Configuratievoorbeeld van CUCM-software van derden voor CA-ondertekende LSC’s bij de generatie en invoer

Downloadopties

  • PDF     (250.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (92.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (80.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 maart 2015
Document-id:118779

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Lokaal belangrijke certificaten (LSC’s) zijn lokaal ondertekend. U kunt echter ook telefoons vereisen die gebruik maken van door een derde partij ondertekende LSC’s (Certificate Authority, CA). In dit document wordt een procedure beschreven die u hierbij helpt.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van Cisco Unified Communications Manager (CUCM).

Gebruikte componenten

De informatie in dit document is gebaseerd op CUCM versie 10.5(2); deze functie werkt echter vanaf versie 10.0 en hoger.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

Dit zijn de stappen in deze procedure, die elk in zijn eigen sectie worden gedetailleerd:

  1. Upload het CA-Root certificaat
  2. Offline CA instellen voor afgifte van certificaat op endpoint
  3. Genereert een aanvraag voor certificaatondertekening (CSR) voor de telefoons
  4. Ontvang de gegenereerde CSR van Cisco Unified Communications Manager (CUCM) naar de FTP-server
  5. Ontvang het telefooncertificaat van CA
  6. .cer naar .der formaat converteren
  7. Comprimeer de certificaten (.der) naar .tgz-indeling
  8. Het .tgz-bestand naar de Secure Shell FTP (SFTP)-server overbrengen
  9. Het .tgz-bestand importeren naar de CUCM-server
  10. CSR ondertekenen met Microsoft Windows 2003-certificeringsinstantie
  11. Ontvang het basiscertificaat van de CA

Upload het CA-Root certificaat

  1. Meld u aan bij de Cisco Unified Operating System (OS) Administration Web GUI.

  2. Navigeren naar Beveiligingscertificaatbeheer.

  3. Klik op Certificaat/certificaatketen uploaden.

  4. Kies CallManager-trust onder Doel certificaat.

  5. Blader naar het basiscertificaat van de CA en klik op Upload.

Offline CA instellen voor afgifte van certificaat op endpoint

  1. Log in op de CUCM Administration web GUI.

  2. Ga naar Systeem > Serviceparameter.

  3. Kies de CUCM-server en selecteer de Cisco Certificate Authority Proxy-functie voor de service.

  4. Selecteer Offline CA voor certificaatuitgifte naar endpoint.

Genereert een aanvraag voor certificaatondertekening (CSR) voor de telefoons

  1. Log in op de CUCM Administration web GUI.

  2. Navigeer naar apparaattelefoons.

  3. Kies de telefoon waarvan LSC moet worden ondertekend door de externe CA.

  4. Verander het beveiligingsprofiel van het apparaat in een beveiligd profiel (indien niet aanwezig, voeg één systeem toe aan het beveiligingsprofiel voor de telefoon).

  5. Kies op de pagina met telefoonconfiguratie onder de sectie CAPF de optie Installeren/upgraden voor de certificeringsbewerking. Voltooi deze stap voor alle telefoons waarvan LSC moet worden ondertekend door de externe CA. De bewerking wordt gestart voor de status van de certificaatbewerking.



    Bel het beveiligingsprofiel (7962-model).



    Voer de opdracht csr-telling van glasvezel in de SSH-sessie (Secure Shell) om te bevestigen of een CSR wordt gegenereerd. (Deze screenshot laat zien dat er een CSR is gemaakt voor drie telefoons.)



    Opmerking: de status van de certificaatoperatie onder de CAPF-sectie van de telefoon blijft in de status van de operatie hangende.

De gegenereerde CSR van de CUCM naar de FTP- (of TFTP) server halen

  1. SSH in de CUCM-server.

  2. Voer de utils capf csr dump opdracht uit. Deze screenshot toont de dump die wordt overgebracht naar FTP.



  3. Open het dump bestand met WinRAR en haal de CSR naar uw lokale machine.

Ontvang het telefooncertificaat

  1. Stuur de CSR's van de telefoon naar de CA.

  2. CA voorziet u van een ondertekend certificaat.

    Opmerking: u kunt een Microsoft Windows 2003-server als CA gebruiken. De procedure voor het ondertekenen van de MVO met een Microsoft Windows 2003 CA wordt later in dit document uitgelegd.

.cer naar .der formaat converteren

Als de ontvangen certificaten in .cer formaat zijn, dan noem hen aan .der anders.

Comprimeer de certificaten (.der) naar .tgz-indeling

U kunt de hoofdmap van de CUCM-server (Linux) gebruiken om de certificaatindeling te comprimeren. Je kunt dit ook doen in een normaal Linux-systeem.

  1. Breng alle ondertekende certificaten over naar het Linux systeem met de SFTP server.



  2. Voer deze opdracht in om alle .der-certificaten te comprimeren in een .tgz-bestand.

    tar -zcvf 
         
         
           .tgz    *.der


Het .tgz-bestand overbrengen naar de SFTP-server

Voltooi de stappen die in de screenshot worden getoond om het .tgz-bestand naar de SFTP-server over te brengen.

Het .tgz-bestand importeren naar de CUCM-server

  1. SSH in de CUCM-server.

  2. Voer de opdracht cert import van de utils capf uit.



    Zodra de certificaten met succes worden geïmporteerd, kunt u zien dat de CSR-telling nul wordt.

CSR ondertekenen met Microsoft Windows 2003-certificeringsinstantie

Dit is optionele informatie voor Microsoft Windows 2003 - CA.

  1. Open certificeringsinstantie.



  2. Klik met de rechtermuisknop op de CA en navigeer naar Alle taken > Nieuwe aanvraag indienen...



  3. Selecteer CSR en klik op Openen. Doe dit voor alle MVO's.



    Alle geopende CSR-displays in de map Hangende aanvragen.

  4. Klik met de rechtermuisknop op elk document en navigeer naar Alle taken > Afgifte om certificaten uit te geven. Doe dit voor alle hangende aanvragen.



  5. Als u het certificaat wilt downloaden, kiest u Afgegeven certificaat.

  6. Klik met de rechtermuisknop op het certificaat en klik op Openen.



  7. U kunt de certificaatgegevens zien. Als u het certificaat wilt downloaden, selecteert u het tabblad Details en kiest u Kopiëren naar bestand...



  8. Kies in de wizard Certificaat exporteren de optie DER encoded binary X.509 (5.CER).



  9. Geef het bestand een geschikte naam. Dit voorbeeld gebruikt de indeling <MAC>.cer.



  10. Ontvang de certificaten voor andere telefoons onder de sectie Uitgegeven certificaat met deze procedure.

Ontvang het basiscertificaat van de CA

  1. Open certificeringsinstantie.

  2. Voltooi de stappen die in dit scherm worden getoond om wortel-CA te downloaden.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

  1. Ga naar de pagina van de telefoonconfiguratie.

  2. Onder de sectie CAPF dient de status van de certificaatwerking als upgrade-succes weer te geven.

Opmerking: Raadpleeg Generate and Import Third Party CA-Signed LSC’s voor meer informatie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
09-Mar-2015
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Ramesh Balakrishnan
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco