在CVP呼叫伺服器中為SIP傳輸層安全(TLS)生成證書頒發機構(CA)簽名證書

簡介

本文說明如何為客戶語音門戶(CVP)呼叫伺服器生成CA簽名證書，以及如何驗證CVP呼叫伺服器證書。從CVP版本11.6開始，支援會話初始協定(SIP)TLS通訊。

必要條件

需求

思科建議您瞭解以下主題：

• CVP
• SIP

採用元件

本檔案中的資訊是根據CVP 11.6。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

步驟1.查詢金鑰庫的密碼。

在CVP呼叫伺服器中導航到c:\Cisco\CVP\conf\security.properties以查詢此密碼。

此檔案包含金鑰儲存的密碼，在操作金鑰儲存時需要該密碼。

步驟2.建立臨時變數以避免每次都輸入金鑰庫密碼值。

導覽至c:\Cisco\CVP\conf\security，然後運行此命令：

set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass 592(!aT@Hbt{[c)b7n6{Mj6J[0P4C~X2?4!zv~5(@2*12Dm97) -storetype JCEKS -keystore .keystore

附註：必須用您自己的金鑰庫密碼替換Storepass。

步驟3.刪除現有呼叫伺服器證書。

導航到c:\Cisco\CVP\conf\security以查詢現有證書。運行此命令可刪除證書：

%kt% -delete -alias callserver_certificate

刪除憑證後，可以使用以下命令驗證CVP伺服器中的所有憑證：

%kt% -list

為了確認是否已刪除呼叫伺服器證書，請運行以下命令：

%kt% -list | findstr callserver

步驟4.生成金鑰對。您必須使用2048位元的金鑰對。 

導航到c:\Cisco\CVP\conf\security，然後運行以下命令：

%kt% -genkeypair -alias callserver_certificate -v -keysize 2048 -keyalg RSA

運行此命令時，將要求獲取以下資訊：

附註：必須使用伺服器的主機名作為名字和姓氏。

步驟5.產生新的憑證簽署請求(CSR)。

導航到c:\Cisco\CVP\conf\security，然後運行以下命令：

%kt% -certreq -alias callserver_certificate -file callserver.csr

步驟6.由內部CA或第三方C簽署CSR。

導覽至c:\Cisco\CVP\conf\security以尋找此CSR檔案：

步驟7.安裝根CA。

兩個證書被複製到c:\Cisco\CVP\conf\security。

• 根CA證書
• 已簽名的呼叫伺服器證書 
  

運行此命令：

%kt% -import -v -trustcacerts -alias root -file DC-Root.cer

在本實驗中，根CA證書是DC-Root.cer。

步驟8.安裝由CA簽名的呼叫伺服器證書。

導覽至 c:\Cisco\CVP\conf\security

運行此命令：

在本實驗中，呼叫伺服器證書為cvpclserver.cer。

步驟9.驗證新安裝的證書

附註：別名是固定的系統值。必須使用callserver_certificate。

範例：

建立日期：2017年8月25日

條目型別：PrivateKeyEntry

證書鏈長度：2

證書[1]:

所有者：CN=col115cvpcall02,OU=TAC，O=Cisco，L=雪梨，ST=NSW，C=AU

頒發者：CN=col115-COL115-CA，DC=col115,DC=org，DC=au

序列號：610000000e78c717ba3dd3dc2400000000000e

有效期自：2017年8月25日星期五11:32:43至：2018年8月25日星期六11:42:43

證書指紋：

完成所有這些步驟後，已為呼叫伺服器安裝CA簽名證書。建立SIP的TLS連線時使用此證書。

驗證

這兩個命令可用於列出所有證書或僅呼叫伺服器證書：

%kt% -list

%kt% -list | findstr callserver

此命令可用於檢視證書詳細資訊：

別名：callserver_certificate

    

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