证书权限代理功能 (CAPF) 概述
Cisco 证书权限代理功能 (CAPF) 是颁发当地有效证书 (LSC) 和验证 Cisco 终端的 Cisco 专有服务。 CAPF 服务在 Unified Communications Manager 上运行并执行以下任务:
-
颁发 LSC 给受支持的 Cisco Unified IP 电话。
-
在启用混合模式时验证电话。
-
升级电话的现有 LSC。
-
检索电话证书进行查看和故障排除。
CAPF 运行模式
您可以配置 CAPF 在以下模式下运行:
-
Cisco 权限代理功能—Unified Communications Manager 上的 CAPF 服颁发由 CAPF 服务本身签名的 LSC。 该模式为默认模式。
-
在线 CA—使用此选项可让外部在线 CA 签名电话的 LSC。 CAPF 服务会自动连接到外部 CA。手动提交证书签名请求 (CSR) 后,CA 将会签名并自动返回 CA 签名的 LSC。
-
离线 CA—如果要使用离线外部 CA 为电话签名 LSC,则使用此选项。 此选项要求您手动下载 LSC,将其提交到 CA,然后在就绪后上传 CA 签名的证书。
注
如果您想要使用第三方 CA 签名 LSC,Cisco 建议使用在线 CA选项而不是离线 CA,因为该流程已自动化,所以要快得多并且不容易遇到问题。
CAPF 服务证书
安装 Unified Communications Manager 后,CAPF 服务将自动安装,并且生成 CAPF 特定的系统证书。 应用安全性后,Cisco CTL 客户端会将证书复制到所有群集节点。
电话证书类型
Cisco 为电话使用以下 X.509v3 证书类型:
-
本地有效证书 (LSC)—在您执行与 Cisco 证书权限代理功能 (CAPF) 关联的必要任务后安装在受支持的电话上的证书。 将设备安全模式配置为验证或加密后,LSC 保护 Unified Communications Manager 和电话之间的连接安全。
注
对于在线 CA,LSC 有效性基于 CA,并且只要 CA 允许,就可以使用。
-
厂商预装证书 (MIC) — Cisco 厂商自动安装 MIC 到支持的电话型号中。 厂商预装证书向 Cisco 证书权限代理功能 (CAPF) 验证以进行 LSC 安装。 您不能覆盖或删除厂商预装证书。
![]() 注 |
Cisco 建议您仅针对 LSC 安装使用厂商预装证书 (MIC)。 Cisco 支持 LSC 验证与 Unified Communications Manager 的 TLS 连接。 由于 MIC 根证书可能受损,配置电话使用 MIC 进行 TLS 验证或进行其他操作的客户要自行承担风险。 思科不承担 MIC 受损产生的任何责任。 |
通过 CAPF 生成 LSC
配置 CAPF 后,在电话上添加所配置的身份验证字符串。 密钥和证书交换在电话和 CAPF 之间进行,并会发生以下情况:
-
电话使用所配置的身份验证方法向 CAPF 验证自身身份。
-
电话生成公钥-私钥对。
-
电话通过签名消息前转公钥给 CAPF。
-
私钥仍在电话中,并且绝不会外泄。
-
CAPF 签名电话证书,然后通过签名消息将证书发送给电话。
![]() 注 |
请注意,电话用户可以退出电话上的证书操作或查看操作状态。 |
![]() 注 |
设置于低优先级的密钥生成可让电话在进行该操作的同时正常运行。 虽然证书生成期间电话功能正常,但增加的 TLS 流量会导致电话出现微小的呼叫处理中断; 例如,在安装结束将证书写入闪存时可能出现音频卡顿。 |