Introduzione
In questo documento viene fornito un esempio di configurazione che mostra come configurare le appliance ASA (Adaptive Security Appliance) e i dispositivi CallManager per fornire l'autenticazione dei certificati per i client AnyConnect che vengono eseguiti sui telefoni IP Cisco. Al termine della configurazione, i Cisco IP Phone possono stabilire connessioni VPN all'appliance ASA che usano i certificati per proteggere la comunicazione.
Prerequisiti
Requisiti
Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:
A seconda della versione ASA, viene visualizzato "AnyConnect per Linksys phone" per ASA versione 8.0.x o "AnyConnect per Cisco VPN Phone" per ASA versione 8.2.x o successive.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
ASA - versione 8.0(4) o successive
Modelli IP Phone - 7942 / 7962 / 7945 / 7965 / 7975
Telefoni - 8961/9951/9971 con firmware versione 9.1(1)
Telefono: versione 9.0(2)SR1S - Skinny Call Control Protocol (SCCP) o successive
Cisco Unified Communications Manager (CUCM) - Versione 8.0.1.100000-4 o successive
Le versioni utilizzate in questo esempio di configurazione includono:
Per un elenco completo dei telefoni supportati nella versione CUCM in uso, attenersi alla seguente procedura:
Apri questo URL: https://<Indirizzo IP server CUCM>:8443/cucreports/systemReports.do
Scegliere Elenco funzioni telefono CM unificato > Genera un nuovo report > Funzionalità: Rete privata virtuale.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Convenzioni
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
Tipi di certificato telefono
Cisco utilizza questi tipi di certificati nei telefoni:
MIC (Manufacturer Installed Certificate) - I MIC sono inclusi su tutti i telefoni IP 7941, 7961 e modelli più recenti di Cisco. I MIC sono certificati chiave a 2048 bit firmati da Cisco Certificate Authority (CA). Se è presente un MIC, non è necessario installare un LSC (Locally Significant Certificate). Affinché CUCM consideri attendibile il certificato MIC, utilizza i certificati CA preinstallati CAP-RTP-001, CAP-RTP-002 e Cisco_Manufacturing_CA nel relativo archivio certificati attendibili.
LSC - LSC protegge la connessione tra CUCM e il telefono dopo aver configurato la modalità di protezione del dispositivo per l'autenticazione o la crittografia.
LSC possiede la chiave pubblica per il telefono IP Cisco, che è firmata dalla chiave privata CUCM Certificate Authority Proxy Function (CAPF). Questo è il metodo preferito (rispetto all'uso dei MIC) perché solo i telefoni IP Cisco forniti manualmente da un amministratore possono scaricare e verificare il file CTL.
Nota: A causa dell'aumento dei rischi per la sicurezza, Cisco consiglia di usare gli MIC solo per l'installazione di LSC e non per continuare a usarli. I clienti che configurano i telefoni IP Cisco in modo che utilizzino i MIC per l'autenticazione Transport Layer Security (TLS) o per qualsiasi altro scopo, lo fanno a proprio rischio.
Configurazione
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Configurazioni
Questo documento descrive le seguenti configurazioni:
Configurazione ASA
Configurazione di CallManager
Configurazione VPN su CallManager
Installazione certificato su telefoni IP
Configurazione ASA
La configurazione dell'ASA è pressoché identica a quella usata per connettere un computer client AnyConnect all'ASA. Si applicano tuttavia le seguenti restrizioni:
Questa configurazione utilizza un certificato ASA (autofirmato o di terze parti) configurato e installato in precedenza nell'trustpoint SSL (Secure Sockets Layer) del dispositivo ASA. Per ulteriori informazioni, fare riferimento a questi documenti:
La configurazione rilevante dell'ASA è:
ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client
tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable
ssl trust-point SSL outside
Configurazione di CallManager
Per esportare il certificato dall'ASA e importarlo in CallManager come certificato Phone-VPN-Trust, attenersi alla seguente procedura:
Registrare il certificato generato con CUCM.
Controllare il certificato utilizzato per SSL.
ASA(config)#show run ssl
ssl trust-point SSL outside
Esportare il certificato.
ASA(config)#crypto ca export SSL identity-certificate
Di seguito è riportato il certificato di identità con codifica PEM (Privacy Enhanced Mail):
-----BEGIN CERTIFICATE-----ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
-----END CERTIFICATE-----
Copiare il testo dal terminale e salvarlo come file .pem.
Accedere a CallManager e scegliere Unified OS Administration > Security > Certificate Management > Upload Certificate > Select Phone-VPN-trust per caricare il file del certificato salvato nel passaggio precedente.
Configurazione VPN su CallManager
Passare a Cisco Unified CM Administration (Amministrazione Cisco Unified CM).
Dalla barra dei menu, scegliere Funzioni avanzate > VPN > VPN Gateway.
Nella finestra Configurazione gateway VPN, eseguire i seguenti passaggi:
Nel campo Nome gateway VPN immettere un nome. Può essere un nome qualsiasi.
Nel campo Descrizione gateway VPN immettere una descrizione (facoltativo).
Nel campo VPN Gateway URL, immettere l'URL del gruppo definito sull'appliance ASA.
Nel campo Certificati VPN in questa posizione selezionare il certificato caricato in precedenza in CallManager per spostarlo dall'archivio trust a questa posizione.
- Dalla barra dei menu, scegliere Funzioni avanzate > VPN > Gruppo VPN.
