A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve a introdução, configuração da criptografia da próxima geração (NGE) do gerente das comunicações unificadas de Cisco (CUCM) 11.0 e mais atrasado, para cumprir a segurança avançada e os requisitos de desempenho
A Cisco recomenda que você tenha conhecimento destes tópicos:
A informação neste documento é baseada em Cisco CUCM 11.0, onde os Certificados EDCSA são apoiados somente para o CallManager (o CallManager-EDCSA)
Note: Certificados de Tomcat-EDCSA dos apoios CUCM 11.5 avante também
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este original pode igualmente ser usado com estes produtos de software e versões que apoiam Certificados EDCSA:
A criptografia elíptico da curva (ECC) é uma aproximação à criptografia de chave pública baseada na estrutura algébrica de curvas elípticos sobre campos finitos. Um dos benefícios principais em comparação com a criptografia NON-ECC é o mesmo nível de segurança fornecido por chaves do tamanho menor.
Os critérios comuns oferecem a garantia que os recursos de segurança se operam corretamente dentro da solução que está sendo avaliada. Isto é conseguido com as exigências extensivas da documentação dos testes e da reunião.
Aceitado e apoiado por 26 países no mundo inteiro através dos critérios comuns de arranjo de reconhecimento (CCRA)
A liberação 11.0 do gerente das comunicações unificadas de Cisco apoia Certificados elípticos do Digital Signature Algorithm da curva (ECDSA).
Estes Certificados são mais fortes do que os Certificados RSA-baseados e são exigidos para o Produtos que tem os critérios comuns (CC) das certificações. As soluções comerciais do governo dos EUA para o programa classificado dos sistemas (CSfC) exigem a certificação CC e assim, é incluída na liberação 11.0 do gerente das comunicações unificadas de Cisco avante.
Os Certificados ECDSA estão disponíveis junto com os Certificados existentes RSA nestas áreas:
As próximas seções fornecem mais informação detalhada em cada um das áreas 7 acima.
Apoio para o ECC de CUCM 11.0 avante para gerar o certificado do CallManager com criptografia EC
Uma unidade nova do certificado nomeada CallManager-ECDSA foi adicionada para os comandos cli
Note: Atualmente, nenhuma versão 3 dos apoios CAPF do valor-limite de Cisco evita assim selecionar a opção EC somente. Contudo, os administradores que querem apoiar mais tarde ECDSA LSC podem configurar seus dispositivos com opção preferida EC do backup RSA. Quando os valores-limite começam a apoiar a versão 3 CAPF para ECDSA LSC, os administradores precisam de reinstalar seu LSC.
Opções adicionais CAPF para o telefone, o perfil de segurança do telefone, o utilizador final e as páginas de usuário do aplicativo
O dispositivo > o telefone > relacionaram os links
Navegue ao > segurança do sistema > ao perfil de segurança do telefone
Gerenciamento de usuário > configurações de usuário > perfil do usuário CAPF do aplicativo
Navegue ao gerenciamento de usuário > às configurações de usuário > ao perfil do utilizador final CAPF.
A relação segura do SORVO foi atualizada para apoiar estas duas cifras
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Estas são as encenações quando o SORVO faz conexões TLS (do Transport Layer Security):
Quando a interface de tronco do SORVO do gerente das comunicações unificadas de Cisco atua como um server TLS para a conexão segura entrante do SORVO, a interface de tronco do SORVO determina se o certificado do CallManager-ECDSA existe no disco. Se o certificado existe no disco, a interface de tronco do SORVO usa o certificado do CallManager-ECDSA se a série selecionada da cifra é
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ou TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Quando a interface de tronco do SORVO atua como um cliente TLS, a interface de tronco do SORVO envia uma lista de séries pedidas da cifra ao server baseado no campo das cifras TLS (que igualmente inclui o ECDSA calcula a opção) nos parâmetros empresariais CUCM as cifras TLS. Esta configuração determina a lista da série da cifra do cliente TLS e as séries apoiadas da cifra por ordem da preferência.
Note: 1. Os dispositivos que usam uma cifra ECDSA para fazer uma conexão a CUCM devem ter o certificado do CallManager-ECDSA em seu arquivo da lista da confiança da identidade (ITL).
Note: 2. As séries da cifra do apoio RSA TLS da interface de tronco do SORVO para conexões dos clientes que não apoiam séries da cifra ECDSA ou quando uma conexão TLS é estabelecida com uma versão anterior de CUCM, isso não apoiam ECDSA.
A relação segura do gerenciador de CTI foi atualizada para apoiar estas quatro cifras:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Note: 1. Quando você atualiza Certificados do CallManager, do CallManager ECDSA, ou do Tomcat, você deve desativar e reactivate o serviço TFTP.
Note: 2. A porta 6971 é usada para a autenticação dos Certificados do CallManager e do CallManager-ECDSA, usada por telefones.
Note: 3. A porta 6972 é usada para a autenticação dos Certificados de Tomcat, usada pelo Jabber.
A entropia é uma medida da aleatoriedade dos dados e ajuda em determinar o limiar mínimo para critérios comuns das exigências. Para ter a criptografia forte, uma fonte robusta de entropia é exigida. Se um algoritmo de criptografia forte, tal como ECDSA, usa um origem fraca da entropia, a criptografia pode facilmente quebrar-se.
No gerente das comunicações unificadas de Cisco libere 11.0, a fonte da entropia para comunicações unificadas que de Cisco o gerente é melhorado.
O demônio da monitoração da entropia é uma característica incorporado que não exija a configuração. Contudo, você pode desligá-la através do gerente CLI das comunicações unificadas de Cisco.
Use os seguintes comandos CLI controlar o serviço de demônio da monitoração da entropia: