المقدمة
يصف هذا المستند إجراء خطوة بخطوة لإنشاء قوالب شهادات على "المراجع المصدقة المستندة إلى خادم Windows" (CA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- CUCM، الإصدار 11.5(1).
- معرفة أساسية بإدارة Windows Server
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- CUCM، الإصدار 11.5(1).
- Microsoft Windows Server 2012 R2 مع خدمات CA المثبتة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تتوافق قوالب الشهادات هذه مع متطلبات امتداد X.509 لكل نوع من شهادات مدير الاتصالات الموحدة من Cisco (CUCM).
هناك خمسة أنواع من الشهادات التي يمكن توقيعها من قبل مرجع مصدق خارجي:
شهادة |
إستخدام |
الخدمات المتأثرة |
CallManager |
يتم تقديمها في تسجيل الأجهزة الآمنة ويمكنها توقيع ملفات قائمة الثقة بالترخيص (CTL)/قائمة الثقة الداخلية (ITL)، المستخدمة للتفاعلات الآمنة مع الخوادم الأخرى مثل خطوط اتصال بروتوكول بدء جلسة عمل الأمان (SIP). |
· مدير المكالمات Cisco Call Manager · Cisco CTI Manager · Cisco TFTP |
tomcat |
معروض للتفاعلات الآمنة لبروتوكول نقل النص التشعبي (HTTPS). |
·Cisco Tomcat · تسجيل دخول أحادي (SSO) · Extension Mobility دليل الشركة · |
IPsec |
يستخدم لإنشاء ملفات النسخ الاحتياطي، بالإضافة إلى تفاعل أمان IP (IPsec) مع بوابات التحكم في عبارة الوسائط (MGCP) أو H323. |
برنامج DRF الأساسي · من Cisco · DRF المحلي من Cisco |
CAPF |
يستخدم لإنشاء شهادات ذات قيمة محلية (LSC) للهواتف. |
· وظيفة وكيل جهة شهادة Cisco |
TVS |
يستخدم لإنشاء اتصال بخدمة التحقق من الثقة (TVS) عندما تكون الهواتف غير قادرة على مصادقة شهادة غير معروفة. |
· خدمة التحقق من الثقة من Cisco |
ملاحظة: لا تتعلق شهادة IPSec بأساسي Cisco DRF ومحلي Cisco DRF منذ عام 14، في الإصدارات الأحدث، يتم إستخدام شهادة Tomcat بدلا من ذلك. لا توجد خطة لإضافة هذا التغيير إلى الإصدار 12.5 أو الإصدارات السابقة.
تحتوي كل شهادة من هذه الشهادات على بعض متطلبات الامتداد X.509 التي يجب تعيينها، وإلا، يمكنك مواجهة سوء سلوك في أي من الخدمات المذكورة أعلاه:
شهادة |
إستخدام مفتاح X.509 |
إستخدام مفتاح X.509 الموسع |
CallManager |
· التوقيع الرقمي تشفير مفتاح · · تشفير البيانات |
مصادقة خادم ويب · مصادقة عميل ويب · |
tomcat |
· التوقيع الرقمي تشفير مفتاح · · تشفير البيانات |
مصادقة خادم ويب · مصادقة عميل ويب · |
IPsec |
· التوقيع الرقمي تشفير مفتاح · · تشفير البيانات |
مصادقة خادم ويب · مصادقة عميل ويب · نظام نهاية IPsec · |
CAPF |
· التوقيع الرقمي علامة شهادة · تشفير مفتاح · |
مصادقة خادم ويب · مصادقة عميل ويب · |
TVS |
· التوقيع الرقمي تشفير مفتاح · · تشفير البيانات |
مصادقة خادم ويب · مصادقة عميل ويب · |
لمزيد من المعلومات، ارجع إلى دليل الأمان ل Cisco Unified Communications Manager
التكوين
الخطوة 1. على خادم Windows، انتقل إلى مدير الخادم > أدوات > مرجع مصدق، كما هو موضح في الصورة.
