在CVP呼叫服务器中为SIP传输层安全(TLS)生成证书颁发机构(CA)签名证书
简介
本文档介绍如何为客户语音门户(CVP)呼叫服务器生成CA签名证书,以及如何验证CVP呼叫服务器证书。从CVP版本11.6,支持会话发起协议(SIP)TLS通信。
先决条件
要求
Cisco 建议您了解以下主题:
- CVP
- SIP
使用的组件
本文档中的信息基于CVP 11.6。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1.查找密钥库的密码。
在CVP呼叫服务器中导航至c:\Cisco\CVP\conf\security.properties以查找此密码。
此文件包含密钥库的密码,在操作密钥库时需要该密码。
步骤2.创建临时变量以避免每次输入密钥库密码值。
导航到c:\Cisco\CVP\conf\security 并运行以下命令:
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass 592(!aT@Hbt{[c]b7n6{mj6j[0p4c~X2?4!zv~5(@2*12Dm97) -storetype JCEKS -keystore .keystore
步骤3.删除现有呼叫服务器证书。
导航至c:\Cisco\CVP\conf\security以查找现有证书。运行以下命令以删除证书:
%kt% -delete -alias callserver_certificate
删除证书后,可使用此命令来验证CVP服务器中的所有证书:
%kt% -list
要确认是否删除了呼叫服务器证书,请运行以下命令:
%kt% -list | findstr callserver
步骤4.生成密钥对。必须使用2048位密钥对。
导航至c:\Cisco\CVP\conf\security并运行以下命令:
%kt% -genkeypair -alias callserver_certificate -v -keysize 2048 -keyalg RSA
当您运行此命令时,它会要求提供以下信息:
步骤5.生成新的证书签名请求(CSR)。
导航至c:\Cisco\CVP\conf\security并运行以下命令:
%kt% -certreq -alias callserver_certificate -file callserver.csr
步骤6.通过内部CA或第三方C签署CSR。
导航到c:\Cisco\CVP\conf\security 以查找此CSR文件:
步骤7.安装根CA。
两个证书被复制到c:\Cisco\CVP\conf\security。
- 根CA证书
- 已签名呼叫服务器证书
运行此指令:
%kt% -import -v -trustcacerts -alias root -file DC-Root.cer
在本实验中,根CA证书为DC-Root.cer。
步骤8.安装由CA签名的呼叫服务器证书。
导航至c:\Cisco\CVP\conf\security
运行此指令:
在本实验中,呼叫服务器证书是cvpcallserver.cer。
步骤9.验证新安装的证书
运行此指令:
示例:
创建日期:2017年8月25日
条目类型:PrivateKeyEntry
证书链长度:2
证书[1]:
所有者:CN=col115cvpcall02,OU=TAC,O=Cisco,L=Sydney,ST=NSW,C=AU
颁发机构:CN=col115-COL115-CA,DC=col115,DC=org,DC=au
序列号:610000000e78c717ba3dd3dc2400000000000e
有效期:2017年8月25日11:32:43日(美国东部标准时间)至:2018年8月25日11:42:43日(美国东部标准时间)
证书指纹:
完成所有这些步骤后,安装了呼叫服务器的CA签名证书。当建立SIP的TLS连接时,使用此证书。
验证
以下两个命令可用于列出所有证书或仅调用服务器证书:
%kt% -list
%kt% -list | findstr callserver
此命令可用于查看证书详细信息:
别名:callserver_certificate
故障排除
目前没有针对此配置的故障排除信息。
反馈