证书概述
您的系统使用自签证书和第三方签名证书。 证书在您系统中的设备之间使用,以安全地验证设备、加密数据,并对数据进行散列,以确保其从源到目的地的完整性。 证书允许安全传输带宽、通信以及操作。
证书最重要的部分在于您知道并定义您的数据如何加密,并与诸如预期网站、电话或 FTP 服务器等实体共享。
当您的系统信任一个证书时,意味着您的系统上有一个预安装的证书,该证书声明它完全相信它与正确的目的地共享信息。 否则,它会终止这些点之间的通信。
为了信任证书,必须已经与第三方证书颁发机构 (CA) 建立信任。
您的设备必须知道,它们可以首先信任 CA 和中间证书,然后才能信任由称为安全套接字层 (SSL) 握手的消息交换提供的服务器证书。
注 |
支持基于 EC 的 Tomcat 证书。 此新证书称为 tomcat-ECDSA。 有关详细信息,请参阅在 Cisco Unified Communications Manager 上的 IM and Presence Service 配置和管理“IM and Presence Service 部分”的增强型 TLS 加密。 默认情况下,Tomcat 接口上的 EC 密码处于禁用状态。 您可以使用 Cisco Unified Communications Manager 或 IM and Presence Service 上的 HTTPS 密码企业参数启用它们。 如果您更改此参数,必须在所有节点上重新启动 Cisco Tomcat 服务。 有关基于 EC 的证书的详细信息,请参阅 Cisco Unified Communications Manager 和 IM and Presence Service 发行说明中的“对认证解决方案通用标准的 ECDSA 支持”。 |
第三方签名证书或证书链
上传为应用程序证书签名的证书颁发机构的证书颁发机构根证书。 如果次级证书颁发机构为应用程序证书签名,您必须上传次级证书颁发机构的证书颁发机构根证书。 您还可以上传所有证书颁发机构证书的 PKCS#7 格式的证书链。
您可以使用相同的上传证书对话框上传证书颁发机构根证书和应用程序证书。 当上传证书颁发机构根证书或仅包含证书颁发机构证书的证书链时,选择格式为“证书类型-信任”的证书名称。 当上传应用程序证书或包含应用程序证书和证书颁发机构证书的证书链时,选择仅包含证书类型的证书名称。
例如,当上传 Tomcat 证书颁发机构证书或证书颁发机构证书链时,选择 tomcat-信任;当上传 Tomcat 应用程序证书或包含一个应用程序证书和证书颁发机构证书的证书链时,选择 tomcat 或 tomcat-ECDSA。
当上传 CAPF 证书颁发机构根证书时,该证书会被复制到 CallManager-信任存储库中,因此您无需单独为 CallManager 上传证书颁发机构根证书。
注 |
成功上传第三方证书颁发机构签名的证书,会删除最近生成的用于获取签名证书的 CSR,并且会覆盖现有证书,包括第三方签名证书(如果已上传)。 |
注 |
系统会自动将“tomcat-信任”、“CallManager-信任”和“电话-SAST-信任”证书复制到群集中的每个节点。 |
注 |
您可以将目录信任证书上传到 tomcat-信任,这是 DirSync 服务在安全模式下工作所必需的。 |
第三方证书颁发机构的证书
若要使用第三方证书颁发机构颁发的应用程序证书,您必须向证书颁发机构或 PKCS#7 证书链(可辨别编码规则 [DER],其中包含应用程序证书和证书颁发机构的证书)获取签署的应用程序证书和证书颁发机构根证书。 请检索有关向您的证书颁发机构获取这些证书的信息。 证书颁发机构之间的流程各不相同。 签名算法必须使用 RSA 加密。
Cisco Unified Communications 操作系统以隐私增强邮件 (PEM) 编码格式生成 CSR。 系统接受 DER 和 PEM 编码格式的证书和 PEM 格式的 PKCS#7 证书链。 对于除证书权限代理功能 (CAPF) 之外的所有证书类型,您必须获取和上传证书颁发机构根证书和每个节点上的应用程序证书。
对于 CAPF,获取并上传证书颁发机构根证书和仅在第一个节点上的应用程序证书。 CAPF 和 Unified Communications ManagerCSR 中包含的扩展必须包括在向证书颁发机构申请应用程序证书的请求中。 如果您的证书颁发机构不支持扩展请求机制,则您必须启用 X.509 扩展,如下所述:
-
CAPF CSR 使用以下扩展:
X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Digital Signature, Certificate Sign
-
适用于 Tomcat 的 CSR 和 Tomcat-ECDSA 使用以下扩展:
注
Tomcat 或 Tomcat-ECDSA 不要求密钥协议或 IPsec 终端系统密钥用法。
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement
-
适用于 IPsec 的 CSR 使用以下扩展:
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement
-
适用于 Unified Communications Manager 的 CSR 使用以下扩展:
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement
-
IM and Presence Service cup 和 cup-xmpp 证书的 CSR 使用以下扩展名:
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement,
注 |
您可以为您的证书生成 CSR 并让具有 SHA256 签名的第三方证书颁发机构对其进行签名。 然后,您可以将该签名证书上传回 Unified Communications Manager,允许 Tomcat 和其他证书支持 SHA256。 |
证书签名请求密钥使用情况扩展
下表显示了 Unified Communications Manager 和 IM and Presence Service CA 证书的证书签名请求 (CSR) 的密钥使用扩展。
多服务器 |
扩展密钥使用 |
密钥使用 |
|||||||
---|---|---|---|---|---|---|---|---|---|
服务器身份验证 (1.3.6.1.5.5.7.3.1) |
客户端验证 (1.3.6.1.5.5.7.3.2) |
IP 安全端系统 (1.3.6.1.5.5.7.3.5) |
数字签名 |
密钥加密 |
数据加密 |
密钥证书签名 |
密钥协议 |
||
CallManager CallManager-ECDSA |
Y |
Y |
Y |
Y |
N |
Y |
|||
CAPF(仅发布方) |
N |
Y |
N |
Y |
N |
Y |
|||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
N |
Y |
|||
TVS |
N |
Y |
Y |
Y |
Y |
Y |
多服务器 |
扩展密钥使用 |
密钥使用 |
|||||||
---|---|---|---|---|---|---|---|---|---|
服务器身份验证 (1.3.6.1.5.5.7.3.1) |
客户端验证 (1.3.6.1.5.5.7.3.2) |
IP 安全端系统 (1.3.6.1.5.5.7.3.5) |
数字签名 |
密钥加密 |
数据加密 |
密钥证书签名 |
密钥协议 |
||
cup cup-ECDSA |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
cup-xmpp cup-xmpp-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
||
cup-xmpp-s2s cup-xmpp-s2s-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
Y |
||
ipsec |
N |
Y |
Y |
Y |
Y |
Y |
Y |
||
tomcat tomcat-ECDSA |
Y |
Y |
Y |
Y |
Y |
Y |
注 |
确保“数据加密”位未作为 CA 签名证书过程的一部分进行更改或删除。 |