In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Konfiguration des Cisco IOS® Routers und der Call Manager-Geräte, sodass die Cisco IP-Telefone VPN-Verbindungen zum Cisco IOS Router herstellen können. Diese VPN-Verbindungen werden benötigt, um die Kommunikation mit einer der beiden folgenden Client-Authentifizierungsmethoden zu sichern:
Für dieses Dokument bestehen keine speziellen Anforderungen.
Die Informationen in diesem Dokument basieren auf den folgenden Hardware- und Softwareversionen:
Gehen Sie wie folgt vor, um eine vollständige Liste der unterstützten Telefone in Ihrer CUCM-Version anzuzeigen:
In diesem Konfigurationsbeispiel werden folgende Versionen verwendet:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
In diesem Abschnitt werden die Informationen behandelt, die zum Konfigurieren der in diesem Dokument beschriebenen Funktionen erforderlich sind.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
Die in diesem Dokument verwendete Topologie umfasst ein Cisco IP-Telefon, den Cisco IOS-Router als SSL-VPN-Gateway (Secure Sockets Layer) und CUCM als Sprach-Gateway.
In diesem Abschnitt wird beschrieben, wie das Cisco IOS-Headend konfiguriert wird, um eingehende SSL VPN-Verbindungen zuzulassen.
Router(config)#crypto key generate rsa general-keys label SSL modulus 1024
Router(config)#crypto pki trustpoint server-certificate
enrollment selfsigned
usage ssl-server
serial-number
subject-name CN=10.198.16.144
revocation-check none
rsakeypair SSL
Router(config)#crypto pki enroll server-certificate
% Include an IP address in the subject name? [no]: no
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
Router(config)#webvpn install svc flash:anyconnect-win-3.1.03103-k9.pkg
Router(config)#crypto vpn anyconnect flash:/webvpn/anyconnect-win-
3.1.03103-k9.pkg sequence 1
webvpn gateway SSL
ip address 10.198.16.144 port 443
ssl encryption 3des-sha1 aes-sha1
http-redirect port 80
ssl trustpoint server-certificate
inservice
Hinweis: Entweder muss sich die hier verwendete IP-Adresse im gleichen Subnetz befinden wie die Schnittstelle, mit der die Telefone verbunden sind, oder das Gateway muss direkt von einer Schnittstelle am Router bezogen werden. Das Gateway wird auch verwendet, um festzulegen, welches Zertifikat vom Router verwendet wird, um sich für den Client zu validieren.
ip local pool ap_phonevpn 192.168.100.1 192.168.100.254
In diesem Abschnitt werden die Befehle beschrieben, die Sie benötigen, um den AAA-Server oder die lokale Datenbank für die Authentifizierung Ihrer Telefone zu konfigurieren. Wenn Sie für die Telefone nur eine Zertifikatsauthentifizierung verwenden möchten, fahren Sie mit dem nächsten Abschnitt fort.
Konfigurieren der Benutzerdatenbank
Zur Authentifizierung können entweder die lokale Datenbank des Routers oder ein externer AAA-Server verwendet werden:
aaa new-model
aaa authentication login SSL local
username phones password 0 phones
aaa new-model
aaa authentication login SSL group radius
radius-server host 192.168.100.200 auth-port 1812 acct-port 1813
radius-server key cisco
Konfigurieren des virtuellen Kontexts und der Gruppenrichtlinie
Der virtuelle Kontext wird verwendet, um die Attribute zu definieren, die die VPN-Verbindung steuern, z. B.:
Diese Befehle sind ein Beispiel für einen Kontext, der AAA-Authentifizierung für den Client verwendet:
webvpn context SSL
aaa authenticate list SSL
gateway SSL domain SSLPhones
!
ssl authenticate verify all
inservice
!
policy group phones
functions svc-enabled
svc address-pool "ap_phonevpn" netmask 255.255.255.0
svc keep-client-installed
default-group-policy phones
In diesem Abschnitt werden die Befehle beschrieben, die Sie zum Konfigurieren der zertifikatbasierten Client-Authentifizierung für die Telefone benötigen. Hierzu ist jedoch die Kenntnis der verschiedenen Arten von Telefonzertifikaten erforderlich:
Vorsicht: Aufgrund des erhöhten Sicherheitsrisikos empfiehlt Cisco die Verwendung von MICs ausschließlich für die LSC-Installation und nicht für die weitere Verwendung. Kunden, die Cisco IP-Telefone konfigurieren, um MICs für die TLS-Authentifizierung (Transport Layer Security) oder für andere Zwecke zu verwenden, tun dies auf eigenes Risiko.
