Inleiding
Lokaal belangrijke certificaten (LSC’s) zijn lokaal ondertekend. U kunt echter ook telefoons vereisen die gebruik maken van door een derde partij ondertekende LSC’s (Certificate Authority, CA). In dit document wordt een procedure beschreven die u hierbij helpt.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Cisco Unified Communications Manager (CUCM).
Gebruikte componenten
De informatie in dit document is gebaseerd op CUCM versie 10.5(2); deze functie werkt echter vanaf versie 10.0 en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
Dit zijn de stappen in deze procedure, die elk in zijn eigen sectie worden gedetailleerd:
- Upload het CA-Root certificaat
- Offline CA instellen voor afgifte van certificaat op endpoint
- Genereert een aanvraag voor certificaatondertekening (CSR) voor de telefoons
- Ontvang de gegenereerde CSR van Cisco Unified Communications Manager (CUCM) naar de FTP-server
- Ontvang het telefooncertificaat van CA
- .cer naar .der formaat converteren
- Comprimeer de certificaten (.der) naar .tgz-indeling
- Het .tgz-bestand naar de Secure Shell FTP (SFTP)-server overbrengen
- Het .tgz-bestand importeren naar de CUCM-server
- CSR ondertekenen met Microsoft Windows 2003-certificeringsinstantie
- Ontvang het basiscertificaat van de CA
Upload het CA-Root certificaat
- Meld u aan bij de Cisco Unified Operating System (OS) Administration Web GUI.
- Navigeren naar Beveiligingscertificaatbeheer.
- Klik op Certificaat/certificaatketen uploaden.
- Kies CallManager-trust onder Doel certificaat.
- Blader naar het basiscertificaat van de CA en klik op Upload.
Offline CA instellen voor afgifte van certificaat op endpoint
- Log in op de CUCM Administration web GUI.
- Ga naar Systeem > Serviceparameter.
- Kies de CUCM-server en selecteer de Cisco Certificate Authority Proxy-functie voor de service.
- Selecteer Offline CA voor certificaatuitgifte naar endpoint.
Genereert een aanvraag voor certificaatondertekening (CSR) voor de telefoons
- Log in op de CUCM Administration web GUI.
- Navigeer naar apparaattelefoons.
- Kies de telefoon waarvan LSC moet worden ondertekend door de externe CA.
- Verander het beveiligingsprofiel van het apparaat in een beveiligd profiel (indien niet aanwezig, voeg één systeem toe aan het beveiligingsprofiel voor de telefoon).
- Kies op de pagina met telefoonconfiguratie onder de sectie CAPF de optie Installeren/upgraden voor de certificeringsbewerking. Voltooi deze stap voor alle telefoons waarvan LSC moet worden ondertekend door de externe CA. De bewerking wordt gestart voor de status van de certificaatbewerking.
Bel het beveiligingsprofiel (7962-model).
Voer de opdracht csr-telling van glasvezel in de SSH-sessie (Secure Shell) om te bevestigen of een CSR wordt gegenereerd. (Deze screenshot laat zien dat er een CSR is gemaakt voor drie telefoons.)
Opmerking: de status van de certificaatoperatie onder de CAPF-sectie van de telefoon blijft in de status van de operatie hangende.
De gegenereerde CSR van de CUCM naar de FTP- (of TFTP) server halen
- SSH in de CUCM-server.
- Voer de utils capf csr dump opdracht uit. Deze screenshot toont de dump die wordt overgebracht naar FTP.
- Open het dump bestand met WinRAR en haal de CSR naar uw lokale machine.
Ontvang het telefooncertificaat
- Stuur de CSR's van de telefoon naar de CA.
- CA voorziet u van een ondertekend certificaat.
Opmerking: u kunt een Microsoft Windows 2003-server als CA gebruiken. De procedure voor het ondertekenen van de MVO met een Microsoft Windows 2003 CA wordt later in dit document uitgelegd.
.cer naar .der formaat converteren
Als de ontvangen certificaten in .cer formaat zijn, dan noem hen aan .der anders.
Comprimeer de certificaten (.der) naar .tgz-indeling
U kunt de hoofdmap van de CUCM-server (Linux) gebruiken om de certificaatindeling te comprimeren. Je kunt dit ook doen in een normaal Linux-systeem.
- Breng alle ondertekende certificaten over naar het Linux systeem met de SFTP server.
- Voer deze opdracht in om alle .der-certificaten te comprimeren in een .tgz-bestand.
tar -zcvf
.tgz *.der
Het .tgz-bestand overbrengen naar de SFTP-server
Voltooi de stappen die in de screenshot worden getoond om het .tgz-bestand naar de SFTP-server over te brengen.
Het .tgz-bestand importeren naar de CUCM-server
- SSH in de CUCM-server.
- Voer de opdracht cert import van de utils capf uit.
Zodra de certificaten met succes worden geïmporteerd, kunt u zien dat de CSR-telling nul wordt.
CSR ondertekenen met Microsoft Windows 2003-certificeringsinstantie
Dit is optionele informatie voor Microsoft Windows 2003 - CA.
- Open certificeringsinstantie.
- Klik met de rechtermuisknop op de CA en navigeer naar Alle taken > Nieuwe aanvraag indienen...
- Selecteer CSR en klik op Openen. Doe dit voor alle MVO's.
Alle geopende CSR-displays in de map Hangende aanvragen.
- Klik met de rechtermuisknop op elk document en navigeer naar Alle taken > Afgifte om certificaten uit te geven. Doe dit voor alle hangende aanvragen.
- Als u het certificaat wilt downloaden, kiest u Afgegeven certificaat.
- Klik met de rechtermuisknop op het certificaat en klik op Openen.
- U kunt de certificaatgegevens zien. Als u het certificaat wilt downloaden, selecteert u het tabblad Details en kiest u Kopiëren naar bestand...
- Kies in de wizard Certificaat exporteren de optie DER encoded binary X.509 (5.CER).
- Geef het bestand een geschikte naam. Dit voorbeeld gebruikt de indeling <MAC>.cer.
- Ontvang de certificaten voor andere telefoons onder de sectie Uitgegeven certificaat met deze procedure.
Ontvang het basiscertificaat van de CA
- Open certificeringsinstantie.
- Voltooi de stappen die in dit scherm worden getoond om wortel-CA te downloaden.
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
- Ga naar de pagina van de telefoonconfiguratie.
- Onder de sectie CAPF dient de status van de certificaatwerking als upgrade-succes weer te geven.
Opmerking: Raadpleeg Generate and Import Third Party CA-Signed LSC’s voor meer informatie.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.