Já tem uma conta?
  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Nota Técnica no certificado CAPF assinado por CA para CUCM

Opções de download

  • PDF     (691.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (712.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (631.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Outubro de 2017
ID do documento:212214
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como obter um certificado da função do proxy do Certificate Authority (CAPF) assinado pelo Certificate Authority (CA) para o gerente das comunicações unificadas de Cisco (CUCM). Há sempre uns pedidos assinar o CAPF com CA externo. Este documento mostra por que compreender como trabalha é tão importante quanto o procedimento de configuração.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Public Key Infrastructure (PKI)
    • Configuração de segurança CUCM

    Componentes Utilizados

    A informação neste documento é baseada na versão de gerenciador 8.6 das comunicações unificadas de Cisco e acima. 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.

    Produtos Relacionados

    Este documento pode igualmente ser usado com estes versão de hardware e software:

    • Microsoft Windows server 2008 CA.
    • Cisco Jabber para Windows.

    Informações de Apoio

    A finalidade de CA assinou o CAPF

    Alguns clientes gostariam de alinhar com o whith que globle da política do certificado a empresa tão lá é uma necessidade assinou o CAPF com mesmo CA que outros server.

    Mecanismo para este PKI

    À revelia, localmente - o certificado significativo (LSC) é assinado pelo CAPF, assim que pelo CAPF é CA para telefones nesta encenação. Contudo, quando você tenta obter o CAPF assinado por CA externo, a seguir o CAPF nesta encenação atua como o subordinado CA ou CA intermediário.

    A diferença entre o CAPF auto-assinado e o CAPF CA-assinado é: o CAPF é a CA raiz ao LSC ao fazer o CAPF auto-assinado, o CAPF é CA (intermediário) subordinado ao LSC ao fazer o CAPF CA-assinado.

    Como CAPF CSR é diferente de outros CSR?

     Considerando ao RFC5280, a extensão chave do uso define a finalidade (por exemplo, cifragem, assinatura, certificado assinando) da chave contida no certificado. O CAPF é um proxy do certificado e CA e podem assinar o certificado aos telefones mas o outro certificado como o CallManager, Tomcat, IPsec que atua como a folha (identidade do usuário). Quando você olha no CSR para eles, você pode ver que o CAPF CSR tem o papel de CertificateSign mas não o outro.

     CAPF CSR:

            Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Certificate Sign

    Tomcat CSR:

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    CallManager CSR:

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    IPsec CSR:

    Atributos: Ramais pedidos: Uso X509v3 chave prolongado: Autenticação do servidor de Web TLS, autenticação do cliente web TLS, uso da chave do sistema final X509v3 do IPsec: Assinatura digital, cifragem chave, cifragem dos dados, acordo chave

    Configurar

    Este é o procedimento para assinar o CAPF com CA externo.

     Etapa 1. Faça seu conjunto CUCM como um conjunto da Segurança.

     admin:utils ctl set-cluster mixed-mode


    Etapa 2. Segundo as indicações da imagem, gerencia o CAPF CSR.

    Etapa 3. Assinou isto com CA (que usa o molde subordinado em Windows 2008 CA).

    Nota: Você precisa o molde subordinado da autoridade de certificação do usuário de assinar este certificado.

    Etapa 4. Transfira arquivos pela rede a CA raiz como a CAPF-confiança e o certificado de servidor como o CAPF.

    Etapa 5. Reinicie o serviço CAPF.

    Etapa 6. Reinicie os serviços CallManager/TFTP em todas as notas.

    Etapa 7. Assinou o softphone LSC do Jabber.

    Etapa 8. Permita o perfil de segurança para o softphone do Jabber.

    Etapa 9. O RTP agora fixado acontece como:

    Verificar

    Compare o LSC quando CAPF auto-chamuscado e CAPF CA-assinado:

    Como você puder ver destas imagens para o LSC, do ponto de vista LSC, CAPF é a CA raiz ao usar o CAPF auto-assinado mas o CAPF é CA (intermediário) subordinado quando usando o CAPF CA-assinado.

    LSC quando CAPF Auto-assinado

    LSC quando CAPF CA-assinado

    Troubleshooting

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    Informações Relacionadas

    Defeito conhecido: CA assinou o certificado CAPF, CERT da raiz deve ser transferido arquivos pela rede como a CM-confiança:  https://bst.cloudapps.cisco.com/bugsearch/bug/CSCut87382/?referring_site=bugquickviewredir 

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Simon Xiu Li
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Deixe-nos ajudar

    Discussões relacionadas ao produto na comunidade de suporte

    Este documento se refere a estes produtos

    SOBRE A CISCO
    FALE CONOSCO
    TRABALHE CONOSCO