El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración del cifrado de última generación (NGE) de Cisco Unified Communications Manager (CUCM) 11.0 y posteriores para cumplir los requisitos de rendimiento y seguridad mejorados.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en Cisco CUCM 11.0, donde sólo se admiten certificados de algoritmo de firma digital de curva elíptica (ECDSA) para CallManager (CallManager-ECDSA).
Nota: CUCM 11.5 y posterior también admite certificados tomcat-ECDSA.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Este documento también se puede utilizar con estos productos de software y versiones que admiten certificados ECDSA:
La criptografía de curva elíptica (ECC) es un acercamiento a la criptografía de clave pública basada en la estructura algebraica de curvas elípticas sobre campos finitos. Una de las principales ventajas en comparación con la criptografía no ECC es el mismo nivel de seguridad que proporcionan las claves de menor tamaño.
Common Criteria (CC) proporciona la garantía de que las funciones de seguridad funcionan correctamente dentro de la solución que se evalúa. Esto se logra mediante pruebas y el cumplimiento de amplios requisitos de documentación.
Es aceptado y apoyado por 26 países en todo el mundo a través del Acuerdo de Reconocimiento de Criterios Comunes (CCRA, por sus siglas en inglés).
La versión 11.0 de Cisco Unified Communications Manager admite certificados de algoritmo de firma digital de curva elíptica (ECDSA).
Estos certificados son más fuertes que los certificados basados en RSA y se requieren para productos que tienen certificaciones CC. El programa de soluciones comerciales del gobierno de EE. UU. para sistemas clasificados (CSfC) requiere la certificación CC, por lo que se incluye en la versión 11.0 y posteriores de Cisco Unified Communications Manager.
Los certificados ECDSA están disponibles junto con los certificados RSA existentes en estas áreas:
En las secciones siguientes se ofrece información más detallada sobre cada una de esas siete esferas.
Compatibilidad con ECC de CUCM 11.0 y posterior para generar el certificado de CallManager con cifrado de curva elíptica (EC):
Se ha agregado una nueva unidad de certificado denominada CallManager-ECDSA para los comandos CLI
set cert regen [unit]
- regenera el certificado autofirmado
set cert import own|trust [unit]
- importa certificado firmado por CA
set csr gen [unit]
- genera una solicitud de firma de certificado (CSR) para la unidad especificada
set bulk export|consolidate|import tftp
- Cuando tftp es el nombre de la unidad, los certificados de CallManager-ECDSA se incluyen automáticamente con los certificados RSA de CallManager en operaciones masivas.show ctl
or show itl
para ver esta información como se muestra en esta imagen:
Nota: Actualmente, ningún terminal de Cisco admite la versión 3 de CAPF, por lo que no seleccione la opción EC Only (Sólo EC). Sin embargo, los administradores que deseen admitir certificados ECDSA de importancia local (LSC) más adelante pueden configurar sus dispositivos con la opción EC Preferred RSA Backup (Copia de seguridad CE preferida RSA). Cuando los terminales empiezan a admitir la versión 3 de CAPF para LSC ECDSA, los administradores necesitan reinstalar su LSC.
Aquí se muestran opciones CAPF adicionales para las páginas Phone (Teléfono), Phone Security Profile (Perfil de seguridad del teléfono), End User (Usuario final) y Application User Pages (Usuario de la aplicación):
Device > Phone > Related Links
Vaya a Sistema > Seguridad > Perfil de seguridad del teléfono
User Management > User Settings > Application User CAPF Profile
Vaya a User Management > User Settings > End User CAPF Profile (Administración de usuarios > Configuración de usuario > Perfil CAPF del usuario final).
La interfaz SIP segura se actualizó para admitir estas dos claves:
Estos son los escenarios cuando SIP realiza conexiones TLS:
Cuando la interfaz troncal SIP de Cisco Unified Communications Manager actúa como servidor TLS para la conexión SIP segura entrante, la interfaz troncal SIP determina si el certificado CallManager-ECDSA existe en el disco. Si el certificado existe en el disco, la interfaz troncal SIP utiliza el certificado CallManager-ECDSA si el conjunto de cifrado seleccionado es
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 o TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Cuando la interfaz troncal SIP actúa como cliente de TLS, la interfaz troncal SIP envía una lista de conjuntos de cifrado solicitados al servidor basándose en el campo Cifradores de TLS (que también incluye la opción Cifrados ECDSA) en los Parámetros Empresariales de CUCM Los Cifers de TLS. Esta configuración determina la lista del conjunto de conjuntos de cifrado del cliente TLS y los conjuntos de números admitidos en orden de preferencia.
Notas:
- Los dispositivos que utilizan un cifrado ECDSA para realizar una conexión a CUCM deben tener el certificado CallManager-ECDSA en su archivo de lista de confianza de identidad (ITL).
- La interfaz troncal SIP admite conjuntos de cifrado RSA TLS para conexiones de clientes que no soportan conjuntos de cifrado ECDSA o cuando se establece una conexión TLS con una versión anterior de CUCM, que no soportan ECDSA.
La interfaz de Secure CTI Manager se actualizó para admitir estas cuatro claves:
La interfaz de Secure CTI Manager carga el certificado de CallManager y CallManager-ECDSA. Esto permite que la interfaz de Secure CTI Manager admita los nuevos cifrados junto con el cifrado RSA existente.
De forma similar a la interfaz SIP, la opción Cifradores TLS de parámetro empresarial de Cisco Unified Communications Manager se utiliza para configurar los cifradores TLS admitidos en la interfaz segura de CTI Manager.
Notas:
- Cuando actualiza los certificados CallManager, CallManager ECDSA o Tomcat, debe desactivar y reactivar el servicio TFTP.
- El puerto 6971 se utiliza para la autenticación de los certificados CallManager y CallManager-ECDSA, utilizados por los teléfonos.
- El puerto 6972 se utiliza para la autenticación de los certificados Tomcat, utilizados por Jabber.
La entropía es una medida de aleatoriedad de los datos y ayuda a determinar el umbral mínimo para los requisitos de criterios comunes. Para disponer de un cifrado sólido, se requiere una fuente sólida de entropía. Si un algoritmo de cifrado sólido, como ECDSA, utiliza una fuente débil de entropía, el cifrado se puede romper fácilmente.
En la versión 11.0 de Cisco Unified Communications Manager, se mejora el origen de la entropía de Cisco Unified Communications Manager.
Entropy Monitoring Daemon es una función integrada que no requiere configuración. Sin embargo, puede desactivarlo a través de la CLI de Cisco Unified Communications Manager.
Utilice estos comandos CLI para controlar el servicio Entropy Monitoring Daemon: