Einführung
Dieses Dokument enthält eine Beispielkonfiguration, in der veranschaulicht wird, wie die Adaptive Security Appliance (ASA)- und CallManager-Geräte so konfiguriert werden, dass Zertifikatsauthentifizierung für AnyConnect-Clients bereitgestellt wird, die auf Cisco IP-Telefonen ausgeführt werden. Nach Abschluss dieser Konfiguration können Cisco IP-Telefone VPN-Verbindungen zur ASA herstellen, die Zertifikate verwenden, um die Kommunikation zu sichern.
Voraussetzungen
Anforderungen
Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:
Abhängig von der ASA-Version wird entweder "AnyConnect for Linksys Phone" für ASA Version 8.0.x oder "AnyConnect for Cisco VPN Phone" für ASA Version 8.2.x oder höher angezeigt.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
ASA - Version 8.0(4) oder höher
IP-Telefonmodelle - 7942/7962/7945/7965/7975
Telefone - 8961/9951/9971 mit Version 9.1(1)-Firmware
Telefon - Version 9.0(2)SR1S - Skinny Call Control Protocol (SCCP) oder höher
Cisco Unified Communications Manager (CUCM) - Version 8.0.1.10000-4 oder höher
In diesem Konfigurationsbeispiel werden folgende Versionen verwendet:
Gehen Sie wie folgt vor, um eine vollständige Liste der unterstützten Telefone in Ihrer CUCM-Version anzuzeigen:
URL öffnen: https://<CUCM-Server-IP-Adresse>:8443/cucreports/systemReports.do
Wählen Sie Unified CM Phone Feature List (Funktionsliste des Unified CM-Telefons) > Generate a new report > Feature (Neuen Bericht erstellen): Virtuelles privates Netzwerk.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Telefonzertifikattypen
Cisco verwendet die folgenden Zertifikatstypen auf Telefonen:
MIC (Manufacturer Installed Certificate) - MICs sind in allen Cisco IP-Telefonen der Serien 7941, 7961 und neueren Modellen enthalten. MICs sind 2048-Bit-Schlüsselzertifikate, die von der Cisco Certificate Authority (CA) signiert werden. Wenn ein MIC vorhanden ist, muss kein LSC (Locally Significant Certificate) installiert werden. Damit der CUCM dem MIC-Zertifikat vertrauen kann, verwendet er die vorinstallierten CA-Zertifikate CAP-RTP-001, CAP-RTP-002 und Cisco_Manufacturing_CA in seinem Zertifikats-Trust-Store.
LSC - Das LSC sichert die Verbindung zwischen dem CUCM und dem Telefon, nachdem Sie den Gerätesicherheitsmodus für die Authentifizierung oder Verschlüsselung konfiguriert haben.
Der LSC verfügt über den öffentlichen Schlüssel für das Cisco IP-Telefon, der vom privaten Schlüssel der CUCM Certificate Authority Proxy Function (CAPF) signiert wird. Dies ist die bevorzugte Methode (im Gegensatz zur Verwendung von MICs), da nur Cisco IP-Telefone, die von einem Administrator manuell bereitgestellt werden, die CTL-Datei herunterladen und überprüfen dürfen.
Hinweis: Aufgrund des erhöhten Sicherheitsrisikos empfiehlt Cisco die Verwendung von MICs ausschließlich für die LSC-Installation und nicht für die weitere Verwendung. Kunden, die Cisco IP-Telefone so konfigurieren, dass sie MICs für die TLS-Authentifizierung (Transport Layer Security) oder für andere Zwecke verwenden, tun dies auf eigenes Risiko.
Konfigurieren
In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
Konfigurationen
In diesem Dokument werden die folgenden Konfigurationen beschrieben:
ASA-Konfiguration
CallManager-Konfiguration
VPN-Konfiguration in CallManager
Zertifikatinstallation auf IP-Telefonen
ASA-Konfiguration
Die Konfiguration der ASA ist fast identisch mit der Konfiguration eines AnyConnect-Client-Computers mit der ASA. Diese Einschränkungen gelten jedoch:
Bei dieser Konfiguration wird ein zuvor konfiguriertes und installiertes ASA-Zertifikat (selbstsigniertes oder Drittanbieter-Zertifikat) im SSL-Vertrauenspunkt (Secure Socket Layer) des ASA-Geräts verwendet. Weitere Informationen finden Sie in den folgenden Dokumenten:
Die relevante Konfiguration der ASA ist:
ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client
tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable
ssl trust-point SSL outside
CallManager-Konfiguration
Gehen Sie wie folgt vor, um das Zertifikat von der ASA zu exportieren und als Telefon-VPN-Trust-Zertifikat in CallManager zu importieren:
Registrieren Sie das generierte Zertifikat beim CUCM.
Überprüfen Sie das für SSL verwendete Zertifikat.
ASA(config)#show run ssl
ssl trust-point SSL outside
Exportieren Sie das Zertifikat.
ASA(config)#crypto ca export SSL identity-certificate
Das PEM-kodierte Identitätszertifikat (Privacy Enhanced Mail) ist wie folgt:
-----BEGIN CERTIFICATE-----ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
-----END CERTIFICATE-----
Kopieren Sie den Text aus dem Terminal und speichern Sie ihn als .pem-Datei.
Melden Sie sich bei CallManager an, und wählen Sie Unified OS Administration > Security > Certificate Management > Upload Certificate > Select Phone-VPN-trust aus, um die im vorherigen Schritt gespeicherte Zertifikatsdatei hochzuladen.
VPN-Konfiguration in CallManager
Navigieren Sie zu Cisco Unified CM Administration.
Wählen Sie in der Menüleiste Erweiterte Funktionen > VPN > VPN Gateway aus.
Gehen Sie im Fenster "VPN Gateway Configuration" wie folgt vor:
Geben Sie im Feld VPN Gateway Name (VPN-Gateway-Name) einen Namen ein. Dabei kann es sich um einen beliebigen Namen handeln.
Geben Sie im Feld VPN Gateway Description (Beschreibung des VPN-Gateways) eine Beschreibung ein (optional).
Geben Sie im Feld VPN Gateway URL (VPN-Gateway-URL) die auf der ASA definierte Gruppen-URL ein.
Wählen Sie im Feld VPN Certificates in this Location (VPN-Zertifikate in diesem Speicherort) das Zertifikat aus, das zuvor in CallManager hochgeladen wurde, um es vom Truststore an diesen Speicherort zu verschieben.
- Wählen Sie in der Menüleiste Erweiterte Funktionen > VPN > VPN Group.
Wählen Sie im Feld All Available VPN Gateways (Alle verfügbaren VPN-Gateways) das zuvor definierte VPN-Gateway aus. Klicken Sie auf den Pfeil nach unten, um das ausgewählte Gateway in das Feld Ausgewählte VPN-Gateways in dieser VPN-Gruppe zu verschieben.
Wählen Sie in der Menüleiste Advanced Features > VPN > VPN Profile (Erweiterte Funktionen > VPN > VPN-Profil).
Um das VPN-Profil zu konfigurieren, füllen Sie alle mit einem Sternchen (*) gekennzeichneten Felder aus.
Automatische Netzwerkerkennung aktivieren: Wenn diese Funktion aktiviert ist, pingt das VPN-Telefon den TFTP-Server an, und wenn keine Antwort empfangen wird, initiiert es automatisch eine VPN-Verbindung.
Host-ID-Prüfung aktivieren: Wenn diese Funktion aktiviert ist, vergleicht das VPN-Telefon den FQDN der VPN Gateway-URL mit dem CN/SAN des Zertifikats. Der Client kann keine Verbindung herstellen, wenn sie nicht übereinstimmen oder wenn ein Platzhalterzertifikat mit einem Sternchen (*) verwendet wird.
Kennwortpersistenz aktivieren: Dadurch kann das VPN-Telefon den Benutzernamen und das Kennwort für den nächsten VPN-Versuch zwischenspeichern.
Klicken Sie im Fenster Konfiguration des allgemeinen Telefonprofils auf Config anwenden, um die neue VPN-Konfiguration anzuwenden. Sie können das "Standard Common Phone Profile" (Standardtelefonprofil) verwenden oder ein neues Profil erstellen.
Wenn Sie ein neues Profil für bestimmte Telefone/Benutzer erstellt haben, öffnen Sie das Fenster Telefonkonfiguration. Wählen Sie im Feld Common Phone Profile (Allgemeines Telefonprofil) die Option Standard Common Phone Profile (Standardtelefonprofil).
Registrieren Sie das Telefon erneut bei CallManager, um die neue Konfiguration herunterzuladen.
Konfiguration der Zertifikatsauthentifizierung
Führen Sie zum Konfigurieren der Zertifikatsauthentifizierung die folgenden Schritte in CallManager und der ASA aus:
Wählen Sie in der Menüleiste Advanced Features > VPN > VPN Profile (Erweiterte Funktionen > VPN > VPN-Profil).
Bestätigen Sie, dass das Feld Client Authentication Method (Client-Authentifizierungsmethode) auf Certificate festgelegt ist.
Melden Sie sich bei CallManager an. Wählen Sie in der Menüleiste Unified OS Administration > Security > Certificate Management > Find aus.
Exportieren Sie die richtigen Zertifikate für die ausgewählte Zertifikatsauthentifizierungsmethode:
- Suchen Sie das Zertifikat, entweder Cisco_Manufacturing_CA oder CAPF. Laden Sie die .pem-Datei herunter, und speichern Sie sie als TXT-Datei.
- Erstellen Sie einen neuen Trustpoint auf der ASA, und authentifizieren Sie den Trustpoint mit dem zuvor gespeicherten Zertifikat. Wenn Sie zur Eingabe eines Base-64-codierten CA-Zertifikats aufgefordert werden, wählen Sie den Text aus, und fügen Sie ihn zusammen mit den BEGIN- und END-Zeilen in die heruntergeladene .pem-Datei ein. Ein Beispiel wird angezeigt:
ASA (config)#crypto ca trustpoint CM-Manufacturing
ASA(config-ca-trustpoint)#enrollment terminal
ASA(config-ca-trustpoint)#exit
ASA(config)#crypto ca authenticate CM-Manufacturing
ASA(config)#
<base-64 encoded CA certificate>
quit
Bestätigen Sie, dass für die Authentifizierung in der Tunnelgruppe die Zertifikatsauthentifizierung festgelegt ist.
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable
Zertifikatinstallation auf IP-Telefonen
Die IP-Telefone können entweder mit MICs oder LSCs verwendet werden, aber der Konfigurationsprozess ist für jedes Zertifikat unterschiedlich.
MIC-Installation
Standardmäßig sind alle Telefone, die VPN unterstützen, mit MICs vorinstalliert. Die Telefone der Serien 7960 und 7940 verfügen über kein MIC und erfordern ein spezielles Installationsverfahren, damit sich das LSC sicher registrieren kann.
Hinweis: Cisco empfiehlt, MICs nur für die LSC-Installation zu verwenden. Cisco unterstützt LSCs zur Authentifizierung der TLS-Verbindung mit dem CUCM. Da MIC-Root-Zertifikate kompromittiert werden können, müssen Kunden, die Telefone so konfigurieren, dass sie MICs für die TLS-Authentifizierung oder für andere Zwecke verwenden, dies auf eigenes Risiko tun. Cisco übernimmt keine Haftung, wenn MICs kompromittiert werden.
LSC-Installation
Aktivieren Sie den CAPF-Service auf CUCM.
Wenn der CAPF-Dienst aktiviert ist, weisen Sie die Telefonanweisungen zu, um ein LSC in CUCM zu generieren. Melden Sie sich bei Cisco Unified CM Administration an, und wählen Sie Gerät > Telefon aus. Wählen Sie das von Ihnen konfigurierte Telefon aus.
Stellen Sie im Abschnitt CAPF-Informationen (Certificate Authority Proxy Function) sicher, dass alle Einstellungen korrekt sind und der Vorgang auf ein zukünftiges Datum festgelegt ist.
Wenn der Authentifizierungsmodus auf Null String oder Vorhandenes Zertifikat festgelegt ist, ist keine weitere Aktion erforderlich.
Wenn der Authentifizierungsmodus auf eine Zeichenfolge festgelegt ist, wählen Sie in der Telefonkonsole manuell Einstellungen > Sicherheitskonfiguration > **# > LSC > Aktualisieren aus.
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
ASA-Verifizierung
ASA5520-C(config)#show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0
CUCM-Verifizierung
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Zugehörige Fehler
- Cisco Bug ID CSCtf09529, Unterstützung für VPN-Funktion in CUCM für Telefone der Serien 8961, 9951 und 9971 hinzufügen
- Cisco Bug ID CSCuc71462, IP-Telefon-VPN-Failover dauert 8 Minuten
- Cisco Bug ID CSCtz42052, SSL VPN-Unterstützung für IP-Telefon für nicht standardmäßige Portnummern
- Cisco Bug ID CSCth96551, Nicht alle ASCII-Zeichen werden bei der Anmeldung des Telefon-VPN-Benutzers + des Kennworts unterstützt.
- Cisco Bug ID CSCuj71475, manueller TFTP-Eintrag für IP-Telefon-VPN erforderlich
- Cisco Bug-ID CSCum10683, IP-Telefone, die nicht protokolliert werden, verpasste, getätigte oder empfangene Anrufe
Zugehörige Informationen