In diesem Konfigurationsbeispiel wird das LSC zur Authentifizierung der Telefone verwendet.
Tipp: Die sicherste Methode für den Anschluss Ihres Telefons ist die Verwendung einer dualen Authentifizierung, die Zertifikat und AAA-Authentifizierung kombiniert. Sie können dies konfigurieren, wenn Sie die für die einzelnen Befehle verwendeten Befehle in einem virtuellen Kontext kombinieren.
Konfigurieren Sie den Trustpoint, um das Clientzertifikat zu validieren.
Für die Validierung des LSC vom IP-Telefon muss auf dem Router das CAPF-Zertifikat installiert sein. Gehen Sie wie folgt vor, um das Zertifikat zu erhalten und auf dem Router zu installieren:
Hinweis: Dieser Speicherort kann sich je nach CUCM-Version ändern.
Router(config)#crypto pki trustpoint CAPF
enrollment terminal
authorization username subjectname commonname
revocation-check none
Router(config)#crypto pki authenticate CAPF
Router(config)#
quit
Zu beachten:
Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Starting CRL revocation check
Jun 17 21:49:46.695: CRYPTO_PKI: Matching CRL not found
Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) CDP does not exist. Use SCEP to
query CRL.
Jun 17 21:49:46.695: CRYPTO_PKI: pki request queued properly
Jun 17 21:49:46.695: CRYPTO_PKI: Revocation check is complete, 0
Jun 17 21:49:46.695: CRYPTO_PKI: Revocation status = 3
Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: poll CRL
Jun 17 21:49:46.695: CRYPTO_PKI: Remove session revocation service providers
CRYPTO_PKI: Bypassing SCEP capabilies request 0
Jun 17 21:49:46.695: CRYPTO_PKI: status = 0: failed to create GetCRL
Jun 17 21:49:46.695: CRYPTO_PKI: enrollment url not configured
Jun 17 21:49:46.695: CRYPTO_PKI: transaction GetCRL completed
Jun 17 21:49:46.695: CRYPTO_PKI: status = 106: Blocking chain verification
callback received status
Jun 17 21:49:46.695: CRYPTO_PKI: (A0076) Certificate validation failed
Konfigurieren des virtuellen Kontexts und der Gruppenrichtlinie
Dieser Teil der Konfiguration ähnelt der zuvor verwendeten Konfiguration, mit Ausnahme von zwei Punkten:
Die Befehle werden hier angezeigt:
webvpn context SSL
gateway SSL domain SSLPhones
authentication certificate
ca trustpoint CAPF
!
ssl authenticate verify all
inservice
!
policy group phones
functions svc-enabled
svc address-pool "ap_phonevpn" netmask 255.255.255.0
svc keep-client-installed
default-group-policy phones
In diesem Abschnitt werden die Konfigurationsschritte für den Call Manager beschrieben.
Gehen Sie wie folgt vor, um das Zertifikat vom Router zu exportieren und als Telefon-VPN-Trust-Zertifikat in Call Manager zu importieren:
Router#show webvpn gateway SSL
SSL Trustpoint: server-certificate
Router(config)#crypto pki export server-certificate pem terminal
The Privacy Enhanced Mail (PEM) encoded identity certificate follows:
-----BEGIN CERTIFICATE-----
<output removed>
-----END CERTIFICATE-----
Klicken Sie im Fenster Konfiguration des allgemeinen Telefonprofils auf Config anwenden, um die neue VPN-Konfiguration anzuwenden. Sie können das standardmäßige allgemeine Telefonprofil verwenden oder ein neues Profil erstellen.
Wenn Sie ein neues Profil für bestimmte Telefone/Benutzer erstellt haben, navigieren Sie zum Fenster Telefonkonfiguration. Wählen Sie im Feld Common Phone Profile (Allgemeines Telefonprofil) das Standard Common Phone Profile (Standardtelefonprofil) aus.
