Guest

Criptografia da próxima geração CUCM 11.0 - Criptografia elíptico da curva

Opções de download

  • PDF     (655.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (633.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (468.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de Janeiro de 2017
ID do documento:200930
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve a introdução, configuração da criptografia de Next_Generation (NGE) do gerente das comunicações unificadas de Cisco (CUCM) 11.0 e mais atrasado, para cumprir a segurança avançada e os requisitos de desempenho

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Princípios da Segurança do Cisco Call Manager
  • Gerenciamento certificado do Cisco Call Manager

Componentes Utilizados

A informação neste documento é baseada em Cisco CUCM 11.0, onde os Certificados do edcsa são apoiados somente para o CallManager (o CallManager-EDCSA)

Nota: Certificados de Tomcat-EDCSA dos apoios CUCM 11.5 avante também

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Este documento pode igualmente ser usado com estes produtos de software e versões que apoiam Certificados EDCSA:

  • Cisco IM e presença 11.5
  • Cisco Unity Connection 11.5

Informações de Apoio

A criptografia elíptico da curva (ECC) é uma aproximação à criptografia de chave pública baseada na estrutura algébrica de curvas elípticos sobre campos finitos. Um dos benefícios principais em comparação com a criptografia NON-ECC é o mesmo nível de segurança fornecido por chaves do tamanho menor.

Os critérios comuns oferecem a garantia que os recursos de segurança se operam corretamente dentro da solução que está sendo avaliada. Isto é conseguido com as exigências extensivas da documentação dos testes e da reunião.

Aceitado e apoiado por 26 países no mundo inteiro através dos critérios comuns de arranjo de reconhecimento (CCRA)

A liberação 11.0 do gerente das comunicações unificadas de Cisco apoia Certificados elípticos do Digital Signature Algorithm da curva (ECDSA).

Estes Certificados são mais fortes do que os Certificados RSA-baseados e são exigidos para o Produtos que tem os critérios comuns (CC) das certificações. As soluções comerciais do governo dos EUA para o programa classificado dos sistemas (CSfC) exigem a certificação CC e assim, é incluída na liberação 11.0 do gerente das comunicações unificadas de Cisco avante.

Os Certificados ECDSA estão disponíveis junto com os Certificados existentes RSA nestas áreas:

  • Gerenciamento certificado
  • Função do proxy do Certificate Authority (CAPF)
  • Seguimento do Transport Layer Security (TLS)
  • Fixe conexões do SORVO
  • Gerente da integração de telefonia e computador (CTI)
  • HTTP e
  • Entropia

As próximas seções fornecem mais informação detalhada em cada um das áreas 7 acima.

Gerenciamento certificado

Gerando Certificados com criptografia EC

Apoio para o ECC de CUCM 11.0 avante para gerar o certificado do CallManager com criptografia EC

  • CallManager-ECDSA novo da opção disponível segundo as indicações da imagem.
  • Exige a parcela do host do Common Name terminar dentro? EC, para impedir ter o mesmo Common Name que o certificado do CallManager.
  • Em caso do multi certificado do server SAN, isto deve terminar dentro? EC-Senhora.

  • Ambo o pedido do certificado auto-assinado e o CSR pedem o limite as escolhas do algoritmo de hash segundo o tamanho chave EC.
  • Para um tamanho chave EC 256 o algoritmo de hash pode ser SHA256, SHA384 ou SHA512. Para um tamanho chave EC 384 o algoritmo de hash pode ser SHA384 ou SHA512. Para um tamanho chave EC 521 a única opção é SHA512.
  • O tamanho do chave padrão é 384 e o algoritmo de hashing do padrão é SHA384, que pode ser utilização mudada deixa cair para baixo. As opções disponíveis são baseadas no tamanho chave escolhido.

Configuração de CLI

Uma unidade nova do certificado nomeada CallManager-ECDSA foi adicionada para os comandos cli

  •  ajuste o [unit] CERT REGEN? regenera o certificado auto-assinado

  • ajuste a importação CERT possuem|confie o [unit]? certificado assinado de CA das importações

  • ajuste o [unit] gen csr? gerencie o request(CSR) de assinatura do certificado para a unidade especificada

  • ajuste a exportação maioria|consolide|importe tftp? Quando tftp é o nome da unidade, os Certificados do CallManager-ECDSA obtêm auto-incluídos com os Certificados do CallManager RSA em operações maiorias.

Arquivos CTL e ITL:

  • Os arquivos CTL e ITL têm o presente do CallManager-ECDSA.
  • O certificado do CallManager-ECDSA tem a função de CCM+TFTP no arquivo ITL e CTL.
  • Você pode usar o ctl da mostra ou mostrar comandos ITL ver esta informação segundo as indicações da imagem:

  • Você pode usar a atualização do ctl dos utils para gerar o arquivo CTL.

Função do proxy do Certificate Authority (CAPF)

  • A versão 3.0 CAPF em CUCM 11 fornece o apoio para tamanhos chaves EC junto com o RSA.
  • As opções adicionais CAPF fornecidas além do que os campos existentes CAPF são ordem chave e tamanho chave EC (bit).
  • A opção existente do tamanho chave (bit) foi mudada ao tamanho chave RSA (bit).
  • A ordem chave fornece o apoio para o RSA somente, o EC somente e o EC preferido, opções do backup RSA.
  • O tamanho chave EC fornece o apoio para tamanhos chaves 384 e 521 de bit 256.
  • O tamanho chave RSA fornece o apoio para 512, 1024 e 2048 bit
  • Quando chave a ordem de RSA somente é selecionada, simplesmente o tamanho chave RSA pode ser selecionado. Quando o EC somente for selecionado, simplesmente o tamanho chave EC pode ser selecionado. Quando o EC preferido, backup RSA é selecionado, o tamanho chave RSA e EC pode ser selecionado.

Opções adicionais CAPF para o telefone, o perfil de segurança do telefone, o utilizador final e as páginas de usuário do aplicativo

O dispositivo > o telefone > relacionaram os links



Navegue ao > segurança do sistema > ao perfil de segurança do telefone

Gerenciamento de usuário > configurações de usuário > perfil do usuário CAPF do aplicativo

Navigaet ao gerenciamento de usuário > às configurações de usuário > ao perfil do utilizador final CAPF.

O TLS calcula parâmetros empresariais

  • As cifras do parâmetro empresarial TLS foram atualizadas para apoiar cifras ECDSA.
  • As cifras do parâmetro empresarial TLS agora ajustam as cifras TLS para a linha do SORVO, tronco do SORVO e fixam o gerenciador de CTI.

Apoio do SORVO ECDSA

  • A liberação 11.0 do gerente das comunicações unificadas de Cisco inclui o apoio ECDSA para linhas do SORVO e interfaces de tronco do SORVO.
  • A conexão entre o gerente das comunicações unificadas de Cisco e um telefone do valor-limite ou um dispositivo de vídeo é uma linha conexão do SORVO visto que a conexão entre dois gerentes das comunicações unificadas de Cisco é uma conexão de tronco do SORVO.
  • Todas as conexões do SORVO apoiam as cifras ECDSA e usam Certificados ECDSA.

A relação segura do SORVO foi atualizada para apoiar estas duas cifras

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

Estas são as encenações quando o SORVO faz conexões TLS (do Transport Layer Security):

  • Quando o SORVO atuar como um server TLS

Quando a interface de tronco do SORVO do gerente das comunicações unificadas de Cisco atua como um server TLS para a conexão segura entrante do SORVO, a interface de tronco do SORVO determina se o certificado do CallManager-ECDSA existe no disco. Se o certificado existe no disco, a interface de tronco do SORVO usa o certificado do CallManager-ECDSA se a série selecionada da cifra é

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ou TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • Quando o SORVO atuar como um cliente TLS

Quando a interface de tronco do SORVO atua como um cliente TLS, a interface de tronco do SORVO envia uma lista de séries pedidas da cifra ao server baseado no campo das cifras TLS (que igualmente inclui o ECDSA calcula a opção) nos parâmetros empresariais CUCM as cifras TLS. Esta configuração determina a lista da série da cifra do cliente TLS e as séries apoiadas da cifra por ordem da preferência.

Nota: 1. Os dispositivos que usam uma cifra ECDSA para fazer uma conexão a CUCM devem ter o certificado do CallManager-ECDSA em seu arquivo da lista da confiança da identidade (ITL).

Nota: 2. As séries da cifra do apoio RSA TLS da interface de tronco do SORVO para conexões dos clientes que não apoiam séries da cifra ECDSA ou quando uma conexão TLS é estabelecida com uma versão anterior de CUCM, isso não apoiam ECDSA.

Apoio seguro do gerenciador de CTI ECDSA

A relação segura do gerenciador de CTI foi atualizada para apoiar estas quatro cifras:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • A carga segura da relação do gerenciador de CTI o certificado do CallManager e do CallManager-ECDSA. Isto permite que a relação segura do gerenciador de CTI apoie as cifras novas junto com a cifra existente RSA.
  • Similar à relação do SORVO, a opção das cifras do parâmetro empresarial TLS no gerente das comunicações unificadas de Cisco é usada para configurar as cifras TLS que são apoiadas na interface segura do gerenciador de CTI.

Apoio HTTPS para a transferência da configuração

  • Para a transferência segura da configuração (por exemplo clientes do Jabber), a liberação 11.0 do gerente das comunicações unificadas de Cisco é aumentada para apoiar o HTTPS além do que as relações HTTP e TFTP que foram usadas nas versões anterior.
  • Se for necessário, ambo autenticação mútua do uso do cliente e servidor. Contudo, os clientes que são registrados com ECDSA LSC e configurações de TFTP cifradas são exigidos apresentar seu LSC.
  • A relação HTTPS usa o CallManager e os Certificados do CallManager-ECDSA como os certificados de servidor.

Nota: 1. Quando você atualiza Certificados do CallManager, do CallManager ECDSA, ou do Tomcat, você deve desativar e reactivate o serviço TFTP.

Nota: 2. A porta 6971 é usada para a autenticação dos Certificados do CallManager e do CallManager-ECDSA, usada por telefones.

Nota: 3. A porta 6972 é usada para a autenticação dos Certificados de Tomcat, usada pelo Jabber.

Entropia

 A entropia é uma medida da aleatoriedade dos dados e ajuda em determinar o limiar mínimo para critérios comuns das exigências. Para ter a criptografia forte, uma fonte robusta de entropia é exigida. Se um algoritmo de criptografia forte, tal como ECDSA, usa um origem fraca da entropia, a criptografia pode facilmente quebrar-se.

No gerente das comunicações unificadas de Cisco libere 11.0, a fonte da entropia para comunicações unificadas que de Cisco o gerente é melhorado.

O demônio da monitoração da entropia é uma característica incorporado que não exija a configuração. Contudo, você pode desligá-la através do gerente CLI das comunicações unificadas de Cisco.

Use os seguintes comandos CLI controlar o serviço de demônio da monitoração da entropia:

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Pradeep K Vaka
    Cisco TAC Engineer

Este documento lhe foi útil?

Feedback

Deixe-nos ajudar

Este documento se refere a estes produtos