Guest

关于CUCM的CA签字的CAPF证书的技术说明

下载选项

  • PDF     (834.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (714.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (626.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 10 月 12 日
文档 ID:212214
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文描述如何获取Cisco Unified Communications Manager的(CUCM) Certificate Authority (CA)签字的一认证机关代理功能(CAPF)证书。总是有请求签署与外部CA的CAPF。本文为什么显示知道如何工作是一样重要象配置程序。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 公用密钥基础结构 (PKI)
    • CUCM安全配置

    使用的组件

    本文档中的信息根据Cisco Unified Communications Manager版本8.6和以上。 

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令潜在影响。

    相关产品

    本文档也可用于以下硬件和软件版本:

    • MS Windows服务器2008 CA。
    • Windows的思科Jabber。

    背景信息

    CA目的签署了CAPF

    一些客户希望与公司那么那里是需要签署与CA的CAPF和其他服务器一样的globle证书策略whith对齐。

    此PKI的机制

    默认情况下,局部重要的证书(LSC)由CAPF,因此CAPF签字是电话的CA在此方案。然而,当您设法获得CAPF签字由外部CA时,然后在此方案的CAPF作为辅助CA或中间CA。

    在自已签署的CAPF和CA签名的CAPF之间的区别是:CAPF是根CA对LSC,当执行自已签署的CAPF, CAPF时是辅助(中间) CA对LSC,当执行CA签名的CAPF时。

    CAPF CSR如何是与其他CSR不同?

     看待对RFC5280,密钥用法分机定义了目的(即,编码、签字签名的证书在证书包含的)密钥。CAPF是证书代理,并且他们作为分支的CA和能签署证书到电话,但是另一证书类似CallManager, Tomcat, IPSec (用户标识)。当您调查CSR为他们时,您能看到CAPF CSR有CertificateSign角色,但是不是其他。

     CAPF CSR :

            Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Certificate Sign

    Tomcat CSR :

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    CallManager CSR :

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    IPSec CSR :

    属性:请求的扩展:X509v3延长的密钥用法:TLS Web服务器验证, TLS网络客户端验证, IPSec终端系统X509v3密钥用法:数字签名,关键编码,数据编码,关键协议

    配置

    这是签署与外部CA的CAPF的步骤。

     步骤1:做您的CUCM集群作为安全集群。

     admin:utils ctl set-cluster mixed-mode


    步骤2.如镜像所显示,请生成CAPF CSR。

    步骤3.签署了此与CA (使用在Windows 2008 CA的辅助模板)。

    注意:您需要用户辅助证书颁发机构模板签署此证书。

    步骤4.上传根CA作为CAPF托拉斯和服务器证书作为CAPF。

    步骤5.重新启动CAPF服务。

    步骤6.重新启动在所有笔记的CallManager/TFTP服务。

    步骤7.签署了Jabber softphone LSC。

    步骤8.启用Jabber的softphone安全配置文件。

    步骤 9 现在获取的RTP发生如下:

    验证

    比较LSC,当赛弗被烧焦的CAPF和CA签名的CAPF :

    正如你从这些镜像看到为LSC,从LSC观点, CAPF是根CA,当使用自已签署的CAPF时,但是CAPF是辅助(中间) CA,当使用CA签名的CAPF时。

    LSC,当自已签署的CAPF

    LSC,当CA签名的CAPF

    故障排除

    目前没有针对此配置的故障排除信息。

    相关信息

    已知缺陷:CA必须上传签字的CAPF证书,根cert作为CM托拉斯: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCut87382/?referring_site=bugquickviewredir 

    TAC Authored

    由思科工程师提供

    • 西蒙Xiu李
      Cisco TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    相关的支持社区讨论

    本文档适用于以下产品