简介
本文档介绍如何为客户语音门户(CVP)呼叫服务器生成CA签名证书,以及如何验证CVP呼叫服务器证书。从CVP版本11.6,支持会话发起协议(SIP)TLS通信。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于CVP 11.6。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1.查找密钥库的密码。
在CVP呼叫服务器中导航至c:\Cisco\CVP\conf\security.properties以查找此密码。
此文件包含密钥库的密码,在操作密钥库时需要该密码。
步骤2.创建临时变量以避免每次输入密钥库密码值。
导航到c:\Cisco\CVP\conf\security 并运行以下命令:
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass 592(!aT@Hbt{[c]b7n6{mj6j[0p4c~X2?4!zv~5(@2*12Dm97) -storetype JCEKS -keystore .keystore
注意:Storepass必须替换为您自己的密钥库密码。
步骤3.删除现有呼叫服务器证书。
导航至c:\Cisco\CVP\conf\security以查找现有证书。运行以下命令以删除证书:
%kt% -delete -alias callserver_certificate
删除证书后,可使用此命令来验证CVP服务器中的所有证书:
%kt% -list
要确认是否删除了呼叫服务器证书,请运行以下命令:
%kt% -list | findstr callserver
步骤4.生成密钥对。必须使用2048位密钥对。
导航至c:\Cisco\CVP\conf\security并运行以下命令:
%kt% -genkeypair -alias callserver_certificate -v -keysize 2048 -keyalg RSA
当您运行此命令时,它会要求提供以下信息:
注意:必须使用服务器的主机名作为名和姓。
你的名字和姓氏是什么?
[未知]: col115cvpcall02
您的组织单位的名称是什么?
[未知]: TAC
贵组织的名称是什么?
[未知]: 思科
您所在城市或地区的名称是什么?
[未知]: 悉尼
您所在州或省的名称是什么?
[未知]: NSW
此设备的双字母国家/地区代码是什么?
[未知]: AU
CN=col115cvpcall02、OU=TAC、O=Cisco、L=Sydney、ST=NSW、C=AU是否正确?
[no] : 是
步骤5.生成新的证书签名请求(CSR)。
导航至c:\Cisco\CVP\conf\security并运行以下命令:
%kt% -certreq -alias callserver_certificate -file callserver.csr
步骤6.通过内部CA或第三方C签署CSR。
导航到c:\Cisco\CVP\conf\security 以查找此CSR文件:
步骤7.安装根CA。
两个证书被复制到c:\Cisco\CVP\conf\security。
运行此指令:
%kt% -import -v -trustcacerts -alias root -file DC-Root.cer
在本实验中,根CA证书为DC-Root.cer。
步骤8.安装由CA签名的呼叫服务器证书。
导航至c:\Cisco\CVP\conf\security
运行此指令:
%kt% -import -v -trustcacerts -alias callserver_certificate -file cvpcallserver.cer
在本实验中,呼叫服务器证书是cvpcallserver.cer。
步骤9.验证新安装的证书
要验证新安装的证书,请导航至
C:\Cisco\CVP\conf\security>
%kt% -list -v -alias callserver_certificate别名:callserver_certificate
注意:别名是固定系统值。必须使用callserver_certificate。
示例:
创建日期:2017年8月25日
条目类型:PrivateKeyEntry
证书链长度:2
证书[1]:
所有者:CN=col115cvpcall02,OU=TAC,O=Cisco,L=Sydney,ST=NSW,C=AU
颁发机构:CN=col115-COL115-CA,DC=col115,DC=org,DC=au
序列号:610000000e78c717ba3dd3dc2400000000000e
有效期:2017年8月25日11:32:43日(美国东部标准时间)至:2018年8月25日11:42:43日(美国东部标准时间)
证书指纹:
完成所有这些步骤后,安装了呼叫服务器的CA签名证书。当建立SIP的TLS连接时,使用此证书。
验证
以下两个命令可用于列出所有证书或仅调用服务器证书:
%kt% -list
%kt% -list | findstr callserver
此命令可用于查看证书详细信息:
别名:callserver_certificate
%kt% -list -v -alias callserver_certificate
别名:callserver_certificate
故障排除
目前没有针对此配置的故障排除信息。
相关信息