verander het veiligheidsprofiel van het apparaat in een beveiligd (indien niet aanwezig, voeg één systeem aan het veiligheidsprofiel van de telefoon toe).
- Kies op de pagina met de telefoonconfiguratie, onder het gedeelte CAPF, Installatie/upgrade voor de certificeringshandeling. Voltooi deze stap voor alle telefoons waarvan de LSC door de externe CA moet worden ondertekend. U dient de werking te wachten tot aan de besturingsstatus van het certificaat.
Telefonisch beveiligingsprofiel (7962-model).
Voer het opdracht utils capf csr-telling in in de SSH-sessie (Secure Shell) om te bevestigen dat er een CSR wordt gegenereerd. (Deze screenshot laat zien dat er een CSR is gegenereerd voor drie telefoons.)
Opmerking: De status van de certificaatbediening onder de sectie CAPF van de telefoon blijft in de Handeling in afwachting van staat.
Ontvang de gegenereerde CSR van CUCM naar de FTP- (of TFTP-server)
- SSH in de CUCM-server.
- Voer de utils capf csr stortbuis uit. In deze screenshot is te zien hoe het dumpen naar het FTP wordt overgebracht.
- Open het vuilbestand met WinRAR en haal de CSR naar uw lokale machine.
Telefonisch certificaat verkrijgen
- Stuur de CSR's van de telefoon naar de CA.
- De CA biedt u een ondertekend certificaat.
Opmerking: U kunt een Microsoft Windows 2003-server als CA gebruiken. De procedure om de CSR te ondertekenen met een Microsoft Windows 2003 CA wordt later in dit document uitgelegd.
.cer converteren naar .der Format
Als de ontvangen certificaten in .cer formaat zijn, dan hernoemen ze deze door .der.
Comprimeer de certificaten (.der) tot .tgz formaat
U kunt de root (Linux) van de CUCM-server gebruiken om de certificaatindeling te comprimeren. Je kunt dit ook doen in een normaal Linux systeem.
- Breng alle ondertekende certificaten met de SFTP-server over aan het Linux-systeem.
- Typ deze opdracht om alle .der certificaten in een .tgz-bestand te comprimeren.
tar -zcvf
.tgz *.der
Het .tgz-bestand naar de SFTP-server overbrengen
Voltooi de stappen in de schermopname om het .tgz-bestand naar de SFTP-server over te brengen.
Het .tgz-bestand naar de CUCM-server importeren
- SSH in de CUCM-server.
- Voer de utils capf cert import-opdracht uit.
Zodra de certificaten met succes zijn geïmporteerd, kunt u zien dat de CSR-telling nul is.
Teken de CSR met Microsoft Windows 2003 certificaatinstantie
Dit is optionele informatie voor Microsoft Windows 2003 - CA.
- Open certificeringsinstantie.
- Klik met de rechtermuisknop op CA en navigeer naar Alle taken > Een nieuw verzoek indienen...
- Selecteer de CSR en klik op Openen. Doe dit voor alle CSR's.
Alle geopende CSR-weergave in de map Verzoeken in behandeling.
- Klik met de rechtermuisknop op elk en navigeer naar Alle taken > Uitgeven om certificaten uit te geven. Doe dit voor alle aanhangige verzoeken.
- Kies een afgegeven certificaat om het certificaat te kunnen downloaden.
- Klik met de rechtermuisknop op het certificaat en klik op Openen.
- U kunt de certificeringsgegevens zien. Selecteer het tabblad Details en kies Kopie naar bestand...
- Kies in de wizard Certificaat exporteren de optie gecodeerde binaire X.509 (.CER).
- Geef het bestand een geschikte naam. Dit voorbeeld gebruikt <MAC>.cer formaat.
- Ontvang de certificaten voor andere telefoons onder de Gegeven certificaatsectie met deze procedure.
Ontvang het wortelcertificaat van de CA
- Open certificeringsinstantie.
- Voltooi de stappen in dit schermshot om de root-CA te downloaden.
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
- Ga naar de pagina voor telefoonconfiguratie.
- Onder het gedeelte CAPF, zou de status van de Certificaatbediening als succes van de upgrade moeten tonen.
Opmerking: Raadpleeg LSC’s die door derden zijn ondertekend, genereren en importeren voor meer informatie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.