Introduction
Les certificats LSC (Locally Significative Certificates) CAPF (Certificate Authority Proxy Function) sont signés localement. Cependant, vous pouvez exiger que les téléphones utilisent des LSC signés par une autorité de certification tierce. Ce document décrit une procédure qui vous aide à atteindre cet objectif.
Conditions préalables
Exigences
Cisco vous recommande de connaître Cisco Unified Communication Manager (CUCM).
Composants utilisés
Les informations contenues dans ce document sont basées sur CUCM version 10.5(2) ; cependant, cette fonctionnalité fonctionne à partir de la version 10.0 et ultérieure.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurer
Voici les étapes impliquées dans cette procédure, chacune d'entre elles étant détaillée dans sa propre section :
- Télécharger le certificat CA racine
- Définir l'autorité de certification hors connexion pour le certificat sur Terminaux
- Générer une demande de signature de certificat (CSR) pour les téléphones
- Obtenez le CSR généré de Cisco Unified Communications Manager (CUCM) vers le serveur FTP
- Obtenir le certificat de téléphone de CA
- Convertir .cer au format .der
- Compressez les certificats (.der) au format .tgz
- Transférez le fichier .tgz vers le serveur FTP Secure Shell (SFTP)
- Importer le fichier .tgz sur le serveur CUCM
- Signature du CSR avec l'autorité de certification Microsoft Windows 2003
- Obtenir le certificat racine de l'autorité de certification
Télécharger le certificat CA racine
- Connectez-vous à l'interface utilisateur graphique Web d'administration du système d'exploitation Cisco Unified.
- Accédez à Gestion des certificats de sécurité.
- Cliquez sur Upload Certificate/Certificate chain.
- Choisissez CallManager-trust sous Certificate Purpose.
- Accédez au certificat racine de l'autorité de certification et cliquez sur Upload.
Définir l'autorité de certification hors connexion pour le certificat sur Terminaux
- Connectez-vous à l'interface utilisateur graphique Web Administration CUCM.
- Accédez à System > Service Parameter.
- Choisissez le serveur CUCM et sélectionnez Cisco Certificate Authority Proxy Function pour le service.
- Sélectionnez Autorité de certification hors connexion pour l'émission du certificat au terminal.
Générer une demande de signature de certificat (CSR) pour les téléphones
- Connectez-vous à l'interface utilisateur graphique Web Administration CUCM.
- Accédez à Device Phones.
- Sélectionnez le téléphone dont le LSC doit être signé par l'autorité de certification externe.
- Remplacez le profil de sécurité du périphérique par un profil sécurisé (s'il n'est pas présent, ajoutez un système dans le profil Sécurité du téléphone).
- Sur la page de configuration du téléphone, sous la section CAPF, choisissez Install/Upgrade for the Certification Operation. Effectuez cette étape pour tous les téléphones dont le LSC doit être signé par l'autorité de certification externe. Vous devriez voir Opération en attente pour l'état de l'opération de certificat.
Profil de sécurité du téléphone (modèle 7962).
Entrez la commande utils capf csr count dans la session Secure Shell (SSH) afin de confirmer si un CSR est généré. (Cette capture d'écran montre qu'un CSR a été généré pour trois téléphones.)
Remarque : l'état de l'opération de certificat sous la section CAPF du téléphone reste à l'état Opération en attente.
Obtenir le CSR généré du CUCM au serveur FTP (ou TFTP)
- Envoyez SSH au serveur CUCM.
- Exécutez la commande utils capf csr dump. Cette capture d'écran montre le vidage en cours de transfert vers le FTP.
- Ouvrez le fichier de vidage avec WinRAR et extrayez le CSR sur votre ordinateur local.
Obtenir le certificat du téléphone
- Envoyez les CSR du téléphone à l'autorité de certification.
- L'autorité de certification vous fournit un certificat signé.
Remarque : vous pouvez utiliser un serveur Microsoft Windows 2003 comme autorité de certification. La procédure de signature du CSR avec une autorité de certification Microsoft Windows 2003 est expliquée plus loin dans ce document.
Convertir .cer au format .der
Si les certificats reçus sont au format .cer, renommez-les en .der.
Compressez les certificats (.der) au format .tgz
Vous pouvez utiliser la racine du serveur CUCM (Linux) afin de compresser le format du certificat. Vous pouvez également le faire dans un système Linux normal.
- Transférez tous les certificats signés vers le système Linux avec le serveur SFTP.
- Entrez cette commande afin de compresser tous les certificats .der dans un fichier .tgz.
tar -zcvf
.tgz *.der
Transférez le fichier .tgz vers le serveur SFTP
Suivez les étapes indiquées dans la capture d'écran afin de transférer le fichier .tgz vers le serveur SFTP.
Importer le fichier .tgz sur le serveur CUCM
- Envoyez SSH au serveur CUCM.
- Exécutez la commande utils capf cert import.
Une fois les certificats importés avec succès, vous pouvez voir le nombre de CSR devenir zéro.
Signature du CSR avec l'autorité de certification Microsoft Windows 2003
Il s'agit d'informations facultatives pour Microsoft Windows 2003 - CA.
- Autorité de certification ouverte.
- Cliquez avec le bouton droit sur l'autorité de certification et accédez à Toutes les tâches > Soumettre une nouvelle demande...
- Sélectionnez le CSR et cliquez sur Open. Faites-le pour tous les CSR.
Tous les CSR ouverts s'affichent dans le dossier Demandes en attente.
- Cliquez avec le bouton droit sur chaque tâche et accédez à Toutes les tâches > Émettre afin d'émettre des certificats. Effectuez cette opération pour toutes les demandes en attente.
- Afin de télécharger le certificat, choisissez Issued Certificate.
- Cliquez avec le bouton droit sur le certificat et cliquez sur Ouvrir.
- Vous pouvez voir les détails du certificat. Afin de télécharger le certificat, sélectionnez l'onglet Détails et choisissez Copier dans le fichier...
- Dans l'Assistant Exportation de certificat, choisissez DER encoded binary X.509 (.CER).
- Attribuez un nom approprié au fichier. Cet exemple utilise le format <MAC>.cer.
- Obtenez les certificats des autres téléphones sous la section Issued Certificate avec cette procédure.
Obtenir le certificat racine de l'autorité de certification
- Ouvrez Autorité de certification.
- Suivez les étapes indiquées dans cette capture d'écran afin de télécharger l'autorité de certification racine.
Vérifier
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
- Accédez à la page de configuration du téléphone.
- Dans la section CAPF, l'état de l'opération de certificat doit s'afficher comme réussite de la mise à niveau.
Remarque : reportez-vous à Générer et importer des LSC signés par une autorité de certification tierce pour plus d'informations.
Dépannage
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.