الخطوة 2. حدد المرجع المصدق، ثم انتقل إلى قوالب الشهادات، وانقر بزر الماوس الأيمن فوق القائمة وحدد إدارة، كما هو موضح في الصورة.
قالب CallManager / Tomcat / TVS
تعرض الصور التالية إنشاء قالب CallManager فقط، ولكن يمكن اتباع الخطوات نفسها لإنشاء قوالب الشهادات لخدمات Tomcat و TVS. يكمن الاختلاف الوحيد في التأكد من إستخدام اسم الخدمة الخاص لكل قالب جديد في الخطوة 2.
الخطوة 1. ابحث عن قالب خادم الويب، وانقر بزر الماوس الأيمن فوقه وحدد تكرار القالب، كما هو موضح في الصورة.
الخطوة 2. تحت عام، يمكنك تغيير اسم قالب الشهادة، اسم العرض، الصلاحية، وبعض المتغيرات الأخرى.
الخطوة 3. انتقل إلى الملحقات > إستخدام المفاتيح > تحرير، كما هو موضح في الصورة.
الخطوة 4. حدد هذه الخيارات وحدد موافق، كما هو موضح في الصورة.
- التوقيع الرقمي
- السماح بتبادل المفاتيح فقط مع تشفير المفتاح (تشفير المفتاح)
- السماح بتشفير بيانات المستخدم
الخطوة 5. انتقل إلى الملحقات > سياسات التطبيق > تحرير > إضافة، كما هو موضح في الصورة.
الخطوة 6. ابحث عن مصادقة العميل، وحددها وحدد OK على كل من هذا الإطار والنافذة السابقة، كما هو موضح في الصورة.
الخطوة 7. عودة إلى القالب، حدد تطبيق ثم موافق.
الخطوة 8. أغلق نافذة وحدة تحكم قالب الشهادة، ثم ارجع إلى الإطار الأول، وتصفح إلى جديد > قالب الشهادة المراد إصداره، كما هو موضح في الصورة.
الخطوة 9. حدد قالب CUCM الجديد CallManager وحدد OK، كما هو موضح في الصورة.
الخطوة 10. كرر كافة الخطوات السابقة لإنشاء قوالب شهادات لخدمات Tomcat و TVS حسب الحاجة.
قالب IPsec
الخطوة 1. ابحث عن قالب خادم الويب، وانقر بزر الماوس الأيمن فوقه وحدد تكرار القالب، كما هو موضح في الصورة.
الخطوة 2. تحت عام، يمكنك تغيير اسم قالب الشهادة، اسم العرض، الصلاحية، وبعض الأشياء الأخرى.
الخطوة 3. انتقل إلى الملحقات > إستخدام المفاتيح > تحرير، كما هو موضح في الصورة.
الخطوة 4. حدد هذه الخيارات وحدد موافق، كما هو موضح في الصورة.
- التوقيع الرقمي
- السماح بتبادل المفاتيح فقط مع تشفير المفتاح (تشفير المفتاح)
- السماح بتشفير بيانات المستخدم
الخطوة 5. انتقل إلى الملحقات > سياسات التطبيق > تحرير > إضافة، كما هو موضح في الصورة.
الخطوة 6. ابحث عن مصادقة العميل، وحددها ثم موافق، كما هو موضح في الصورة.
الخطوة 7. حدد إضافة مرة أخرى، ابحث عن نظام نهاية أمان IP، وحدده ثم حدد موافق على هذا الإطار وعلى الإطار السابق أيضا.
الخطوة 8. عودة إلى القالب، حدد تطبيق ثم موافق، كما هو موضح في الصورة.
الخطوة 9. قم بإغلاق نافذة وحدة تحكم قوالب الشهادات، ثم ارجع إلى الإطار الأول، وتصفح إلى جديد > قالب الشهادة المراد إصداره، كما هو موضح في الصورة.
الخطوة 10. حدد قالب IPSec CUCM الجديد وحدد OK، كما هو موضح في الصورة.
