簡介
本文說明如何為客戶語音門戶(CVP)呼叫伺服器生成CA簽名證書,以及如何驗證CVP呼叫伺服器證書。從CVP版本11.6開始,支援會話初始協定(SIP)TLS通訊。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本檔案中的資訊是根據CVP 11.6。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
步驟1.查詢金鑰庫的密碼。
在CVP呼叫伺服器中導航到c:\Cisco\CVP\conf\security.properties以查詢此密碼。
此檔案包含金鑰儲存的密碼,在操作金鑰儲存時需要該密碼。
步驟2.建立臨時變數以避免每次都輸入金鑰庫密碼值。
導覽至c:\Cisco\CVP\conf\security,然後運行此命令:
set kt=c:\Cisco\CVP\jre\bin\keytool.exe -storepass 592(!aT@Hbt{[c)b7n6{Mj6J[0P4C~X2?4!zv~5(@2*12Dm97) -storetype JCEKS -keystore .keystore
附註:必須用您自己的金鑰庫密碼替換Storepass。
步驟3.刪除現有呼叫伺服器證書。
導航到c:\Cisco\CVP\conf\security以查詢現有證書。運行此命令可刪除證書:
%kt% -delete -alias callserver_certificate
刪除憑證後,可以使用以下命令驗證CVP伺服器中的所有憑證:
%kt% -list
為了確認是否已刪除呼叫伺服器證書,請運行以下命令:
%kt% -list | findstr callserver
步驟4.生成金鑰對。您必須使用2048位元的金鑰對。
導航到c:\Cisco\CVP\conf\security,然後運行以下命令:
%kt% -genkeypair -alias callserver_certificate -v -keysize 2048 -keyalg RSA
運行此命令時,將要求獲取以下資訊:
附註:必須使用伺服器的主機名作為名字和姓氏。
你的名字和姓是什麼?
[未知]: col115cvpcall02
您的組織單位名稱是什麼?
[未知]: TAC
貴公司的名稱是什麼?
[未知]: 思科
您的城市或地區名稱是什麼?
[未知]: 雪梨
您所在州或省的名稱是什麼?
[未知]: 新南威爾士州
此裝置的國碼(兩個字母)是什麼?
[未知]: 澳洲
CN=col115cvpcall02、OU=TAC、O=Cisco、L=Sydney、ST=NSW、C=AU是否正確?
[否]: 是
步驟5.產生新的憑證簽署請求(CSR)。
導航到c:\Cisco\CVP\conf\security,然後運行以下命令:
%kt% -certreq -alias callserver_certificate -file callserver.csr
步驟6.由內部CA或第三方C簽署CSR。
導覽至c:\Cisco\CVP\conf\security以尋找此CSR檔案:
步驟7.安裝根CA。
兩個證書被複製到c:\Cisco\CVP\conf\security。
運行此命令:
%kt% -import -v -trustcacerts -alias root -file DC-Root.cer
在本實驗中,根CA證書是DC-Root.cer。
步驟8.安裝由CA簽名的呼叫伺服器證書。
導覽至 c:\Cisco\CVP\conf\security
運行此命令:
%kt% -import -v -trustcacerts -alias callserver_certificate -file cvpclserver.cer
在本實驗中,呼叫伺服器證書為cvpclserver.cer。
步驟9.驗證新安裝的證書
若要驗證新安裝的證書,請導航至
C:\Cisco\CVP\conf\security>
%kt% -list -v -alias callserver_certificate別名:callserver_certificate
附註:別名是固定的系統值。必須使用callserver_certificate。
範例:
建立日期:2017年8月25日
條目型別:PrivateKeyEntry
證書鏈長度:2
證書[1]:
所有者:CN=col115cvpcall02,OU=TAC,O=Cisco,L=雪梨,ST=NSW,C=AU
頒發者:CN=col115-COL115-CA,DC=col115,DC=org,DC=au
序列號:610000000e78c717ba3dd3dc2400000000000e
有效期自:2017年8月25日星期五11:32:43至:2018年8月25日星期六11:42:43
證書指紋:
完成所有這些步驟後,已為呼叫伺服器安裝CA簽名證書。建立SIP的TLS連線時使用此證書。
驗證
這兩個命令可用於列出所有證書或僅呼叫伺服器證書:
%kt% -list
%kt% -list | findstr callserver
此命令可用於檢視證書詳細資訊:
別名:callserver_certificate
%kt% -list -v -alias callserver_certificate
別名:callserver_certificate
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