Configurar o Registro e a Renovação Automáticos de Certificados por meio da CA Online da CAPF

Opções de download

  • PDF     (2.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de junho de 2023
ID do documento:214501

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a Inscrição e Renovação Automática de Certificados através do recurso on-line CAPF para o Cisco Unified Communications Manager (CUCM).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco Unified Communications Manager
    • Certificados X.509
    • Servidor Windows
    • Windows Ative Diretory (AD)
    • Serviços de Informações da Internet (IIS) do Windows
    • Autenticação NT (New Technology) LAN Manager (NTLM)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • CUCM versão 12.5.1.10000-22
    • Windows Server 2012 R2
    • Telefone IP CP-8865 / Firmware: SIP 12-1-1SR1-4 e 12-5-1SR2.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento aborda a configuração do recurso e os recursos relacionados para pesquisa adicional.

    Validar a hora e a data do servidor

    Verifique se o servidor Windows tem a data, a hora e o fuso horário corretos configurados, pois isso afeta os tempos de validade do certificado CA (Autoridade de Certificação) raiz do servidor, bem como os certificados emitidos por ele.

    Atualizar Nome do Computador do servidor

    Por padrão, o nome do computador servidor tem um nome aleatório, como WIN-730K65R6BSK. A primeira coisa a ser feita antes de habilitar os Serviços de Domínio do AD é garantir que o nome do computador do servidor seja atualizado para o nome de host do servidor e o Nome do emissor da CA raiz até o final da instalação; caso contrário, serão necessárias várias etapas adicionais para alterar isso depois que os serviços do AD forem instalados.

    • Navegue até Servidor local, selecione o nome do computador para abrir a página Propriedades do sistema
    • Selecione o botão Alterar e digite o nome do novo computador:

    1_rename_server

    • Reinicie o servidor para que as alterações sejam aplicadas

    Configurar

    Serviços do AD, Usuário e Modelo de Certificado

    Habilitar e Configurar Serviços do Ative Diretory

    • No Gerenciador do Servidor, selecione a opção Adicionar Funções e Recursos, selecione a instalação baseada em funções ou recursos e escolha o servidor no pool (deve haver apenas um no pool) e, em seguida, Serviços de Domínio Ative Diretory:

    2_ad_ds_enable

    • Continue selecionando o botão Avançar e instale
    • Selecione o botão Close (Fechar) depois de concluir a instalação
    • Aparece uma guia de aviso em Gerenciador de servidores > AD DS com o título Configuração necessária para os Serviços de Domínio Ative Diretory; Selecione mais links e, em seguida, a ação disponível para iniciar o assistente de configuração:

    3_ad_ds_install_1

    • Preencha os prompts no assistente de configuração de domínio, adicione uma nova floresta com o Nome de Domínio Raiz desejado e desmarque a caixa DNS quando disponível e defina a senha DSRM.

    4_ad_ds_install_2

    5a_ad_ds_install_3

    • É necessário especificar um nome de domínio NetBIOS (usado MICHAMEN1 neste laboratório).
    • Conclua o assistente. Em seguida, o servidor é reinicializado para concluir a instalação.
    • Em seguida, especifique o novo nome de domínio na próxima vez que você fizer login. Por exemplo, MICHAMEN1\Administrator.

    5b_ad_ds_install_4

    Habilitar e Configurar Serviços de Certificado

    • No Gerenciador de Servidores, selecione Adicionar Funções e Recursos
    • Selecione Serviços de Certificados do Ative Diretory e adicione os recursos necessários (todos os recursos disponíveis foram selecionados nos serviços de função habilitados para este laboratório)
    • Para Serviços de Função, verifique o Registro na Web da Autoridade de Certificação

    enable_cs_1

    enable_cs_2

    • Uma guia de aviso deve aparecer em Gerenciador do servidor >AD DS com o título Configuração necessária para Serviços de certificado do Ative Diretory; Selecione o link mais e a ação disponível:

    enable_cs_3

    • No assistente de configuração pós-instalação do AD-CS, siga estas etapas: 
    • Selecione as Funções de Autoridade de Certificação e Registro na Web de Autoridade de Certificação
    • Escolha CA Corporativa com opções:
    • CA raiz
    • Criar uma nova chave privada
    • Usar chave privada - SHA1 com configurações padrão
    • Defina um nome comum para a autoridade de certificação (deve corresponder ao nome de host do servidor):

    enable_cs_4

    • Defina a validade por 5 anos (ou mais, se desejar)
    • Selecione o botão Avançar no restante do assistente

    Criação de Modelo de Certificado para CiscoRA

    • Abra o MMC. Selecione o logotipo de inicialização do Windows e digite mmc em Executar
    • Abra uma janela do MMC, adicione os snap-ins (usados em pontos diferentes da configuração) e selecione OK:

    6_template_1

    6_template_2

    • Selecione Arquivo > Salvar e salve esta sessão de console na área de trabalho para um rápido novo acesso
    • Nos snap-ins, selecione Modelos de certificado
    • Criar ou clonar um modelo (preferencialmente o modelo "Autoridade de certificação raiz", se disponível) e nomeá-lo como CiscoRA

    6_template_3

    • Modifique o modelo. Clique com o botão direito do mouse nele e selecione Propriedades
    • Selecione a guia Geral e defina o período de validade como 20 anos (ou outro valor, se desejar). Nesta guia, certifique-se de que os valores de "nome para exibição" e "nome" do modelo correspondam

    6_template_8

    • Selecione a guia Extensions, realce Application Policies e selecione Edit

    6_template_4

    • Remova todas as políticas exibidas na janela exibida
    • Selecione a guia Nome do Assunto e selecione o botão de opção Suprimento na Solicitação
    • Selecione a guia Segurança e conceda permissões de acordo com suas necessidades para grupos/nomes de usuário.

    Note: Neste exemplo, foram concedidas permissões completas para simplificar, mas isso tem implicações de segurança. Em um ambiente de produção, as permissões de gravação e registro devem ser concedidas somente aos usuários e grupos que precisam delas. Consulte a documentação da Microsoft para obter mais informações.

    6_template_5

    Disponibilizar o Modelo de Certificado para Emissão

    • Nos snap-ins do MMC, selecione Autoridade de certificação e expanda a árvore de pastas para localizar a pasta Modelos de certificado
    • Clique com o botão direito do mouse no espaço em branco no quadro que contém Nome e Finalidade
    • Selecionar novo modelo de certificado para emissão
    • Selecione o modelo do CiscoRA recém-criado e editado

    6_template_6

    Criação de Conta CiscoRA do Ative Diretory

    • Navegue até os snap-ins do MMC e selecione Usuários e computadores do Ative Diretory
    • Selecione a pasta Usuários na árvore do painel mais à esquerda
    • Clique com o botão direito do mouse no espaço em branco no quadro que contém Nome, Tipo e Descrição
    • Selecionar novo usuário
    • Crie a conta CiscoRA com nome de usuário/senha (ciscora/Cisco123 foi usado para este laboratório) e marque a caixa de seleção A senha nunca expira quando for exibida

    6_template_7

    Configuração de Autenticação do IIS e Associação SSL

    Habilitar Autenticação NTLM

    • Navegue até os snap-ins do MMC e, no snap-in Gerenciador dos Serviços de Informações da Internet (IIS), selecione o nome do servidor
    • A lista de recursos é exibida no próximo quadro. Clique duas vezes no ícone do recurso Autenticação

    web_auth_1

    • Realce Autenticação do Windows e, no quadro Ações (painel direito), selecione a opção Habilitar.

    web_auth_2

    • painel Ações exibe a opção Configurações avançadas; selecione-o e desmarque Ativar autenticação no modo Kernel

    web_auth_3

    • Selecione Provedores e coloque em ordem NTML e, em seguida, Negociar.

    web_auth_4

    Gerar o Certificado de Identidade para o Servidor Web

    Se ainda não for o caso, você precisará gerar um certificado de identidade para o serviço Web que seja assinado pela CA porque o CiscoRA não poderá se conectar a ele se o certificado do servidor Web for AutoAssinado:

    • Selecione o servidor Web no snap-in do IIS e clique duas vezes no ícone do recurso Certificados de Servidor:

    gen_cert_1

    • Por padrão, você pode ver um certificado listado ali; que é o certificado CA raiz autoassinado; No menu Ações, selecione a opção Criar certificado de domínio. Insira os valores no assistente de configuração para criar seu novo certificado. Verifique se o Nome comum é um FQDN (Nome de domínio totalmente qualificado) que pode ser resolvido e selecione Avançar:

    gen_cert_2

    • Selecione o certificado da CA raiz para ser o emissor e selecione Concluir:

    gen_cert_3

    • Você pode ver ambos, o certificado CA e o certificado de identidade do servidor Web listados:

    gen_cert_4

    Associação SSL do Servidor Web

    • Selecione um site na exibição de árvore (você pode usar o site padrão ou torná-lo mais granular para sites específicos) e selecione Vinculações no painel Ações. Isso exibe o editor de associações que permite criar, editar e excluir associações para o site. Selecione Add para adicionar sua nova associação SSL ao site.

    ssl_1

    • As configurações padrão para uma nova associação são definidas como HTTP na porta 80. Selecione https na lista suspensa Tipo. Selecione o certificado autoassinado criado na seção anterior na lista suspensa Certificado SSL e, em seguida, selecione OK.

    ssl_2

    • Agora você tem uma nova associação SSL em seu site e tudo o que resta é verificar se ela funciona selecionando a opção Procurar *:443 (https) no menu e garantir que a página da Web padrão do IIS use HTTPS:

    ssl_3

    ssl_4

    • Lembre-se de reiniciar o serviço IIS após as alterações de configuração. Use a opção Reiniciar no painel Ações.

