Configurar o LSC no Cisco IP Phone com CUCM

Introdução

Este documento descreve como instalar localmente o certificado significativo a - (LSC) em um telefone do protocolo de internet de Cisco (Cisco IP Phone).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Opções do modo de segurança do conjunto do gerente das comunicações unificadas de Cisco (CUCM)
• Certificados X.509
• Certificados instalados de fabricação (MIC)
• LSC
• Operações do certificado da função do proxy do Certificate Authority (CAPF)
• Segurança à revelia (SBD)
• Arquivos iniciais da lista da confiança (ITL)

Componentes Utilizados

A informação neste documento é baseada nas versões CUCM que apoiam o SBD, a saber CUCM 8.0(1) e acima.

Note: Igualmente refere-se somente os telefones que apoiam o SBD. Por exemplo, os 7940 e 7960 telefones não apoiam o SBD, nem fazem telefones da conferência os 7935, 7936 e 7937. Para uma lista de dispositivos que apoiam o SBD em sua versão de CUCM, navegue a Cisco unificou o relatório > os relatórios do sistema > lista unificada dos recursos de telefone CM e executam um relatório na característica: Segurança à revelia.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

MIC contra LSC

Se você usa a autenticação baseada certificado para o 802.1X ou o telefone VPN de Anyconnect, é importante compreender a diferença entre MIC e LSC.

Cada Cisco phone vem com um MIC instalado na fábrica. Este certificado é assinado por um de Cisco que fabrica certificados de CA, por Cisco que fabricam CA, por Cisco que fabrica o certificado SHA2, CAP-RTP-001 ou CAP-RTP-002 de CA. Quando o telefone apresenta este certificado, mostra que é um Cisco phone válido, mas este não valida que o telefone pertence a um cliente específico ou ao conjunto CUCM. Podia potencialmente ser um telefone desonesto comprado no mercado livre ou trazido sobre de um local diferente.

Os LSC, por outro lado, são instalados intencionalmente em telefones por um administrador, e assinados pelo certificado CAPF do editor CUCM. Você configuraria o 802.1X ou o Anyconnect VPN para confiar somente os LSC emitidos por autoridades de certificação conhecidas CAPF. Basear o certificado de autenticação em LSC em vez dos MIC fornece-o um controle muito mais granulado sobre que os dispositivos telefônico são confiados.

Configurar

Topologia de rede

Estes server do laboratório CUCM foram usados para este documento:

• ao115pub - 10.122.138.102 - editor & servidor TFTP CUCM
• ao115sub - 10.122.138.103 - subscritor & servidor TFTP CUCM 

Verifique que o certificado CAPF não expirou, nem esteja a ponto de expirar em um futuro próximo. Navegue a Cisco unificou o > gerenciamento de certificado do > segurança da administração do OS, a seguir a lista do certificado do achado onde o certificado é exatamente CAPF segundo as indicações da imagem.

Clique o Common Name a fim abrir a página dos detalhes certificados. Inspecione a validez de: e a: datas na placa dos dados do arquivo certificado a fim determinar quando o certificado expirar, segundo as indicações da imagem.

Se o certificado CAPF expirou, ou é logo expirar, para regenerar esse certificado. Não se mova para a frente com o LSC instalam o processo com expirada nem logo expire-se certificado CAPF. Isto evita a necessidade de reeditar em um futuro próximo os LSC devido à expiração do certificado CAPF. Para obter informações sobre de como regenerar o certificado CAPF, consulte o artigo da regeneração do certificado CUCM/processo de renovação.

Similarmente, se você precisa de ter seu certificado CAPF assinado por um Certificate Authority da terceira parte, você tem uma escolha a fazer nesta fase. Um ou outro completos a geração do arquivo da solicitação de assinatura de certificado (CSR) e a importação do certificado assinado CAPF agora, ou continuam a configuração com um LSC auto-assinado para um exame preliminar. Se você precisa um certificado assinado terceira parte CAPF, é geralmente apreciável configurar primeiramente esta característica com um certificado auto-assinado CAPF, testá-la e verificá-la, e demover então os LSC que são assinados por um certificado assinado terceira parte CAPF. Isto simplifica um Troubleshooting mais atrasado, se os testes com a terceira parte assinaram a falha do certificado CAPF.

aviso: Se você regenera o certificado CAPF ou importa um certificado assinado da terceira CAPF quando o serviço CAPF estiver ativado e começado, os telefones estão restaurados automaticamente por CUCM. Termine estes procedimentos em uma janela de manutenção quando é aceitável para telefones ser restaurado. Para a referência, veja CSCue55353 - Adicionar o aviso ao regenerar o certificado TVS/CCM/CAPF esse telefona à restauração.

Note: Se seu SBD dos suportes de versão CUCM, este procedimento de instalar LSC se aplica de qualquer maneira se seu conjunto CUCM está ajustado a modo misturado ou não. O SBD é parte de uma versão 8.0(1) e mais recente CUCM. Nestas versões de CUCM, os arquivos ITL contêm o certificado para o serviço CAPF no editor CUCM. Isto permite que os telefones conectem ao serviço CAPF a fim apoiar operações do certificado como instala/elevação e pesquisa defeitos.

Nas versões anterior de CUCM, era necessário configurar o conjunto para modo misturado a fim apoiar operações do certificado. Porque isto é já não necessário, este reduz barreiras ao uso dos LSC como certificados de identidade do telefone para a autenticação do 802.1X ou para a autenticação de cliente VPN de AnyConnect.

Execute o comando ITL da mostra em todos os servidores TFTP no conjunto CUCM. Observe que o arquivo ITL faz contém um certificado CAPF.

Por exemplo, está aqui um trecho da ITL da mostra output do subscritor ao115sub do laboratório CUCM.

Note: Há uma entrada de registro ITL neste arquivo com uma FUNÇÃO do CAPF.

Note: Se seu arquivo ITL não tem uma entrada CAPF, entra a seu editor CUCM e a confirma o serviço CAPF está ativado. A fim confirmar isto, navegue a Cisco unificou a utilidade > as ferramentas > a ativação do serviço > do editor CUCM > segurança, a seguir ativam o serviço da função do proxy do Certificate Authority de Cisco. Se o serviço foi desativado e você apenas o ativou, navegue a Cisco unificou a utilidade > as ferramentas > o Control Center – caracterize serviços > server > serviços CM, a seguir reinicie o serviço TFTP de Cisco em todos os servidores TFTP no conjunto CUCM para regenerar o arquivo ITL. Também, assegure-se de que você não bata CSCuj78330.

Note: Depois que você é feito, execute o comando ITL da mostra em todos os servidores TFTP no conjunto CUCM a fim verificar que o certificado atual do editor CAPF CUCM está incluído agora no arquivo.

 ITL Record #:1
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 727
2 DNSNAME 2
3 SUBJECTNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 CAPF
5 ISSUERNAME 64 CN=CAPF-7f0ae8d7;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 64:F2:FE:61:3B:79:C5:D3:62:E2:6D:AB:4A:8B:76:1B
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 C3 E6 97 D0 8A E1 0B F2 31 EC ED 20 EC C5 BC 0F 83 BC BC 5E
12 HASH ALGORITHM 1 null

 ITL Record #:2
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 6B:99:31:15:D1:55:5E:75:9C:42:8A:CE:F2:7E:EA:E8
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 05 9A DE 20 14 55 23 2D 08 20 31 4E B5 9C E9 FE BD 2D 55 87
12 HASH ALGORITHM 1 null

 ITL Record #:3
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1680
2 DNSNAME 2
3 SUBJECTNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 71 CN=ITLRECOVERY_ao115pub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 51:BB:2F:1C:EE:80:02:16:62:69:51:9A:14:F6:03:7E
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 963 DF 98 C1 DB E0 61 02 1C 10 18 D8 BA F7 1B 2C AB 4C F8 C9 D5 (SHA1 Hash HEX)
This etoken was not used to sign the ITL file.

 ITL Record #:4
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 717
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TVS
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 65:E5:10:72:E7:F8:77:DA:F1:34:D5:E3:5A:E0:17:41
7 PUBLICKEY 270
8 SIGNATURE 256
11 CERTHASH 20 00 44 54 42 B4 8B 26 24 F3 64 3E 57 8D 0E 5F B0 8B 79 3B BF
12 HASH ALGORITHM 1 null

 ITL Record #:5
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)
This etoken was used to sign the ITL file.

 ITL Record #:6
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1652
2 DNSNAME 2
3 SUBJECTNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 59 CN=ao115sub;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 48:F7:D2:F3:A2:66:37:F2:DD:DF:C4:7C:E6:B9:CD:44
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 959 20 BD 40 75 51 C0 61 5C 14 0D 6C DB 79 E5 9E 5A DF DC 6D 8B (SHA1 Hash HEX)

 ITL Record #:7
 ----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1031
2 DNSNAME 9 ao115sub
3 SUBJECTNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
4 FUNCTION 2 TFTP
5 ISSUERNAME 62 CN=ao115sub-EC;OU=TAC;O=Cisco Systems;L=Boxborough;ST=MA;C=US
6 SERIALNUMBER 16 53:CC:1D:87:BA:6A:28:BD:DA:22:B2:49:56:8B:51:6C
7 PUBLICKEY 97
8 SIGNATURE 103
9 CERTIFICATE 651 E0 CF 8A B3 4F 79 CE 93 03 72 C3 7A 3F CF AE C3 3E DE 64 C5 (SHA1 Hash HEX)

The ITL file was verified successfully.

Com a entrada CAPF confirmada como uma entrada na ITL, você pode terminar uma operação do certificado em um telefone. Neste exemplo, um certificado de 2048 bit RSA é instalado por meio da autenticação da corda nula.

No telefone, verifique que um LSC não está instalado ainda segundo as indicações da imagem. Por exemplo, em 79XX uma série telefona, navega aos ajustes > 4 - configuração de segurança > 4 - LSC.

Abra a página da configuração telefônica para seu telefone. Navegue a Cisco unificou a administração > o dispositivo > o telefone CM.

Incorpore estes detalhes à seção de informação CAPF da configuração do telefone, segundo as indicações da imagem:

• Para a operação do certificado, seleto instale/elevação
• Para o modo de autenticação, selecione pela corda nula
• Para este exemplo, deixe a ordem chave, o tamanho chave RSA (bit) e o tamanho chave EC (bit) ajustou-se aos padrões de sistema.
• Para a operação termina por, incorporam uma data e hora que seja pelo menos uma hora dentro ao futuro.

Salvar suas alterações de configuração, a seguir aplique a configuração.

O estado LSC no telefone muda a pendente segundo as indicações da imagem.

O telefone gerencie chaves segundo as indicações da imagem.

As restaurações do telefone, e quando a restauração terminar, as alterações de status do telefone LSC ao instalado segundo as indicações da imagem.

Este é igualmente mensagens de status inferiores visíveis no telefone segundo as indicações da imagem.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A fim verificar a instalação certificada LSC em telefones múltiplos, consulte a seção de relatório da geração CAPF do guia da Segurança para o gerente das comunicações unificadas de Cisco, a liberação 11.0(1). Alternativamente, você pode ver os mesmos dados dentro da interface da WEB da administração CUCM por meio dos telefones do achado pelo procedimento do estado ou do string de autenticação LSC.

A fim obter cópias dos Certificados LSC instalados nos telefones, consulte como recuperar Certificados do phonesarticle IP de Cisco.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

Nenhum server válido CAPF

O LSC não instala. Os mensagens de status do telefone não mostram nenhum server válido CAPF. Isto indica que não há nenhuma entrada CAPF no arquivo ITL. Verifique que o serviço CAPF esteve ativado, e reinicie então o serviço TFTP. Verifique que o arquivo ITL contém um certificado CAPF depois que o reinício, restaurou o telefone para pegarar o arquivo o mais atrasado ITL, e experimenta de novo então sua operação do certificado. Se a entrada de servidor CAPF nos indicadores do menu das configurações de segurança do telefone como o hostname ou o nome de domínio totalmente qualificado, confirma o telefone pode resolver a entrada a um endereço IP de Um ou Mais Servidores Cisco ICM NT.

LSC: Conexão falhada

O LSC não instala. Os mensagens de status do telefone mostram o LSC: Conexão falhada. Isto pode indicar uma destas circunstâncias:

• Uma má combinação entre o certificado CAPF no arquivo ITL e o certificado atual, o serviço CAPF está no uso.
• O serviço CAPF é parado ou desativado.
• O telefone não pode alcançar o serviço CAPF sobre a rede.

Verifique que o serviço CAPF está ativado, reinicia o serviço CAPF, clusterwide dos serviços TFTP do reinício, restaura o telefone para pegarar o arquivo o mais atrasado ITL, e experimenta de novo então sua operação do certificado. Se o problema persiste, tome uma captura de pacote de informação do telefone e do editor CUCM, e analise-à fim ver se há uma comunicação bi-direcional na porta 3804, a porta do serviço do padrão CAPF. Se não, pode haver uma questão de rede.

LSC: Falhado

O LSC não instala. Os mensagens de status do telefone mostram o LSC: Falhado. O página da web da configuração telefônica mostra o status de operação do certificado: Elevação falhada: Tarde iniciado usuário do pedido/Timedout. Isto indica que a operação termina em horas e data expirou ou se realiza no passado. Incorpore uma data e hora que seja pelo menos uma hora dentro ao futuro, e experimente de novo então sua operação do certificado.

Informações Relacionadas

Estes documentos fornecem mais informação no uso dos LSC no contexto para a autenticação de cliente VPN de AnyConnect e a autenticação do 802.1X.

• Telefone de AnyConnect VPN - Telefones IP, Troubleshooting ASA, e CUCM
• Serviços de rede Identidade-baseados: Telefonia IP no desenvolvimento e no manual de configuração de redes da IEEE 802.1X-Enabled

Há igualmente um tipo avançado de configuração LSC, em que os Certificados LSC são assinados diretamente por um Certificate Authority da terceira parte, não o certificado CAPF.

Para detalhes, consulte: Exemplo de configuração CA-assinado da terceira da geração e da importação CUCM LSC

• Suporte Técnico e Documentação - Cisco Systems