A finalidade deste original é compreender os princípios dos Certificados e das autoridades de certificação. Este original felicita outros documentos Cisco que referem toda a criptografia ou características de autenticação no gerente das comunicações unificadas de Cisco (CUCM).
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Os Certificados são usados entre pontos finais para construir uma confiança/autenticação e uma criptografia dos dados. Isto confirma que os valores-limite se comunicam com o dispositivo pretendido e se têm a opção para cifrar os dados entre os dois valores-limite.
A maioria de parte importante de Certificados é a definição de que os pontos finais podem ser confiados por seu ponto final. Este original ajuda-o a saber e assim por diante e definir seus dados são cifrados e compartilhados com o Web site pretendido, telefone, servidor FTP.
Quando seu sistema confia um certificado, este significa que há uns certificados instalados em seu sistema que indica que tem 100 por cento seguro que compartilha da informação com o ponto final correto. Se não, termina a comunicação entre estes pontos finais.
Um exemplo não técnico deste é sua licença de direcionador. Você usa esta licença (server/certificado do serviço) mostrar que você é quem você diz que você é; você obteve sua licença de sua divisão local do ramo dos veículos motorizados (certificado intermediário) que foi dado a permissão pela divisão dos veículos motorizados (DMV) de seu estado (Certificate Authority). Quando você precisa de mostrar sua licença (server/certificado do serviço) a um oficial, o oficial sabe que podem confiar o ramo DMV (certificado intermediário) e a divisão de veículos motorizados (Certificate Authority), e podem verificar que esta licença esteve emitida por eles (Certificate Authority). Sua identidade é verificada ao oficial e agora confiam que você é quem você diz que você é. Se não, se você dá uma licença falsa (server/certificado do serviço) que não seja assinada pelo DMV (certificado intermediário), a seguir não confiarão que quem você diz você é. O restante deste documento fornece uma explicação detalhada, técnica da hierarquia do certificado.
Quando você visita um Web site, incorpore a URL, tal como http://www.cisco.com.
O DNS encontra o IP address do server que anfitrião esse local.
O navegador navega a esse local.
Sem Certificados, é impossível saber se um servidor DNS desonesto foi usado, ou se você foi distribuído a um outro server. Os Certificados asseguram-se de que você esteja distribuído corretamente e firmemente ao Web site pretendido, tal como seu Web site do banco, onde o pessoal ou a informação sensível que você incorpora são seguro.
Todos os navegadores têm ícones que diferentes se usam, mas normalmente, você vê um cadeado na barra de endereços como este:
Clique sobre os indicadores do cadeado e de um indicador:
Figura 1: Identificação do Web site
Clique sobre Certificados da vista para ver o certificado do local segundo as indicações deste exemplo:
Figura 2: Informação do certificado, tab geral
A informação destacada é importante.
São emitidos pela empresa ou o Certificate Authority (CA) confianças desse suas sistema já.
Válida desde/até é a escala da data que este certificado é útil. (Às vezes você vê um certificado onde você o conheça o confiança o CA, mas vê que o certificado é inválido. Verifique sempre a data assim que você sabe mesmo se expirou.)
DICA: Um melhor prática é criar um lembrete em seu calendário para renovar o certificado antes que expire. Isto impede as edições futuras.
O PEM é ASCII; O DER é binário. Figura 3 mostra o formato do certificado PEM.
Figura 3: Exemplo do certificado PEM
Figura 4 mostra o certificado DER.
Figura 4: Exemplo do certificado DER
A maioria de empresas CA como formato do uso PEM de Verisign ou de Thawt para enviar os Certificados aos clientes, porque é email-amigável. O cliente deve copiar a corda inteira e inclui-la -----COMECE O CERTIFICADO----- e -----CERTIFICADO DA EXTREMIDADE-----, cole-o em um arquivo de texto, e salvar o com a extensão .PEM ou .CER.
Windows pode ler o DER e o CER formata com seu próprio applet do gerenciamento certificado e mostra o certificado segundo as indicações da figura 5.
Figura 5: Informação do certificado
Em alguns casos, um dispositivo exige um formato específico (ASCII ou binário). A fim mudar isto, transfira o certificado do CA no formato necessário ou use uma ferramenta do conversor SSL, tal como https://www.sslshopper.com/ssl-converter.html.
A fim confiar um certificado de um ponto final, deve haver uma confiança já estabelecida com uma terceira parte CA por exemplo, figura mostras 6 lá está uma hierarquia de três Certificados.
Figura 6: Hierarquia do certificado
Verisign é um CA.
A validação estendida SSL CA da classe 3 de Verisign é um intermediário ou um certificado de servidor de assinatura (um server autorizado pelo CA para emitir Certificados em seu nome).
www.website.com é um server ou um certificado do serviço.
Seu ponto final precisa de saber que pode confiar o CA e Certificados intermediários primeiramente antes que saiba que pode confiar o certificado de servidor apresentado pelo aperto de mão SSL (detalhes abaixo). Para compreender melhor como esta confiança trabalha, refira a seção neste original: Defina a “confiança” do ponto de vista de um certificado.
Os principais diferença entre Certificados auto-assinados e da terceira são quem assinados o certificado, se você os confia.
Um certificado auto-assinado é um certificado assinado pelo server que o apresenta; consequentemente, o server/certificado do serviço e o certificado de CA são o mesmo.
Um CA da terceira é um serviço proporcionado ou por um público CA (como Verisign, confia, Digicert) ou um server (como Windows 2003, Linux, Unix, IO) esse controla a validez do server/certificado do serviço.
Cada um pode ser um CA mesmo se seu sistema confia esse CA, é o que importa mais.
Os nomes comuns (NC) e os nomes alternativos sujeitos (SAN) são referências ao IP address ou ao nome de domínio totalmente qualificado (FQDN) do endereço que é pedido. Por exemplo, se você entra em https://www.cisco.com, a seguir a NC ou o SAN devem ter www.cisco.com no encabeçamento.
No exemplo mostrado na figura 7, o certificado tem a NC como www.cisco.com. O pedido URL para www.cisco.com do navegador verifica o FQDN URL contra a informação que o certificado apresenta. Neste caso, combinam, e mostra que o aperto de mão SSL é bem sucedido. Este Web site foi verificado para ser o Web site correto e as comunicações são cifradas agora entre o desktop e o Web site.
Figura 7: Verificação do Web site
No mesmo certificado, há um encabeçamento SAN para três endereços FQDN/DNS:
Figura 8: Encabeçamento SAN
Este certificado pode autenticar/verifica www.cisco.com (igualmente definido na NC), cisco.com, e cisco-images.cisco.com. Isto significa que você pode igualmente datilografar cisco.com, e este mesmo certificado pode ser usado para autenticar e cifrar este Web site.
CUCM pode criar encabeçamentos SAN. Refira o original da queimadura de Jason, CUCM que transfere arquivos pela rede Certificados da Web GUI de CCMAdmin na comunidade do apoio para obter mais informações sobre dos encabeçamentos SAN.
Os Certificados do convite são os Certificados que usam um asterisco (*) para representar toda a corda em uma seção de uma URL. Por exemplo, a fim ter um certificado para www.cisco.com, ftp.cisco.com, ssh.cisco.com, e assim por diante, um administrador precisaria somente de criar um certificado para *.cisco.com. A fim salvar o dinheiro, as necessidades do administrador somente de comprar um único certificado e não precisam de comprar certificados múltiplos.
Esta característica não é apoiada atualmente pelo gerente das comunicações unificadas de Cisco (CUCM). Contudo, você pode manter-se a par deste realce: CSCta14114: Pedido para o apoio do certificado do convite em CUCM e em importação da chave privada.
Quando os Certificados têm a mesma informação neles, você pode ver se é o mesmo certificado. Todos os Certificados têm um número de série original. Você pode usar este para comparar se os Certificados são os mesmos Certificados, regenerado, ou moeda falsa. A figura 9 fornece um exemplo:
Figura 9: Número de série do certificado
O CSR representa a solicitação de assinatura de certificado. Se você quer criar um certificado da terceira para um server CUCM, você precisa um CSR de apresentar ao CA. Este CSR olha muito como um certificado PEM (ASCII).
Nota: Este não é um certificado e não pode ser usado como um.
CUCM cria CSR automaticamente através da Web GUI: Cisco unificou o > segurança > o gerenciamento certificado da administração do sistema operacional > gerencie CSR > escolhe o serviço que você quer criar o certificado > gerencie então o CSR. Cada vez que esta opção é usada, uma chave privada e um CSR novos estão gerados.