قالب CAPF
الخطوة 1. ابحث عن قالب المرجع المصدق الجذر وانقر فوقه بزر الماوس الأيمن. ثم حدد مضاعفة القالب، كما هو موضح في الصورة.
الخطوة 2. تحت عام، يمكنك تغيير اسم قالب الشهادة، اسم العرض، الصلاحية، وبعض المتغيرات الأخرى.
الخطوة 3. انتقل إلى الملحقات > إستخدام المفاتيح > تحرير، كما هو موضح في الصورة.
الخطوة 4. حدد هذه الخيارات وحدد موافق، كما هو موضح في الصورة.
- التوقيع الرقمي
- توقيع الشهادة
- توقيع CRL
الخطوة 5. انتقل إلى الملحقات > سياسات التطبيق > تحرير > إضافة، كما هو موضح في الصورة.
الخطوة 6. ابحث عن مصادقة العميل، وحددها ثم حدد OK، كما هو موضح في الصورة.
الخطوة 7. حدد إضافة مرة أخرى، ابحث عن نظام نهاية أمان IP، وحدده ثم حدد موافق على هذا الإطار وعلى الإطار السابق أيضا، كما هو موضح في الصورة.
الخطوة 8. عودة إلى القالب، حدد تطبيق ثم موافق، كما هو موضح في الصورة.
الخطوة 9. قم بإغلاق نافذة وحدة تحكم قوالب الشهادات، ثم ارجع إلى الإطار الأول، وتصفح إلى جديد > قالب الشهادة المراد إصداره، كما هو موضح في الصورة.
الخطوة 10. حدد قالب CAPF CUCM الجديد وحدد OK، كما هو موضح في الصورة.
إنشاء طلب توقيع شهادة
أستخدم هذا المثال لإنشاء شهادة CallManager باستخدام القوالب التي تم إنشاؤها حديثا. يمكن إستخدام نفس الإجراء لأي نوع شهادة، فما عليك سوى تحديد أنواع الشهادة والقالب وفقا لذلك:
الخطوة 1. في CUCM، انتقل إلى إدارة نظام التشغيل > الأمان > إدارة الشهادات > إنشاء CSR.
الخطوة 2. حدد هذه الخيارات وحدد توليد، كما هو موضح في الصورة.
- غرض الشهادة: CallManager
- التوزيع: <يمكن أن يكون هذا فقط لخادم واحد أو لشبكات SAN متعددة>
الخطوة 3. يتم إنشاء رسالة تأكيد، كما هو موضح في الصورة.
الخطوة 4. في قائمة الترخيص، ابحث عن المدخل ذي النوع CSR فقط وحدده، كما هو موضح في الصورة.
الخطوة 5. في النافذة المنبثقة، حدد تنزيل CSR، واحفظ الملف على الكمبيوتر.
الخطوة 6. على المستعرض الخاص بك، انتقل إلى عنوان URL هذا، وأدخل بيانات اعتماد مسؤول وحدة التحكم بالمجال لديك: https://<yourWindowsServerIP>/certsrv/.
الخطوة 7. انتقل إلى طلب شهادة > طلب شهادة متقدم، كما هو موضح في الصورة.
الخطوة 8. افتح ملف CSR وانسخ كل محتوياته:
الخطوة 9. الصق CSR في حقل طلب الشهادة مرمز بالأساس 64. تحت قالب الشهادة، حدد القالب الصحيح وحدد إرسال، كما هو موضح في الصورة.
الخطوة 10. أخيرا، حدد Base 64 مرمز وقم بتنزيل سلسلة الشهادات. يمكن الآن تحميل الملف الذي تم إنشاؤه إلى CUCM.
التحقق من الصحة
يعد إجراء التحقق من الصحة جزءا من عملية التكوين في الواقع.
استكشاف الأخطاء وإصلاحها
هناك حاليا ما من خاص أستكشاف الأخطاء وإصلاحها معلومة يتوفر ل هذا تشكيل.