    Configuração do CUCM

    cm_config_1

    • Navegue para Security > Certificate Management na página OS Administration e selecione o botão Upload Certificate/Certificate chain para carregar o certificado CA com a finalidade definida como CAPF-trust.

    cm_config_2

    .. Neste ponto, também é uma boa ideia carregar esse mesmo certificado CA como CallManager-trust, porque ele é necessário se a criptografia de sinalização segura estiver habilitada para os endpoints; provavelmente se o cluster estiver no modo misto.

    • Navegue até Sistema > Parâmetros de serviço. Selecione o servidor Editor do Unified CM no campo do servidor e Função do proxy da autoridade de certificação da Cisco no campo Serviço
    • Defina o valor do Emissor do Certificado como Ponto de Extremidade para a CA Online e insira os valores dos campos Parâmetros da CA Online. Certifique-se de usar o FQDN do servidor Web, o nome do modelo de certificado criado anteriormente (CiscoRA), o tipo de CA como Microsoft CA e use as credenciais da conta de usuário do CiscoRA criada anteriormente

    cm_config_3

    • Uma janela pop-up informa que o serviço CAPF precisa ser reiniciado. Mas, primeiro, ative o Cisco Certificate Enrollment Service por meio do Cisco Unified Serviceability > Tools > Service Ativation, selecione o Publicador no campo do servidor e marque a caixa de seleção Cisco Certificate Enrollment Service e, em seguida, selecione o botão Salvar:

    cm_config_4

    Verificar

    Verificar Certificados do IIS

    • Em um navegador da Web em um PC com conectividade com o servidor (preferencialmente na mesma rede que o Editor do CUCM), navegue até o URL: 

    https://YOUR_SERVER_FQDN/certsrv/

    • Um alerta de certificado não confiável é exibido. Adicione a exceção e verifique o certificado. Certifique-se de que ele corresponda ao FQDN esperado:

    verify_1

    • Depois de aceitar a exceção, você precisa se autenticar; neste ponto, você precisa usar as credenciais configuradas para a conta do CiscoRA anteriormente:

    verify_2

    • Após a autenticação, você deverá ver a página de boas-vindas do AD CS (Serviços de Certificados do Ative Diretory):

    verify_3

    Verificar a configuração do CUCM

    Execute as etapas que você executa para instalar um certificado LSC em um dos telefones.

    Etapa 1. Abra a página CallManager Administration, o dispositivo e, em seguida, o telefone

    Etapa 2. Selecione o botão Localizar para exibir os telefones

    Etapa 3. Selecione o telefone no qual deseja instalar o LSC

    Etapa 4. Role até Certification Authority Proxy Function (CAPF) Information

    Etapa 5. Selecione Instalar/Atualizar na Operação de Certificação.

    Etapa 6. Selecione o Modo de autenticação. (Por sequência de caracteres nula é aceitável para fins de teste)

    Etapa 7. Role até o topo da página e selecione salvar e depois Aplicar configuração para o telefone.

    Etapa 8. Depois que o telefone for reiniciado e se registrar novamente, use o filtro Status LSC para confirmar se o LSC foi instalado com êxito.

    • No lado do servidor do AD, abra o MMC e expanda o snap-in Autoridade de Certificação para selecionar a pasta Certificados Emitidos
    • A entrada para o telefone é exibida Dentro da visualização resumida, estes são alguns dos detalhes exibidos:
      • ID da solicitação: Número de sequência exclusivo
      • Nome do solicitante: O nome de usuário da conta CiscoRA configurada deve ser exibido
      • Modelo de certificado: O nome do modelo do CiscoRA criado deve ser exibido
      • Nome comum emitido: O modelo do telefone anexado pelo nome do dispositivo deve ser exibido
      • Data efetiva do certificado e Data de vencimento do certificado

    cert_issue_1

    Links relacionados

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    08-Jun-2023
    Confirmado com BU que não há suporte para kerbeos, portanto, remova qualquer configuração sugerida relacionada a ele.
    1.0
    05-Jun-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Michael Mendoza
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos