Post on 25-Aug-2020
transcript
Créez les modèles de certificat de CA deWindows pour CUCM Contenu
IntroductionConditions préalablesConditions requisesComposants utilisésL'information généraleConfigurerModèle de CallmanagerModèle de TomcatModèle d'IPsecModèle CAPFModèle TVGénérez un certificatVérifierDépanner
Introduction
Ce document fournit une procédure pas à pas afin de créer des modèles de certificat sur lesautorités basées sur un serveur de certification de Windows (CA), cela sont conforme avec desconditions requises de l'extension X.503 pour chaque type de certificat de Cisco UnifiedCommunications Manager (CUCM).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Version 11.5(1) ou ultérieures CUCM●
La connaissance de base de la gestion de Windows Server est également recommandée●
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et delogiciel suivantes :
Les informations dans ce document sont basées sur la version 10.5(2) ou ultérieures CUCM.●
Microsoft Windows Server 2012 R2 avec des services CA installés.●
Les informations contenues dans ce document ont été créées à partir des périphériques d'un
environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vousde bien comprendre l’incidence possible des commandes.
L'information générale
Il y a cinq types de Certificats qui peuvent être signés par un CA externe :
Certificat Utilisation Services affectés
Callmanager
Présenté à sécurisezl'enregistrement de périphérique,peut signer des fichiers de la listede confiance de la liste deconfiance de certificat (CTL)/Internal (ITL), utilisés pour desinteractions sécurisées avecd'autres serveurs tels que lesjoncteurs réseau sécurisés deProtocole SIP (Session InitiationProtocol).
· Cisco Call manager· CTI Manager de Cisco· Cisco TFTP
chatPrésenté pour des interactions duprotocole de transfert hypertextesécurisé (HTTPS).
· Cisco Tomcat· Ouverture de session simple(SSO)· Mobilité d'extension· Répertoire d'entreprise
ipsec
Utilisé pour la génération de fichierde sauvegarde, aussi bien quel'interaction de sécurité IP (IPsec)avec des passerelles de ProtocoleMGCP (Media Gateway ControlProtocol) ou de h323.
· Maître de Cisco DRF· Gens du pays de Cisco DRF
CAPFUtilisé pour générer localement -les Certificats significatifs (LSC)pour des téléphones.
· Fonction de proxy d'autorité decertification de Cisco
TVS
Utilisé pour créer une connexion auservice de vérification de confiance(TV), quand les téléphones nepeuvent pas authentifier uncertificat inconnu.
·Cisco font confiance au servicede vérification
Chacun de ces Certificats a les conditions requises de l'extension un certain X.509 qui doiventêtre placées, autrement, vous pouvez rencontrer des mauvaises conduites sur des servicesmentionnés ci-dessus l'uns des :
Certificat Utilisation principaleX.509
Utilisation principale X.509étendue
Callmanager
· Signaturenumérique· Chiffrementprincipal· Chiffrement dedonnées
· Authentification de serveurWeb· Authentification de client web
· Accord principal
chat
· Signaturenumérique· Chiffrementprincipal· Chiffrement dedonnées· Accord principal
· Authentification de serveurWeb· Authentification de client web
ipsec
· Signaturenumérique· Chiffrementprincipal· Chiffrement dedonnées· Accord principal
· Authentification de serveurWeb· Authentification de client web· Système d'extrémité d'IPsec
CAPF· Signaturenumérique· Signe de certificat
· Système d'extrémité d'IPsec· Authentification de serveur deTWeb· Authentification de client web
TVS· Signaturenumérique· Signe de certificat
· Authentification de serveurWeb· Authentification de client web
Le pour en savoir plus, mettent en référence le guide d'administration pour Cisco UnifiedCommunications Manager.
Configurer
Étape 1. Sur les Windows Server, naviguez vers le gestionnaire du serveur > les outils > l'autoritéde certification, suivant les indications de l'image.
Étape 2. Sélectionnez votre CA, puis naviguez pour délivrer un certificat des modèles, cliqueravec le bouton droit sur la liste et choisi gérez, suivant les indications de l'image.
Modèle de Callmanager
Étape 1. Trouvez le modèle de serveur Web, cliquez avec le bouton droit là-dessus etsélectionnez le modèle en double, suivant les indications de l'image.
Étape 2. Sous le général, vous pouvez changer le nom du modèle de certificat, le nom d'affichage,la validité, etc.
Étape 3. Naviguez vers des extensions > l'utilisation principale > éditent, suivant les indications del'image.
Étape 4. Sélectionnez ces options et cliquez sur OK, suivant les indications de l'image.
Signature numérique●
Permettez l'échange clé seulement avec le chiffrement à clé (le chiffrement principal)●
Permettez le cryptage des données d'utilisateur●
Étape 5. Naviguez vers des extensions > des stratégies d'application > éditent > ajoutent, suivantles indications de l'image.
Étape 6. Recherchez l'authentification client, sélectionnez-la et cliquez sur OK sur cette fenêtre etla précédente, suivant les indications de l'image.
Étape 7. De retour sur le modèle, choisi appliquez et puis APPROUVEZ.
Étape 8. Fermez la fenêtre de console de modèle de certificat, et arrière sur la toute premièrefenêtre, naviguez vers nouveau > modèle de certificat à émettre, suivant les indications del'image.
Étape 9. Sélectionnez le nouveau modèle du CallManager CUCM et le sélectionnez CORRECT,suivant les indications de l'image.
Modèle de Tomcat
Étape 1. Trouvez le modèle de serveur Web, cliquez avec le bouton droit là-dessus et puissélectionnez le modèle en double, suivant les indications de l'image.
Étape 2. Sous le général, vous pouvez changer le nom du modèle de certificat, le nom d'affichage,la validité, etc.
Étape 3. Naviguez vers des extensions > l'utilisation principale > éditent, suivant les indications del'image.
Étape 4. Sélectionnez ces options et cliquez sur OK, suivant les indications de l'image.
Signature numérique●
Permettez l'échange clé seulement avec le chiffrement à clé (le chiffrement principal)●
Permettez le cryptage des données d'utilisateur●
Étape 5. Naviguez vers des extensions > des stratégies d'application > éditent > ajoutent, suivantles indications de l'image.
Étape 6. Recherchez l'authentification client et sélectionnez-la et puis la sélectionnez CORRECTsur cette fenêtre et la précédente.
Étape 7. De retour sur le modèle, choisi appliquez et puis OK, suivant les indications de l'image.
Étape 8. Fermez la fenêtre de console de modèles de certificat, et arrière sur la toute premièrefenêtre, naviguez vers nouveau > modèle de certificat à émettre, suivant les indications del'image.
Étape 9. Sélectionnez le nouveau modèle de Tomcat CUCM et cliquez sur en fonction CORRECT,suivant les indications de l'image.
Modèle d'IPsec
Étape 1. Trouvez le modèle de serveur Web, cliquez avec le bouton droit là-dessus etsélectionnez le modèle en double, suivant les indications de l'image.
Étape 2. Sous le général, vous pouvez changer le nom du modèle de certificat, le nom d'affichage,la validité, etc….
Étape 3. Naviguez vers des extensions > l'utilisation principale > éditent, suivant les indications del'image.
Étape 4. Sélectionnez ces options et les sélectionnez CORRECT, suivant les indications del'image.
Signature numérique●
Permettez l'échange clé seulement avec le chiffrement à clé (le chiffrement principal)●
Permettez le cryptage des données d'utilisateur●
Étape 5. Naviguez vers des extensions > des stratégies d'application > éditent > ajoutent, suivantles indications de l'image.
Étape 6. Recherchez l'authentification client, sélectionnez-la et puis CORRECT, suivant lesindications de l'image.
Étape 7. Choisi ajoutez de nouveau, recherchez le système d'extrémité de sécurité IP,sélectionnez-le et puis cliquez sur OK sur ceci et sur la fenêtre précédente aussi bien.
Étape 8. De retour sur le modèle, choisi appliquez et puis OK, suivant les indications de l'image.
Étape 9. Fermez la fenêtre de console de modèles de certificat, et arrière sur la toute premièrefenêtre, naviguez vers nouveau > modèle de certificat à émettre, suivant les indications del'image.
Étape 10. Sélectionnez le nouveau modèle IPSEC CUCM et cliquez sur en fonction CORRECT,suivant les indications de l'image.
Modèle CAPF
Étape 1. Trouvez le modèle de la racine CA et cliquez avec le bouton droit là-dessus.Sélectionnez alors le modèle en double, suivant les indications de l'image.
Étape 2. Sous le général, vous pouvez changer le nom du modèle de certificat, le nom d'affichage,la validité, etc.
Étape 3. Naviguez vers des extensions > l'utilisation principale > éditent, suivant les indications del'image.
Étape 4. Sélectionnez ces options et les sélectionnez CORRECT, suivant les indications del'image.
Signature numérique●
Signature de certificat●
Signature CRL●
Étape 5. Naviguez vers des extensions > des stratégies d'application > éditent > ajoutent, suivantles indications de l'image.
Étape 6. Recherchez l'authentification client, sélectionnez-la et puis la sélectionnez CORRECT,suivant les indications de l'image.
Étape 7. Choisi ajoutez de nouveau, recherchez le système d'extrémité de sécurité IP,sélectionnez-le et puis cliquez sur OK sur ceci et sur la fenêtre précédente aussi bien, suivant lesindications de l'image.
Étape 8. De retour sur le modèle, choisi appliquez et puis OK, suivant les indications de l'image.
Étape 9. Fermez la fenêtre de console de modèles de certificat, et arrière sur la toute premièrefenêtre, naviguez vers nouveau > modèle de certificat à émettre, suivant les indications del'image.
Étape 10. Sélectionnez le nouveau modèle CAPF CUCM et le sélectionnez CORRECT, suivantles indications de l'image.
Modèle TV
Étape 1. Trouvez le modèle d'autorité de certification racine et cliquez avec le bouton droit là-dessus. Sélectionnez alors le modèle en double, suivant les indications de l'image.
Étape 2. Sous le général, vous pouvez changer le nom du modèle de certificat, le nom d'affichage,la validité, etc.
Étape 3. Naviguez vers des extensions > l'utilisation principale > éditent, suivant les indications del'image.
Étape 4. Sélectionnez ces options et puis LES APPROUVEZ, suivant les indications de l'image.
Signature numérique●
Permettez l'échange clé seulement avec le chiffrement à clé (le chiffrement principal)●
Permettez le cryptage des données d'utilisateur●
Étape 5. Naviguez vers des extensions > des stratégies d'application > éditent > ajoutent, suivantles indications de l'image.
Étape 6. Recherchez l'authentification client et sélectionnez-la et puis la sélectionnez CORRECTsur cette fenêtre et la précédente, suivant les indications de l'image.
Étape 7. De retour sur le modèle, choisi appliquez et puis OK, suivant les indications de l'image.
Étape 8. Fermez la fenêtre de console de modèles de certificat, et arrière sur la toute premièrefenêtre, naviguez vers nouveau > modèle de certificat à émettre, suivant les indications del'image.
Étape 9. Sélectionnez le nouveau modèle TV et cliquez sur OK, suivant les indications de l'image.
Générez un certificat
Employez cet exemple afin de générer un certificat de CallManager avec l'utilisation des modèlesde création récente. La même procédure peut être utilisée pour n'importe quel type de certificat,vous devez juste sélectionner les types de certificat et de modèle en conséquence :
Étape 1. Sur CUCM, naviguez vers la gestion de SYSTÈME D'EXPLOITATION > la Gestion deSécurité > de certificat > génèrent le CSR.
Étape 2. Sélectionnez ces options et choisi produisez-vous, suivant les indications de l'image.
But de certificat : CallManager●
Distribution : les <This peuvent être juste pour un serveur ou Multi-SAN>●
Étape 3. Un message de confirmation est généré, suivant les indications de l'image.
Étape 4. Sur la liste de certificat, recherchez l'entrée avec le CSR de type seulement etsélectionnez-la, suivant les indications de l'image.
Étape 5. Sur la fenêtre externe, sélectionnez le CSR de téléchargement, et sauvegardez le fichiersur votre ordinateur.
Étape 6. Sur votre navigateur, naviguez vers cet URL, et entrez dans vos qualificationsd'administrateur de contrôleur de domaine : https:// <yourWindowsServerIP>/certsrv/.
Étape 7. Naviguez pour demander un certificat > a avancé la demande de certificat, suivant les
indications de l'image.
Étape 8. Ouvrez le fichier CSR et copiez tout son contenu :
Étape 9. Collez le CSR sur le champ de demande de certificat Base-64-encoded. Sous le modèlede certificat, sélectionnez le modèle correct et cliquez sur Submit, suivant les indications del'image.
Étape 10. En conclusion, la base choisie 64 a encodé et la chaîne de certificat de téléchargement,le fichier généré peut maintenant être téléchargée le CUCM.
Vérifiez
La procédure de vérification est réellement une partie du processus de configuration.
Dépanner
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.