Nel campo Tutti i gateway VPN disponibili selezionare il gateway VPN definito in precedenza. Fare clic sulla freccia in giù per spostare il gateway selezionato nei gateway VPN selezionati nel campo Gruppo VPN.
Dalla barra dei menu, scegliere Funzioni avanzate > VPN > Profilo VPN.
Per configurare il profilo VPN, completare tutti i campi contrassegnati da un asterisco (*).
Attiva rilevamento automatico rete: Se abilitato, il telefono VPN effettua il ping al server TFTP e, se non riceve alcuna risposta, avvia automaticamente una connessione VPN.
Abilita controllo ID host: Se abilitato, il telefono VPN confronta l'FQDN dell'URL del gateway VPN con il CN/SAN del certificato. Il client non riesce a connettersi se non corrispondono o se viene utilizzato un certificato con caratteri jolly con un asterisco (*).
Abilita persistenza password: Questo consente al telefono VPN di memorizzare nella cache il nome utente e la password per il successivo tentativo VPN.
Nella finestra Configurazione profilo telefonico comune, fare clic su Apply Config (Applica configurazione) per applicare la nuova configurazione VPN. È possibile utilizzare il "Profilo telefonico comune standard" o creare un nuovo profilo.
Se è stato creato un nuovo profilo per telefoni/utenti specifici, passare alla finestra Configurazione telefono. Nel campo Profilo telefono comune, scegliere Profilo telefono comune standard.
Registrare nuovamente il telefono in CallManager per scaricare la nuova configurazione.
Configurazione autenticazione certificato
Per configurare l'autenticazione dei certificati, attenersi alla seguente procedura in CallManager e sull'appliance ASA:
Dalla barra dei menu, scegliere Funzioni avanzate > VPN > Profilo VPN.
Verificare che il campo Metodo di autenticazione client sia impostato su Certificato.
Accedere a CallManager. Dalla barra dei menu, scegliere Unified OS Administration > Security > Certificate Management > Find.
Esporta i certificati corretti per il metodo di autenticazione certificato selezionato:
- Trovare il certificato, Cisco_Manufacturing_CA o CAPF. Scaricare il file .pem e salvarlo come file .txt
- Creare un nuovo trust point sull'appliance ASA e autenticarlo con il certificato salvato in precedenza. Quando viene richiesto il certificato CA codificato in base 64, selezionare e incollare il testo nel file .pem scaricato insieme alle righe BEGIN e END. Di seguito è riportato un esempio:
ASA (config)#crypto ca trustpoint CM-Manufacturing
ASA(config-ca-trustpoint)#enrollment terminal
ASA(config-ca-trustpoint)#exit
ASA(config)#crypto ca authenticate CM-Manufacturing
ASA(config)#
<base-64 encoded CA certificate>
quit
Verificare che l'autenticazione nel gruppo di tunnel sia impostata sull'autenticazione con certificato.
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable
Installazione certificato su telefoni IP
I telefoni IP possono funzionare con MIC o LSC, ma il processo di configurazione è diverso per ogni certificato.
Installazione MIC
Per impostazione predefinita, tutti i telefoni che supportano VPN sono precaricati con MIC. I telefoni 7960 e 7940 non sono forniti con un MIC e richiedono una procedura di installazione speciale per la registrazione sicura di LSC.
Nota: Cisco consiglia di utilizzare i MIC solo per l'installazione di LSC. Cisco supporta gli LCS per autenticare la connessione TLS con CUCM. Poiché i certificati principali MIC possono essere compromessi, i clienti che configurano i telefoni per l'utilizzo dei MIC per l'autenticazione TLS o per qualsiasi altro scopo lo fanno a proprio rischio. Cisco non si assume alcuna responsabilità in caso di compromissione dei MIC.
Installazione LSC
Abilita il servizio CAPF in CUCM.
Una volta attivato il servizio CAPF, assegnare le istruzioni telefoniche per generare un LSC in CUCM. Accedere a Cisco Unified CM Administration e scegliere Dispositivo > Telefono. Selezionare il telefono configurato.
Nella sezione Informazioni sulla funzione CAPF (Certificate Authority Proxy Function) verificare che tutte le impostazioni siano corrette e che l'operazione sia impostata su una data futura.
Se la modalità di autenticazione è impostata su Stringa null o Certificato esistente, non sono necessarie ulteriori azioni.
Se la modalità di autenticazione è impostata su una stringa, selezionare manualmente Impostazioni > Configurazione protezione > **# > LSC > Aggiorna nella console telefonica.
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Verifica ASA
ASA5520-C(config)#show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Verifica CUCM
Risoluzione dei problemi
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.
Bug correlati
- Cisco bug ID CSCtf09529, aggiungere il supporto per la funzionalità VPN in CUCM per telefoni 8961, 9951, 9971
- Cisco ID bug CSCuc71462, il failover della VPN per telefono IP richiede 8 minuti
- ID bug Cisco CSCtz42052, supporto VPN IP Phone SSL per numeri di porta non predefiniti
- Cisco bug ID CSCth96551, non tutti i caratteri ASCII sono supportati durante il login della VPN del telefono con utente e password.
- ID bug Cisco CSCuj71475, è necessaria una voce TFTP manuale per la VPN IP Phone
- Cisco ID bug CSCum10683, IP phone non registrano chiamate perse, effettuate o ricevute
Informazioni correlate