Certificat CAPF signé par une autorité de certification pour CUCM

Options de téléchargement

  • PDF     (760.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (729.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (633.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 juillet 2021
ID du document:212214

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document explique comment faire en sorte qu’un certificat de CAPF (Certificate Authority Proxy Function) soit signé par une autorité de certification (CA) pour Cisco Unified Communications Manager (CUCM). Il y a toujours des demandes de signature de CAPF avec une autorité de certification externe. Ce document explique pourquoi il est aussi important de comprendre comment ça fonctionne que de connaître la procédure de configuration.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Infrastructure à clé publique (PKI)
    • Configuration de la sécurité de CUCM

    Components Used

    Les renseignements contenus dans le présent document sont fondés sur Cisco Unified Communications Manager version 8.6 ou ultérieure. 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Limite

    Une autorité de certification différente peut présenter des exigences différentes pour ce qui concerne la demande de CSR. Il existe des rapports selon lesquels une version différente d’une autorité de certification OpenSSL entraîne une demande spécifique sur le plan de la demande CSR, mais l’autorité de certification Microsoft Windows fonctionne bien avec la demande CSR de Cisco CAPF jusqu’à présent. Cette question ne sera pas abordée dans le présent article. 

    Produits connexes

    Ce document peut également être utilisé avec les versions de matériel et de logiciel suivantes :

    • Microsoft Windows Server 2008 CA.
    • Cisco Jabber pour Windows (différentes versions peuvent avoir un nom différent pour désigner le dossier de stockage de LSC).

    Informations générales

    Objectif de la CAPF avec signature de l’autorité de signature

    Certains clients souhaitent s’aligner sur la politique de certificat mondial avec l’entreprise, de sorte qu’il soit nécessaire de signer le CAPF avec la même autorité de certification que les autres serveurs.

    Mécanisme pour cette infrastructure à clé publique

    Par défaut, le certificat valable localement (LSC) est signé par la CAPF, donc la CAPF est l’autorité de certification pour les téléphones dans ce scénario. Toutefois, lorsque vous tentez d’obtenir la signature d’un certificat CAPF par l’autorité de certification externe, le CAPF dans ce scénario agit en tant qu’autorité de certification subordonnée ou intermédiaire.

    Voici la différence entre CAPF avec autosignature et CAPF avec signature d’une autorité de certification est la suivante : le service de CAPF constitue l’autorité de certification racine pour le LSC lorsqu’il s’agit de CAPF avec autosignature et le service de CAPF constitue l’autorité de certification subordonnée (intermédiaire) pour le LSC lorsqu’il s’agit de CAPF avec signature de l’autorité de certification.

    À quels égards la demande CSR de la CAPF est-elle différente des autres demandes de signature de certificat?

     En ce qui concerne RFC5280, l’extension d’utilisation de la clé définit l’objectif (par exemple, le chiffrement, la signature, la signature de certificat) de la clé contenue dans le certificat. Le service de la CAPF est un proxy de certificat et une autorité de certification. Ce service peut signer le certificat des téléphones, mais les autres certificats, comme CallManager, Tomcat, IPSec agissent en tant que Leaf (identité de l’utilisateur). Lorsque vous les recherchez dans le CSR, vous pouvez voir que le CSR CAPF a un rôle de signature de certificat mais pas les autres.

     Demande de CSR de CAPF :

            Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Certificate Sign

    Demande de CSR de Tomcat :

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    Demande de CSR de CallManager :

    Attributes:
        Requested Extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

    Demande de CSR de IPSec :

    Attributs : Extensions demandées : Utilisation de la clé étendue X509v3 : Authentification du serveur Web TLS, authentification du client Web TLS, utilisation de la clé X509v3 du système IPSec : Signature numérique, chiffrement des clés, chiffrement des données, accord de clé

    Configuration

    Voici un scénario dans lequel l’autorité de certification racine externe est utilisée pour signer le certificat de CAPF : pour chiffrer le signal/support pour le client Jabber et le téléphone IP.

     Étape 1. Faites de votre grappe CUCM la grappe de sécurité.

     admin:utils ctl set-cluster mixed-mode


    Étape 2. Comme l'illustre l'image, générez le CSR CAPF.

    Étape 3. Signé avec l'autorité de certification (à l'aide d'un modèle subordonné dans l'autorité de certification Windows 2008).

    Note: Vous devez utiliser le modèle d’autorité de certification subordonnée de l’utilisateur pour signer ce certificat.

    Étape 4. Téléchargez l'autorité de certification racine en tant que CAPF-trust et le certificat du serveur en tant que CAPF. Pour ce test, téléchargez également cette autorité de certification racine en tant que CallManager-trust pour établir une connexion TLS entre Jabber et le service CallManager, car le LSC signé doit aussi être approuvé par le service CallManager. Tel que mentionné au début de cet article, il est nécessaire d’harmoniser l’autorité de certification pour tous les serveurs, par conséquent, cette autorité de certification doit déjà avoir été chargée dans CallManager pour le chiffrement de signal/support. Pour le scénario de déploiement du téléphone IP 802.1x, vous n’êtes pas obligé de définir le CUCM en mode mixte ou de charger l’autorité de certification qui signe le certificat de CAPF comme CallManager-trust dans le serveur CUCM. 

    Étape 5. Redémarrez le service CAPF.

    Étape 6. Redémarrez les services CallManager/TFTP dans toutes les notes.

    Étape 7. Signé le LSC du téléphone logiciel Jabber.

    Étape 8. Activez le profil de sécurité du téléphone logiciel Jabber.

    Étape 9. Désormais, le protocole RTP sécurisé se déroule comme suit :

    Vérification

    Comparez le LSC avec CAPF autosigné et le LSC avec CAPF signé par une autorité de certification :

    Comme vous pouvez le voir sur ces images du certificat valable localement (LSC), sous l’angle du LSC, le service CAPF est l’autorité de certification racine lorsque vous faites appel à un certificat de CAPF autosigné, mais CAPF est l’autorité de certification (intermédiaire) subordonnée lorsque vous faites appel à un certificat de CAPF signé par une autorité de certification.

    LSC lorsqu’il s’agit de CAPF avec autosignature

    LSC lorsqu’il s’agit de CAPF avec signature d’une autorité de certification

    Alerte :

    le LSC du client Jabber qui affiche toute la chaîne de certificats dans cet exemple est différent du téléphone IP. Les téléphones IP AS sont conçus sur la base du RFC 5280 (3.2. Chemins de certification et approbation) alors l'AKI (ID de clé d'autorité) est manquant, puis le CAPF et le certificat de l'autorité de certification racine ne sont pas présents dans la chaîne de certificats. Si le certificat CAPF/Root CA est manquant dans la chaîne de certificats, ISE aura un problème pour authentifier les téléphones IP lors de l'authentification 801.x sans télécharger les certificats CAPF et racine dans l'ISE.  Il existe une autre option dans CUCM 12.5 avec LSC signé directement par CA hors connexion externe, de sorte que le certificat CAPF n'est pas nécessaire pour être téléchargé dans l'ISE pour l'authentification 802.1x du téléphone IP.

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    Informations connexes

    Défaut connu : Certificat CAPF signé par une autorité de certification, le certificat racine doit être chargé en tant que certificat de confiance CM-trust : 

    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCut87382/?referring_site=bugquickviewredir 

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    12-Oct-2017
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Simon Xiu Li
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits