Crie moldes do certificado de CA de Windows para CUCM

Introdução

Este original fornece um procedimento passo a passo a fim criar moldes de certificado em Windows Server-baseou as autoridades de certificação (CA), isso é complacente com exigências da extensão X.503 para cada tipo de certificado do gerente das comunicações unificadas de Cisco (CUCM).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Versão 11.5(1) ou mais recente CUCM
• O conhecimento básico da administração de Windows Server é recomendado igualmente

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• A informação neste documento é baseada na versão 10.5(2) ou mais recente CUCM.
• Microsoft Windows server 2012 R2 com os serviços CA instalados.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de fundo

Há cinco tipos de Certificados que podem ser assinados por um CA externo:

Certificado	Use	Serviços impactados
Callmanager	Apresentado em fixe o registro do dispositivo, pode assinar os arquivos da lista da confiança do certificate trust list (CTL) /Internal (ITL), usados para interações seguras com outros server tais como troncos seguros do Session Initiation Protocol (SIP).	·  Cisco Call Manager ·  Gerenciador de CTI de Cisco ·  Cisco TFTP
gato	Apresentado para interações do protocolo secure hypertext transfer (HTTPS).	·  Cisco Tomcat ·  Escolha Sinal-em (o SSO) ·  Mobilidade da extensão ·  Corporate Directory
ipsec	Usado para a geração do arquivo de backup, assim como a interação da Segurança IP (IPsec) com Media Gateway Control Protocol (MGCP) ou gateways H323.	·  Mestre de Cisco DRF ·  Local de Cisco DRF
CAPF	Usado para gerar localmente - os Certificados significativos (LSC) para telefones.	·  Função do proxy do Certificate Authority de Cisco
TVS	Usado para criar uma conexão ao serviço da verificação da confiança (TV), quando os telefones não puderem autenticar um certificado desconhecido.	· Cisco confia o serviço da verificação

Cada um destes Certificados tem algumas exigências da extensão X.509 que precisam de ser ajustadas, se não, você pode encontrar comportamentos inadequados em alguns dos serviços acima mencionados:

Certificado	Uso da chave X.509	Uso X.509 chave prolongado
Callmanager	·   Assinatura digital ·   Cifragem chave ·   Cifragem dos dados ·   Acordo chave	·  Autenticação do servidor de Web ·  Autenticação do cliente web
gato	·   Assinatura digital ·   Cifragem chave ·   Cifragem dos dados ·   Acordo chave	·  Autenticação do servidor de Web ·  Autenticação do cliente web
ipsec	·   Assinatura digital ·   Cifragem chave ·   Cifragem dos dados ·   Acordo chave	·  Autenticação do servidor de Web ·  Autenticação do cliente web ·  Sistema final de IPsec
CAPF	·   Assinatura digital ·   Sinal do certificado	·  Sistema final de IPsec ·  Autenticação de servidor de TWeb ·  Autenticação do cliente web
TVS	·   Assinatura digital ·   Sinal do certificado	·  Autenticação do servidor de Web ·  Autenticação do cliente web

Para mais informação, proveja o Guia de Administração para o gerente das comunicações unificadas de Cisco.

Configurar

Etapa1. Em Windows Server, navegue ao gerenciador do servidor > às ferramentas > à autoridade de certificação, segundo as indicações da imagem.

Etapa 2. Selecione seu CA, a seguir navegue aos moldes de certificado, direito-clique na lista e seleto controle, segundo as indicações da imagem.

Molde de Callmanager

Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado, segundo as indicações da imagem.

Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.

Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.

Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.

• Assinatura digital
• Permita trocas de chave somente com criptografia chave (a cifragem chave)
• Permita a criptografia dos dados do usuário

Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.

Etapa 6. Procure pela authenticação do cliente, selecione-a e clique-o a APROVAÇÃO neste indicador e no precedente, segundo as indicações da imagem.

Etapa 7. Para trás no molde, seleto aplique e APROVE então.

Etapa 8. Feche a janela de console do molde de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.

Etapa 9. Selecione o molde novo de CallManager CUCM e selecione-o ESTÁ BEM, segundo as indicações da imagem.

Molde de Tomcat

Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione então o molde duplicado, segundo as indicações da imagem.

Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.

Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.

Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.

• Assinatura digital
• Permita trocas de chave somente com criptografia chave (a cifragem chave)
• Permita a criptografia dos dados do usuário

Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.

Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEM neste indicador e no precedente.

Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.

Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.

Etapa 9. Selecione o molde novo de Tomcat CUCM e clique sobre a APROVAÇÃO, segundo as indicações da imagem.

Molde de IPsec

Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado, segundo as indicações da imagem.

Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc….

Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.

Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.

• Assinatura digital
• Permita trocas de chave somente com criptografia chave (a cifragem chave)
• Permita a criptografia dos dados do usuário

Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.

Etapa 6. Procure pela authenticação do cliente, selecione-a e então APROVADO, segundo as indicações da imagem.

Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o e clique-o então a APROVAÇÃO nesta e no indicador precedente também.

Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.

Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.

Etapa 10. Selecione o molde novo IPSEC CUCM e clique sobre a APROVAÇÃO, segundo as indicações da imagem.

Molde CAPF

Etapa 1. Encontre o molde e o direito-clique da CA raiz nele. Selecione então o molde duplicado, segundo as indicações da imagem.

Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.

Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.

Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.

• Assinatura digital
• Assinatura do certificado
• Assinatura CRL

Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.

Etapa 6. Procure pela authenticação do cliente, selecione-a e selecione-a então ESTÁ BEM, segundo as indicações da imagem.

Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o e clique-o então a APROVAÇÃO nesta e no indicador precedente também, segundo as indicações da imagem.

Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.

Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.

Etapa 10. Selecione o molde novo CAPF CUCM e selecione-o ESTÁ BEM, segundo as indicações da imagem.

Molde TV

Etapa 1. Encontre o molde e o direito-clique da autoridade de certificação da raiz nele. Selecione então o molde duplicado, segundo as indicações da imagem.

Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, a validez, etc.

Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.

Etapa 4. Selecione estas opções e APROVE-AS então, segundo as indicações da imagem.

• Assinatura digital
• Permita trocas de chave somente com criptografia chave (a cifragem chave)
• Permita a criptografia dos dados do usuário

Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações da imagem.

Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEM neste indicador e no precedente, segundo as indicações da imagem.

Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações da imagem.

Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiro indicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.

Etapa 9. Selecione o molde novo TV e clique a APROVAÇÃO, segundo as indicações da imagem.

Gerencia um certificado

Use este exemplo a fim gerar um certificado de CallManager com o uso dos moldes recém-criados. O mesmo procedimento pode ser usado para qualquer tipo do certificado, você apenas precisa de selecionar em conformidade os tipos do certificado e do molde:

Etapa1. Em CUCM, navegue ao > segurança > ao gerenciamento certificado da administração ósmio > gerenciem o CSR.

Etapa 2. Selecione estas opções e seleto gerencia, segundo as indicações da imagem.

• Finalidade do certificado: CallManager
• Distribuição: os <This podem ser apenas para um server ou Multi-SAN>

 Etapa 3. Um mensagem de confirmação é gerado, segundo as indicações da imagem.

Etapa 4. Na lista do certificado, procure a entrada com tipo CSR somente e selecione-a, segundo as indicações da imagem.

Etapa 5. Na janela pop-up, selecione a transferência CSR, e salvar o arquivo em seu computador.

Etapa 6. Em seu navegador, navegue a esta URL, e incorpore suas credenciais do administrador do controlador de domínio: https:// <yourWindowsServerIP>/certsrv/.

Etapa 7. Navegue para pedir um certificado > avançou o pedido do certificado, segundo as indicações da imagem.

Etapa 8. Abra o arquivo CSR e copie todos seus índices:

Etapa 9. Cole o CSR no campo do pedido do certificado Base-64-encoded. Sob o molde de certificado, selecione o molde correto e o clique submete-se, segundo as indicações da imagem.

Etapa 10. Finalmente, a base seleta 64 codificou e o certificate chain da transferência, o arquivo gerado pode agora ser transferido arquivos pela rede o CUCM.

Verificar

O procedimento de verificação é realmente parte do processo de configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.