为具有AnyConnect功能的电话VPN更新CUCM上的ASA证书

下载选项

  • PDF     (527.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (181.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (231.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 4 月 22 日
文档 ID:215403

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍使用AnyConnect功能更新虚拟专用网络(VPN)电话的Cisco Unified Communications Manager(CUCM)上的自适应安全设备(ASA)证书以避免电话服务中断的正确过程。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 具有AnyConnect功能的电话VPN。
    • ASA和CUCM证书。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Cisco Unified Communications Manager 10.5.2.15900-8。
    • 思科自适应安全设备软件版本9.8(2)20。
    • Cisco IP电话CP-8841。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    AnyConnect的电话VPN功能允许通过VPN连接调配电话服务。

    在电话准备好用于VPN之前,必须先在内部网络中调配电话。这需要直接访问CUCM TFTP(简单文件传输协议)服务器。

    完全配置ASA后的第一步是获取ASA超文本传输协议安全(HTTPS)证书,并将其作为Phone-VPN-trust上传到CUCM服务器,然后将其分配到CUCM中的正确VPN网关。这允许CUCM服务器构建一个IP电话配置文件,以告知电话如何到达ASA。 

    必须先在网络内部调配电话,然后才能将其移到网络外部并使用VPN功能。在内部调配电话后,可以将其移到外部网络以进行VPN访问。 

    电话通过HTTPS在TCP端口443上连接到ASA。ASA使用配置的证书进行响应,并验证提供的证书。

    picture1

    如何更新ASA证书而不中断VPN电话服务?

    有时,ASA证书需要更改,例如由于任何情况。

    证书即将过期

    证书由第三方签署,证书颁发机构(CA)会更改等

    为了避免通过VPN与AnyConnect连接到CUCM的电话的服务中断,需要遵循一些步骤。

    警告:如果不执行这些步骤,则需要在内部网络上再次调配电话,然后才能在外部网络上部署电话。

    步骤1.生成新的ASA证书,但不要将其应用到接口。

    证书可以是自签名或CA签名。

    注意:有关ASA证书的详细信息,请参阅配置数字证书

    步骤2.在CUCM中将该证书作为CUCM发布器上的电话VPN信任上传。

    登录到Call Manager并导航到Unified OS Administration > Security > Certificate Management > Upload Certificate > Select Phone-VPN-trust。

    作为建议,上传完整的证书链,如果根证书和中间证书已在CUCM上上传,请转至下一步。

    警告:请记住,如果旧身份证书和新身份证书具有相同的CN(公用名),您需要遵循CSCuh19734漏洞的解决方法,以避免新证书覆盖旧身份证书。这样,新证书在数据库中用于电话VPN网关配置,但旧证书不会被覆盖。

    步骤3.在VPN网关上,选择两个证书(旧证书和新证书)。

    导航到Cisco Unified CM Administration > Advanced Features > VPN > VPN Gateway。

    确保您在此位置的VPN证书字段中有两个证书。

    picture2

    步骤4.检查VPN组、配置文件和公共电话配置文件是否已正确设置。

    步骤5.重置电话。

    此步骤允许电话下载新的配置设置,并确保电话具有证书散列,以便他们能够信任旧证书和新证书。

    步骤6.在ASA接口上应用新证书。

    在ASA接口上应用证书后,电话应该信任该新证书,因为它们具有上一步生成的两个证书散列。

    验证 

    使用此部分可以确认您已正确执行这些步骤。

    步骤1.打开旧的和新的ASA证书并记下SHA-1指纹。

    picture3

    步骤2.选择应通过VPN连接的电话并收集其配置文件。

    注意:有关如何收集电话配置文件的详细信息,请参阅从CUCM获取电话配置文件的两种方法

    步骤3.一旦有了配置文件,请查找以下部分:

    <vpnGroup>
<mtu>1290</mtu>
<failConnectTime>30</failConnectTime>
<authMethod>2</authMethod>
<pswdPersistent>0</pswdPersistent>
<autoNetDetect>1</autoNetDetect>
<enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1> https://radc.cgsinc.com/Cisco_VOIP_VPN</url1>;
</addresses>
<credentials>
<hashAlg>0</hashAlg>
vcRjqz0ivVp04BSuntrmbZAxnC8=
SEnDU8oo49agcRObtMBACXdaiTI=
</credentials>
</vpnGroup>

    步骤4.以Base 64格式打印配置文件中的哈希,以ASA证书以十六进制格式打印,因此您可以使用从Base 64到十六进制的解码器验证两个哈希(电话和ASA)是否匹配。

    picture4

    相关信息

    有关AnyConnect VPN电话功能的详细信息:

    • 在ASA上使用证书身份验证配置AnyConnect VPN电话。

    https://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/115785-anyconnect-vpn-00.html

    修订历史记录

    版本 发布日期 备注
    1.0
    22-Apr-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 达妮埃拉·莫拉莱斯·桑佩德罗
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品