Nota: Uma chave privada é um arquivo que seja original a estes server e serviço. Isto deve nunca ser dado a qualquer um! Se você fornece uma chave privada a alguém, compromete a Segurança que o certificado fornece. Também, não regenere um CSR novo para o mesmo serviço se você usa o CSR velho para criar um certificado. CUCM suprime do CSR e da chave privada velhos e substitui ambos eles, que faz o CSR velho inútil.
Refira a documentação da queimadura de Jason na comunidade do apoio: CUCM que transfere arquivos pela rede Certificados da Web GUI de CCMAdmin para obter informações sobre de como criar CSR.
O protocolo de handshake é uma série de mensagens arranjadas em sequência que negociam os parâmetros de segurança de uma sessão de transferência de dados. Refira o SSL/TLS em detalhe , que documenta a sequência de mensagem no protocolo de handshake. Estes podem ser vistos em uma captura de pacote de informação (PCAP). Os detalhes incluem a inicial, subsequente, e os mensagens finais enviados e recebidos entre o cliente e servidor.
Quando os Certificados são transferidos arquivos pela rede a CUCM, há duas opções para cada serviço através de Cisco unificou o > segurança > o gerenciamento certificado > o achado da administração do sistema operacional.
Os cinco serviços que permitem que você controle Certificados em CUCM são:
gato
ipsec
callmanager
capf
tevês (na liberação 8.0 CUCM e mais atrasado)
Estão aqui os serviços que permitem que você transfira arquivos pela rede Certificados a CUCM:
gato
Tomcat-confiança
ipsec
ipsec-confiança
callmanager
callmanager-confiança
capf
CAPF-confiança
Estes são os serviços disponíveis na liberação 8.0 CUCM e mais atrasado:
tevês
TV-confiança
phone-trust
phone-vpn-trust
phone-sast-trust
phone-ctl-trust
Refira os guias da Segurança CUCM pela liberação para mais detalhes nestes tipos de Certificados. Esta seção explica somente a diferença entre um certificado do serviço e um certificado de confiança.
Por exemplo, com gato, as Tomcat-confianças transferem arquivos pela rede o CA e os Certificados intermediários de modo que este nó CUCM o conheça podem confiar todo o certificado assinado pelo CA e pelo server intermediário. O certificado do gato é o certificado que está apresentado pelo serviço do gato neste server, se um ponto final faz um pedido do HTTP a este server. A fim permitir a apresentação de Certificados da terceira pelo gato, o nó CUCM precisa de saber que pode confiar o CA e o server intermediário. Consequentemente, é uma exigência transferir arquivos pela rede o CA e os Certificados intermediários antes que o certificado do gato (serviço) esteja transferido arquivos pela rede.
Refira o CUCM da queimadura de Jason que transfere arquivos pela rede Certificados da Web GUI de CCMAdmin na comunidade do apoio para a informação que o ajudará a compreender como transferir arquivos pela rede Certificados a CUCM.
Cada serviço tem seus próprios certificado do serviço e Certificados de confiança. Não trabalham fora de se. Ou seja um CA e um certificado intermediário transferidos arquivos pela rede como um serviço da Tomcat-confiança não podem ser usados pelo serviço do callmanager.
Nota: Os Certificados em CUCM são a pela base do nó. Consequentemente, se você precisa os Certificados transferidos arquivos pela rede ao editor, e você precise os assinantes de ter os mesmos Certificados, você precisa de transferi-los arquivos pela rede a cada servidor individual e nó antes da liberação 8.5 CUCM. Em CUCM libere 8.5 e mais atrasado, há um serviço que replicates Certificados transferidos arquivos pela rede ao resto dos Nós no conjunto.
Nota: Cada nó tem uma NC diferente. Consequentemente, um CSR deve ser criado por cada nó para que o serviço apresente seus próprios Certificados.
Se você tem perguntas específicas adicionais em alguns dos recursos de segurança CUCM, refira a documentação da Segurança.
Este original ajuda e constrói a um nível alto do conhecimento em Certificados. Este assunto pode importar pode tornar-se mais detalhado, mas este original familiariza-o bastante para trabalhar com Certificados. Se você tem perguntas em quaisquer recursos de segurança CUCM, refira os guias da Segurança CUCM pela liberação para mais informação.