Configurar a inscrição e renovação automáticas de certificados através do CAPF Online CA

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de Julho de 2021
ID do documento:214501

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve a inscrição e renovação automáticas de certificados através do recurso on-line CAPF (Certificate Authority Proxy Function) para o Cisco Unified Communications Manager (CUCM).

    Contribuído por Michael Mendoza, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco Unified Communications Manager
    • Certificados X.509
    • Windows Server
    • Windows Ative Diretory (AD)
    • Windows Internet Information Services (IIS)
    • Autenticação NT (New Technology) LAN Manager (NTLM)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • CUCM versão 12.5.1.10000-22
    • Windows Server 2012 R2
    • Telefone IP CP-8865 / Firmware: SIP 12-1-1SR1-4 e 12-5-1SR2.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

     Este documento aborda a configuração do recurso e os recursos relacionados para pesquisa adicional.

    Validar a hora e a data do servidor

    Certifique-se de que o servidor Windows tenha a data, a hora e o fuso horário corretos configurados, uma vez que afetam os tempos de validade do certificado CA raiz (Autoridade de Certificação) do servidor, bem como os certificados emitidos por ele.

    Atualizar nome do computador do servidor

    Por padrão, o nome do computador do servidor tem um nome aleatório como WIN-730K65R6BSK. A primeira coisa a fazer antes de ativar os Serviços de Domínio do AD é garantir que o nome do computador do servidor seja atualizado para o que você deseja que o nome do host do servidor e o nome raiz do Emissor da AC sejam até o final da instalação; caso contrário, são necessárias várias etapas extras para alterar isso após a instalação dos serviços AD.

    • Navegue até Servidor local, selecione o nome do computador para abrir as Propriedades do sistema
    • Selecione o botão Alterar e digite o novo nome do computador:

    • Reinicie o servidor para que as alterações sejam aplicadas

    Configurar

    Serviços AD, Modelo de Usuário e Certificado

    Habilitar e Configurar os Serviços do Ative Diretory

    • No Gerenciador do Servidor, selecione a opção Adicionar Funções e Recursos, selecione Instalação baseada em Função ou em recurso e escolha o servidor do pool (deve haver apenas um no pool) e, em seguida, os Serviços de Domínio do Ative Diretory:

    • Continue a selecionar o botão Avançar e, em seguida, instale
    • Selecione o botão Fechar depois de concluir a instalação
    • Uma guia de aviso aparece em Gerenciador de Servidores > AD DS com o título Configuração necessária para Serviços de Domínio do Ative Diretory; Selecione mais link e depois ação disponível para iniciar o assistente de configuração:

    • Siga os prompts no assistente de configuração de domínio, adicione uma nova floresta com o nome de domínio raiz desejado (usado michamen.com para este laboratório) e desmarque a caixa DNS quando disponível, defina a senha do DSRM (usado C1sc0123! para este laboratório):

    • É necessário especificar um nome de domínio NetBIOS (usado MICHAMEN1 neste laboratório).
    • Siga o assistente até a conclusão. O servidor é reinicializado para concluir a instalação.
    • em seguida, é necessário especificar o novo nome de domínio na próxima vez que você fizer logon. Por exemplo, MICHAMEN1\Administrator.

    Habilitar e configurar serviços de certificado

    • No Gerenciador do servidor, selecione Adicionar funções e recursos
    • Selecione os Serviços de Certificados do Ative Diretory e siga os avisos para adicionar os recursos necessários (todos os recursos disponíveis foram selecionados dos serviços de função que foram ativados para este laboratório)
    • Para a inscrição na Web da Autoridade de Certificação de Verificação de Serviços de Função

    • Uma guia de aviso deve aparecer em Server Manager >AD DS com o título Configuration required for Ative Diretory Certificate Services; Selecione o link mais e depois a ação disponível:

    • No Assistente de configuração pós-instalação do AD-CS, navegue pelas seguintes etapas: 
    • Selecione as funções de inscrição na Web da Autoridade de Certificação e da Autoridade de Certificação
    • Escolha AC empresarial com opções:
    • CA raiz
    • Criar uma nova chave privada
    • Usar chave privada - SHA1 com configurações padrão
    • Defina um nome comum para a CA (deve corresponder ao nome de host do servidor):

    • Definir validade por 5 anos (ou mais, se desejado)
    • Selecione o botão Avançar pelo restante do assistente

