Crie moldes do certificado de CA de Windows para CUCM · certificate trust list (CTL) /Internal...
Transcript of Crie moldes do certificado de CA de Windows para CUCM · certificate trust list (CTL) /Internal...
Crie moldes do certificado de CA de Windowspara CUCM Índice
IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de fundoConfigurarMolde de CallmanagerMolde de TomcatMolde de IPsecMolde CAPFMolde TVGerencia um certificadoVerificarTroubleshooting
Introdução
Este original fornece um procedimento passo a passo a fim criar moldes de certificado emWindows Server-baseou as autoridades de certificação (CA), isso é complacente com exigênciasda extensão X.503 para cada tipo de certificado do gerente das comunicações unificadas deCisco (CUCM).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Versão 11.5(1) ou mais recente CUCM●
O conhecimento básico da administração de Windows Server é recomendado igualmente●
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
A informação neste documento é baseada na versão 10.5(2) ou mais recente CUCM.●
Microsoft Windows server 2012 R2 com os serviços CA instalados.●
As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma
configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impactopotencial de qualquer comando.
Informações de fundo
Há cinco tipos de Certificados que podem ser assinados por um CA externo:
Certificado Use Serviços impactados
Callmanager
Apresentado em fixe o registro dodispositivo, pode assinar osarquivos da lista da confiança docertificate trust list (CTL) /Internal(ITL), usados para interaçõesseguras com outros server taiscomo troncos seguros do SessionInitiation Protocol (SIP).
· Cisco Call Manager· Gerenciador de CTI de Cisco· Cisco TFTP
gatoApresentado para interações doprotocolo secure hypertext transfer(HTTPS).
· Cisco Tomcat· Escolha Sinal-em (o SSO)· Mobilidade da extensão· Corporate Directory
ipsec
Usado para a geração do arquivode backup, assim como a interaçãoda Segurança IP (IPsec) comMedia Gateway Control Protocol(MGCP) ou gateways H323.
· Mestre de Cisco DRF· Local de Cisco DRF
CAPFUsado para gerar localmente - osCertificados significativos (LSC)para telefones.
· Função do proxy do CertificateAuthority de Cisco
TVS
Usado para criar uma conexão aoserviço da verificação da confiança(TV), quando os telefones nãopuderem autenticar um certificadodesconhecido.
·Cisco confia o serviço daverificação
Cada um destes Certificados tem algumas exigências da extensão X.509 que precisam de serajustadas, se não, você pode encontrar comportamentos inadequados em alguns dos serviçosacima mencionados:
Certificado Uso da chave X.509 Uso X.509 chave prolongado
Callmanager
· Assinatura digital· Cifragem chave· Cifragem dosdados· Acordo chave
· Autenticação do servidor deWeb· Autenticação do cliente web
gato
· Assinatura digital· Cifragem chave· Cifragem dosdados· Acordo chave
· Autenticação do servidor deWeb· Autenticação do cliente web
ipsec· Assinatura digital· Cifragem chave· Cifragem dos
· Autenticação do servidor deWeb· Autenticação do cliente web
dados· Acordo chave · Sistema final de IPsec
CAPF · Assinatura digital· Sinal do certificado
· Sistema final de IPsec· Autenticação de servidor deTWeb· Autenticação do cliente web
TVS · Assinatura digital· Sinal do certificado
· Autenticação do servidor deWeb· Autenticação do cliente web
Para mais informação, proveja o Guia de Administração para o gerente das comunicaçõesunificadas de Cisco.
Configurar
Etapa1. Em Windows Server, navegue ao gerenciador do servidor > às ferramentas > àautoridade de certificação, segundo as indicações da imagem.
Etapa 2. Selecione seu CA, a seguir navegue aos moldes de certificado, direito-clique na lista eseleto controle, segundo as indicações da imagem.
Molde de Callmanager
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado,segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, avalidez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.
Assinatura digital●
Permita trocas de chave somente com criptografia chave (a cifragem chave)●
Permita a criptografia dos dados do usuário●
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações daimagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e clique-o a APROVAÇÃO nesteindicador e no precedente, segundo as indicações da imagem.
Etapa 7. Para trás no molde, seleto aplique e APROVE então.
Etapa 8. Feche a janela de console do molde de certificado, e traseiro muito no primeiroindicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo de CallManager CUCM e selecione-o ESTÁ BEM, segundo asindicações da imagem.
Molde de Tomcat
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione então o moldeduplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, avalidez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e clique a APROVAÇÃO, segundo as indicações da imagem.
Assinatura digital●
Permita trocas de chave somente com criptografia chave (a cifragem chave)●
Permita a criptografia dos dados do usuário●
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações daimagem.
Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEMneste indicador e no precedente.
Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações daimagem.
Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiroindicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo de Tomcat CUCM e clique sobre a APROVAÇÃO, segundo asindicações da imagem.
Molde de IPsec
Etapa 1. Encontre o molde do servidor de Web, direito-clique nele e selecione o molde duplicado,segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, avalidez, etc….
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.
Assinatura digital●
Permita trocas de chave somente com criptografia chave (a cifragem chave)●
Permita a criptografia dos dados do usuário●
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações daimagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e então APROVADO, segundo asindicações da imagem.
Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o eclique-o então a APROVAÇÃO nesta e no indicador precedente também.
Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações daimagem.
Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiroindicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 10. Selecione o molde novo IPSEC CUCM e clique sobre a APROVAÇÃO, segundo asindicações da imagem.
Molde CAPF
Etapa 1. Encontre o molde e o direito-clique da CA raiz nele. Selecione então o molde duplicado,segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, avalidez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e selecione-as ESTÁ BEM, segundo as indicações da imagem.
Assinatura digital●
Assinatura do certificado●
Assinatura CRL●
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações daimagem.
Etapa 6. Procure pela authenticação do cliente, selecione-a e selecione-a então ESTÁ BEM,segundo as indicações da imagem.
Etapa 7. Seleto adicionar outra vez, procure pelo sistema final da Segurança IP, selecione-o eclique-o então a APROVAÇÃO nesta e no indicador precedente também, segundo as indicaçõesda imagem.
Etapa 8. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações daimagem.
Etapa 9. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiroindicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 10. Selecione o molde novo CAPF CUCM e selecione-o ESTÁ BEM, segundo asindicações da imagem.
Molde TV
Etapa 1. Encontre o molde e o direito-clique da autoridade de certificação da raiz nele. Selecioneentão o molde duplicado, segundo as indicações da imagem.
Etapa 2. Sob o general, você pode mudar o nome do molde de certificado, o nome do indicador, avalidez, etc.
Etapa 3. Navegue aos Ramais > ao uso da chave > editam, segundo as indicações da imagem.
Etapa 4. Selecione estas opções e APROVE-AS então, segundo as indicações da imagem.
Assinatura digital●
Permita trocas de chave somente com criptografia chave (a cifragem chave)●
Permita a criptografia dos dados do usuário●
Etapa 5. Navegue aos Ramais > às políticas da aplicação > Edit > Add, segundo as indicações daimagem.
Etapa 6. Procure pela authenticação do cliente e selecione-a e selecione-a então ESTÁ BEMneste indicador e no precedente, segundo as indicações da imagem.
Etapa 7. Para trás no molde, seleto aplique e então APROVAÇÃO, segundo as indicações daimagem.
Etapa 8. Feche a janela de console dos moldes de certificado, e traseiro muito no primeiroindicador, navegue a novo > molde de certificado a emitir, segundo as indicações da imagem.
Etapa 9. Selecione o molde novo TV e clique a APROVAÇÃO, segundo as indicações daimagem.
Gerencia um certificado
Use este exemplo a fim gerar um certificado de CallManager com o uso dos moldes recém-criados. O mesmo procedimento pode ser usado para qualquer tipo do certificado, você apenasprecisa de selecionar em conformidade os tipos do certificado e do molde:
Etapa1. Em CUCM, navegue ao > segurança > ao gerenciamento certificado da administraçãoósmio > gerenciem o CSR.
Etapa 2. Selecione estas opções e seleto gerencia, segundo as indicações da imagem.
Finalidade do certificado: CallManager●
Distribuição: os <This podem ser apenas para um server ou Multi-SAN>●
Etapa 3. Um mensagem de confirmação é gerado, segundo as indicações da imagem.
Etapa 4. Na lista do certificado, procure a entrada com tipo CSR somente e selecione-a, segundoas indicações da imagem.
Etapa 5. Na janela pop-up, selecione a transferência CSR, e salvar o arquivo em seu computador.
Etapa 6. Em seu navegador, navegue a esta URL, e incorpore suas credenciais do administradordo controlador de domínio: https:// <yourWindowsServerIP>/certsrv/.
Etapa 7. Navegue para pedir um certificado > avançou o pedido do certificado, segundo asindicações da imagem.
Etapa 8. Abra o arquivo CSR e copie todos seus índices:
Etapa 9. Cole o CSR no campo do pedido do certificado Base-64-encoded. Sob o molde decertificado, selecione o molde correto e o clique submete-se, segundo as indicações da imagem.
Etapa 10. Finalmente, a base seleta 64 codificou e o certificate chain da transferência, o arquivogerado pode agora ser transferido arquivos pela rede o CUCM.
Verificar
O procedimento de verificação é realmente parte do processo de configuração.
Troubleshooting
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para estaconfiguração.