Der folgende Leitfaden kann verwendet werden, um lokale Zertifikate mit hoher Relevanz auf Cisco IP-Telefonen zu installieren. Dieser Schritt ist nur erforderlich, wenn die LSC-Authentifizierung verwendet wird. Für die Authentifizierung mithilfe des MIC (Manufacterer Installed Certificate) oder des Benutzernamens und Kennworts ist die Installation eines LSC nicht erforderlich.
Dies ist der letzte Schritt im Konfigurationsprozess.
Um die Statistiken der VPN-Sitzung im Router zu überprüfen, können Sie diese Befehle verwenden und die Unterschiede zwischen den Ausgaben (hervorgehoben) für Benutzername und Zertifikatsauthentifizierung überprüfen:
Zur Authentifizierung von Benutzernamen und Kennwort:
Router#show webvpn session user phones context SSL
Session Type : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)
Username : phones Num Connection : 1
Public IP : 172.16.250.34 VRF Name : None
Context : SSL Policy Group : SSLPhones
Last-Used : 00:00:29 Created : 15:40:21.503 GMT
Fri Mar 1 2013
Session Timeout : Disabled Idle Timeout : 2100
DPD GW Timeout : 300 DPD CL Timeout : 300
Address Pool : SSL MTU Size : 1290
Rekey Time : 3600 Rekey Method :
Lease Duration : 43200
Tunnel IP : 10.10.10.1 Netmask : 255.255.255.0
Rx IP Packets : 106 Tx IP Packets : 145
CSTP Started : 00:11:15 Last-Received : 00:00:29
CSTP DPD-Req sent : 0 Virtual Access : 1
Msie-ProxyServer : None Msie-PxyPolicy : Disabled
Msie-Exception :
Client Ports : 51534
DTLS Port : 52768
Router#
Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name Client_IP_Address No_of_Connections Created Last_Used
phones 172.16.250.34 1 00:30:38 00:00:20
Zur Zertifikatsauthentifizierung:
Router#show webvpn session user SEP8CB64F578B2C context all
Session Type : Full Tunnel
Client User-Agent : Cisco SVC IPPhone Client v1.0 (1.0)
Username : SEP8CB64F578B2C Num Connection : 1
Public IP : 172.16.250.34 VRF Name : None
CA Trustpoint : CAPF
Context : SSL Policy Group :
Last-Used : 00:00:08 Created : 13:09:49.302 GMT
Sat Mar 2 2013
Session Timeout : Disabled Idle Timeout : 2100
DPD GW Timeout : 300 DPD CL Timeout : 300
Address Pool : SSL MTU Size : 1290
Rekey Time : 3600 Rekey Method :
Lease Duration : 43200
Tunnel IP : 10.10.10.2 Netmask : 255.255.255.0
Rx IP Packets : 152 Tx IP Packets : 156
CSTP Started : 00:06:44 Last-Received : 00:00:08
CSTP DPD-Req sent : 0 Virtual Access : 1
Msie-ProxyServer : None Msie-PxyPolicy : Disabled
Msie-Exception :
Client Ports : 50122
DTLS Port : 52932
Router#show webvpn session context all
WebVPN context name: SSL
Client_Login_Name Client_IP_Address No_of_Connections Created Last_Used
SEP8CB64F578B2C 172.16.250.34 1 3d04h 00:00:16
Bestätigen Sie, dass das IP-Telefon beim Call Manager mit der zugewiesenen Adresse registriert ist, die der Router für die SSL-Verbindung bereitstellt.
Router#show debug
WebVPN Subsystem:
WebVPN (verbose) debugging is on
WebVPN HTTP debugging is on
WebVPN AAA debugging is on
WebVPN tunnel debugging is on
WebVPN Tunnel Events debugging is on
WebVPN Tunnel Errors debugging is on
Webvpn Tunnel Packets debugging is on
PKI:
Crypto PKI Msg debugging is on
Crypto PKI Trans debugging is on
Crypto PKI Validation Path debugging is on
Cisco Bug ID CSCty46387, IOS SSLVPN: Erweiterung, um einen Kontext als Standard festzulegen
Cisco Bug ID CSCty46436, IOS SSLVPN: Verbesserung des Validierungsverhaltens von Clientzertifikaten