    Criação de modelo de certificado para CiscoRA

    • Abra o MMC. Selecione o logotipo de início do Windows e digite mmc em Executar
    • Abra uma janela do MMC e adicione os seguintes snap-ins (usados em pontos diferentes da configuração) e selecione OK:

    • Selecione Arquivo > Salvar e salve esta sessão de console na área de trabalho para um rápido reacesso
    • Nos snap-ins, selecione Modelos de certificado
    • Crie ou clone um modelo (preferencialmente o modelo "Autoridade de Certificação Raiz", se disponível) e nomeie-o como CiscoRA

    • Modifique o modelo. Clique com o botão direito do mouse nele e selecione Propriedades
    • Selecione a guia Geral e defina o período de validade como 20 anos (ou outro valor, se desejado). Nesta guia, verifique se os valores de "nome de exibição" e "nome" do modelo correspondem

    • Selecione a guia Extensões, realce Políticas de aplicativos e selecione Editar

    • Remova todas as políticas exibidas na janela exibida
    • Selecione a guia Nome do assunto e selecione o botão de opção Suprimento em Solicitação
    • Selecione a guia Segurança e conceda todas as permissões para todos os grupos/nomes de usuário mostrados

    Disponibilizar o modelo de certificado para emissão

    • Nos snap-ins da MMC, selecione Autoridade de Certificação e expanda a árvore de pastas para localizar a pasta Modelos de Certificado
    • Clique com o botão direito do mouse no espaço em branco do quadro que contém Nome e Finalidade
    • Selecione Novo e Modelo de Certificado a Emitir
    • Selecione o modelo recém-criado e editado do CiscoRA

    Criação de conta CiscoRA do Ative Diretory

    • Navegue até snap-ins MMC e selecione Usuários e Computadores do Ative Diretory
    • Selecione a pasta Usuários na árvore no painel à esquerda
    • Clique com o botão direito do mouse no espaço em branco do quadro que contém Nome, Tipo e Descrição
    • Selecionar Novo e Usuário
    • Crie a conta CiscoRA com nome de usuário/senha (ciscora/Cisco123 foi usado para este laboratório) e marque a caixa de seleção Senha nunca expira quando ela é mostrada

    IIS Autenticação e configuração de vinculação SSL

    Enable NTLM Autenticação

    • Navegue até snap-ins MMC e, no snap-in Gerenciador dos Serviços de Informações da Internet (IIS), selecione o nome do servidor
    • A lista de recursos é exibida no próximo quadro. Clique duas vezes no ícone do recurso Authentication

    • Realce Autenticação do Windows e, no quadro Ações (painel Direito), selecione a opção Habilitar

    • O painel Ações apresenta a opção Definições avançadas; selecione-o e desmarque Ativar autenticação no modo Kernel

    • Selecionar Provedores e colocar em ordem NTML, Negociar e, opcionalmente, Negociar:Kerberos

    Gerar o certificado de identidade para o servidor Web

    Se ainda não for o caso, você precisará gerar um certificado de identidade para seu serviço Web que seja assinado pela CA porque o CiscoRA não poderá se conectar a ele se o certificado do servidor Web for Autoassinado:

    • Selecione seu servidor Web no snap-in IIS e clique duas vezes no ícone do recurso Certificados de Servidor:

    • Por padrão, você pode ver um certificado listado ali; que é o certificado CA raiz autoassinado; No menu Ações, selecione a opção Criar certificado de domínio. Insira os valores no assistente de configuração para criar seu novo certificado. Certifique-se de que o nome comum seja um FQDN (Fully Qualified Domain Name, Nome de domínio totalmente qualificado) resolvível e selecione Next (Avançar):

    • Selecione o certificado da AC raiz para ser o emissor e selecione Concluir:

    • Você pode ver ambos, o certificado CA e o certificado de identidade do servidor Web listados:

    Ligação SSL do Servidor Web

    • Selecione um site na exibição de árvore (você pode usar o Site padrão ou torná-lo mais granular para sites específicos) e selecione Vinculações no painel Ações. Isso exibe o editor de vínculos que permite criar, editar e excluir vínculos para seu site. Selecione Adicionar para adicionar a nova associação SSL ao site.

    • As configurações padrão para um novo enlace são definidas como HTTP na porta 80. Selecione https na lista suspensa Tipo. Selecione o certificado autoassinado criado na seção anterior na lista suspensa Certificado SSL e selecione OK.

    • Agora você tem um novo enlace SSL no seu site e tudo o que resta é verificar se ele funciona com a opção Browse *:443 (https) no menu e garantir que a página padrão do IIS na Web use HTTPS:

    • Lembre-se de reiniciar o serviço do IIS após as alterações de configuração. Use a opção Reiniciar no painel Ações.

    Configuração do CUCM

    • Navegue até Segurança > Gerenciamento de Certificados na página Administração do SO e selecione o botão Carregar Certificado/Cadeia de Certificados para carregar o certificado CA com a finalidade definida como CAPF-trust.

    ... Neste ponto, também é uma boa ideia carregar o mesmo certificado CA que o CallManager-trust porque é necessário se a encriptação de sinalização segura estiver ativada (ou será ativada) para os terminais; o que é provável se o cluster estiver no modo misto.

    • Navegue até System > Service Parameters. Selecione o servidor do Editor do Unified CM no campo do servidor e a Função de Proxy da Autoridade de Certificação da Cisco no campo Serviço
    • Defina o valor de Certificate Issuer (Emissor de certificado) como Endpoint para Online CA (CA on-line) e insira os valores para os campos Online CA Parameters (Parâmetros de CA on-line). Certifique-se de usar o FQDN do servidor Web, o nome do modelo de certificado criado anteriormente (CiscoRA), o tipo de CA como CA Microsoft e use as credenciais da conta de usuário do CiscoRA criada anteriormente

    • Uma janela pop informa que o serviço CAPF precisa ser reiniciado. Mas primeiro, ative o Cisco Certificate Enrollment Service através do Cisco Unified Serviceability > Tools > Service Ativation, selecione o Publisher no campo Server e marque a caixa de seleção Cisco Certificate Enrollment Service e, em seguida, selecione o botão Save:

    Verificar

    Verificar certificados do IIS

    • A partir de um navegador da Web em um PC com conectividade com o servidor (preferencialmente na mesma rede do Editor do CUCM), navegue até o URL:

    https://YOUR_SERVER_FQDN/certsrv/

    • O alerta Certificado não confiável é exibido. Adicione a exceção e verifique o certificado. Verifique se ele corresponde ao FQDN esperado:

    • Depois de aceitar a exceção, você precisa autenticar; neste ponto, você precisa usar as credenciais configuradas para a conta do CiscoRA anteriormente:

    • Após a autenticação, você deve conseguir ver a página de boas-vindas do AD CS (Ative Diretory Certificate Services):

    Verificar a configuração do CUCM

    Execute as etapas normalmente seguidas para instalar um certificado LSC em um dos telefones.

    Etapa 1. Abra a página de administração do CallManager, o dispositivo e, em seguida, o telefone

    Etapa 2. Selecione o botão Localizar para exibir os telefones

    Etapa 3. Selecione o telefone no qual deseja instalar o LSC

    Etapa 4. Role para baixo até Informações da função de proxy da autoridade de certificação (CAPF)

    Etapa 5. Selecione Install/Upgrade (Instalar/atualizar) na Certificate Operation (Operação de certificado).

    Etapa 6. Selecione o Modo de autenticação. (Por String Nula é aceitável para fins de teste)

    Passo 7. Role até o topo da página e selecione save (salvar) e, em seguida, Apply Config (Aplicar configuração) para o telefone.

    Etapa 8. Depois que o telefone for reiniciado e registrado novamente, use o filtro de status LSC para confirmar se o LSC foi instalado com êxito.

    • No lado do servidor do AD, abra o MMC e expanda o snap-in Autoridade de Certificação para selecionar a pasta Certificados Emitidos
    • A entrada para o telefone é exibida Dentro da exibição de resumo, estes são alguns dos detalhes exibidos:
      • ID da solicitação: Número de sequência exclusivo
      • Nome do solicitante: O nome de usuário da conta CiscoRA configurada deve ser exibido
      • Modelo de certificado: O nome do modelo CiscoRA criado deve ser exibido
      • Nome comum emitido: O modelo do telefone anexado pelo nome do dispositivo deve ser exibido
      • Data de validade do certificado e data de vencimento do certificado

    Links relacionados

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    05-Jun-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Michael Mendoza
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos