Crie moldes do certificado de CA de Windows para CUCM
Índice
Introdução
Este original fornece um procedimento passo a passo a fim criar moldes de certificado em Windows Server-baseou as autoridades de certificação (CA), isso é complacente com exigências da extensão X.503 para cada tipo de certificado do gerente das comunicações unificadas de Cisco (CUCM).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Versão 11.5(1) ou mais recente CUCM
- O conhecimento básico da administração de Windows Server é recomendado igualmente
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- A informação neste documento é baseada na versão 10.5(2) ou mais recente CUCM.
- Microsoft Windows server 2012 R2 com os serviços CA instalados.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de fundo
Há cinco tipos de Certificados que podem ser assinados por um CA externo:
| Certificado |
Use |
Serviços impactados |
| Callmanager |
Apresentado em fixe o registro do dispositivo, pode assinar os arquivos da lista da confiança do certificate trust list (CTL) /Internal (ITL), usados para interações seguras com outros server tais como troncos seguros do Session Initiation Protocol (SIP). |
· Cisco Call Manager · Gerenciador de CTI de Cisco · Cisco TFTP |
| gato |
Apresentado para interações do protocolo secure hypertext transfer (HTTPS). |
· Cisco Tomcat · Escolha Sinal-em (o SSO) · Mobilidade da extensão · Corporate Directory |
| ipsec |
Usado para a geração do arquivo de backup, assim como a interação da Segurança IP (IPsec) com Media Gateway Control Protocol (MGCP) ou gateways H323. |
· Mestre de Cisco DRF · Local de Cisco DRF |
| CAPF |
Usado para gerar localmente - os Certificados significativos (LSC) para telefones. |
· Função do proxy do Certificate Authority de Cisco |
| TVS |
Usado para criar uma conexão ao serviço da verificação da confiança (TV), quando os telefones não puderem autenticar um certificado desconhecido. |
· Cisco confia o serviço da verificação |
Cada um destes Certificados tem algumas exigências da extensão X.509 que precisam de ser ajustadas, se não, você pode encontrar comportamentos inadequados em alguns dos serviços acima mencionados:
| Certificado |
Uso da chave X.509 |
Uso X.509 chave prolongado |
| Callmanager |
· Assinatura digital · Cifragem chave · Cifragem dos dados · Acordo chave |
· Autenticação do servidor de Web · Autenticação do cliente web |
| gato |
· Assinatura digital · Cifragem chave · Cifragem dos dados · Acordo chave |
· Autenticação do servidor de Web · Autenticação do cliente web |
| ipsec |
· Assinatura digital · Cifragem chave · Cifragem dos dados · Acordo chave |
· Autenticação do servidor de Web · Autenticação do cliente web · Sistema final de IPsec |
| CAPF |
· Assinatura digital · Sinal do certificado |
· Sistema final de IPsec · Autenticação de servidor de TWeb · Autenticação do cliente web |
| TVS |
· Assinatura digital · Sinal do certificado |
· Autenticação do servidor de Web · Autenticação do cliente web |
Para mais informação, proveja o Guia de Administração para o gerente das comunicações unificadas de Cisco.
Configurar
Etapa1. Em Windows Server, navegue ao gerenciador do servidor > às ferramentas > à autoridade de certificação, segundo as indicações da imagem.
Etapa 2. Selecione seu CA, a seguir navegue aos moldes de certificado, direito-clique na lista e seleto controle, segundo as indicações da imagem.
Molde de Callmanager
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.
- Assinatura digital
- Permita trocas de chave somente com criptografia chave (a cifragem chave)
- Permita a criptografia dos dados do usuário
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e clique-o a APROVAÇÃO neste indicador e no precedente, segundo as indicações da imagem.
Etapa 7. Para trás no molde, seleto aplique e APROVE então.
Etapa 8. Feche a janela de console do molde de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo de CallManager CUCM e selecione-o ESTÁ BEM, segundo as indicações da imagem.
Molde de Tomcat
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione então o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.
- Assinatura digital
- Permita trocas de chave somente com criptografia chave (a cifragem chave)
- Permita a criptografia dos dados do usuário
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.
Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEM neste indicador e no precedente.
Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.
Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo de Tomcat CUCM e clique sobre a APROVAÇÃO, segundo as indicações da imagem.
Molde de IPsec
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc….
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.
- Assinatura digital
- Permita trocas de chave somente com criptografia chave (a cifragem chave)
- Permita a criptografia dos dados do usuário
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e então APROVADO, segundo as indicações da imagem.
Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o e clique-o então a APROVAÇÃO nesta e no indicador precedente também.
Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.
Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 10. Selecione o molde novo IPSEC CUCM e clique sobre a APROVAÇÃO, segundo as indicações da imagem.
Molde CAPF
Etapa 1. Encontre o molde e o direito-clique da CA raiz nele. Selecione então o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.
- Assinatura digital
- Assinatura do certificado
- Assinatura CRL
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e selecione-a então ESTÁ BEM, segundo as indicações da imagem.
Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o e clique-o então a APROVAÇÃO nesta e no indicador precedente também, segundo as indicações da imagem.
Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.
Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 10. Selecione o molde novo CAPF CUCM e selecione-o ESTÁ BEM, segundo as indicações da imagem.
Molde TV
Etapa 1. Encontre o molde e o direito-clique da autoridade de certificação da raiz nele. Selecione então o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e APROVE-AS então, segundo as indicações da imagem.
- Assinatura digital
- Permita trocas de chave somente com criptografia chave (a cifragem chave)
- Permita a criptografia dos dados do usuário
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.
Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEM neste indicador e no precedente, segundo as indicações da imagem.
Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.
Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo TV e clique a APROVAÇÃO, segundo as indicações da imagem.
Gerencia um certificado
Use este exemplo a fim gerar um certificado de CallManager com o uso dos moldes recém-criados. O mesmo procedimento pode ser usado para qualquer tipo do certificado, você apenas precisa de selecionar em conformidade os tipos do certificado e do molde:
Etapa1. Em CUCM, navegue ao > segurança > ao gerenciamento certificado da administração ósmio > gerenciem o CSR.
Etapa 2. Selecione estas opções e seleto gerencia, segundo as indicações da imagem.
- Finalidade do certificado: CallManager
- Distribuição: os <This podem ser apenas para um server ou Multi-SAN>
Etapa 3. Um mensagem de confirmação é gerado, segundo as indicações da imagem.
Etapa 4. Na lista do certificado, procure a entrada com tipo CSR somente e selecione-a, segundo as indicações da imagem.
Etapa 5. Na janela pop-up, selecione a transferência CSR, e salvar o arquivo em seu computador.
Etapa 6. Em seu navegador, navegue a esta URL, e incorpore suas credenciais do administrador do controlador de domínio: https:// <yourWindowsServerIP>/certsrv/.
Etapa 7. Navegue para pedir um certificado > avançou o pedido do certificado, segundo as indicações da imagem.
Etapa 8. Abra o arquivo CSR e copie todos seus índices:
Etapa 9. Cole o CSR no campo do pedido do certificado Base-64-encoded. Sob o molde de certificado, selecione o molde correto e o clique submete-se, segundo as indicações da imagem.
Etapa 10. Finalmente, a base seleta 64 codificou e o certificate chain da transferência, o arquivo gerado pode agora ser transferido arquivos pela rede o CUCM.
Verificar
O procedimento de verificação é realmente parte do processo de configuração.
Troubleshooting
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)