مثال تكوين الاستيراد وإنشاء LSCs الموقع على CUCM من قبل CA الطرف الثالث

المقدمة

يتم توقيع وظيفة وكيل المرجع المصدق (CAPF) الشهادات ذات الأهمية المحلية (LSCs) محليا. ومع ذلك، قد تحتاج إلى الهواتف لاستخدام قوائم التحكم في الوصول (LSCs) الموقعة من قبل جهة خارجية للحصول على شهادة (CA). يوضح هذا المستند إجراء يساعدك على تحقيق ذلك.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بمدير الاتصالات الموحدة (CUCM) من Cisco.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدار 10.5(2) من CUCM؛ ومع ذلك، تعمل هذه الميزة من الإصدار 10.0 والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

وإليكم الخطوات التي ينطوي عليها هذا الإجراء، وكل منها مفصل في القسم الخاص به:

1. تحميل شهادة جذر المرجع المصدق
2. تعيين المرجع المصدق غير المتصل لإصدار الشهادة إلى نقطة النهاية
3. إنشاء طلب توقيع شهادة (CSR) للهواتف
4. احصل على CSR الذي تم إنشاؤه من Cisco Unified Communications Manager (CUCM) إلى خادم FTP
5. الحصول على شهادة الهاتف من CA
6. تحويل .cer إلى .der تنسيق
7. اضغط الشهادات (.der) على تنسيق tgz
8. نقل ملف .tgz إلى خادم Secure Shell FTP (SFTP)
9. إستيراد ملف .tgz إلى خادم CUCM
10. توقيع CSR مع مرجع شهادات Microsoft Windows 2003
11. الحصول على الشهادة الجذر من المرجع المصدق

تحميل شهادة جذر المرجع المصدق

1. قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بإدارة نظام التشغيل الموحد (OS) من Cisco.
   
   
2. انتقل إلى إدارة شهادات الأمان.
   
   
3. انقر على تحميل الشهادة/سلسلة الشهادات.
   
   
4. أختر CallManager-trust ضمن "غرض الشهادة".
   
   
5. استعرض للوصول إلى شهادة جذر CA وانقر فوق تحميل.
   
   

   

تعيين المرجع المصدق غير المتصل لإصدار الشهادة إلى نقطة النهاية

1. قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بإدارة CUCM.
   
   
2. انتقل إلى النظام > معلمة الخدمة.
   
   
3. أختر خادم CUCM وحدد وظيفة وكيل مرجع شهادات Cisco للخدمة.
   
   
4. حدد المرجع المصدق غير المتصل لإصدار الشهادة إلى نقطة النهاية.
   
   

   

إنشاء طلب توقيع شهادة (CSR) للهواتف

1. قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بإدارة CUCM.
   
   
2. انتقل إلى هواتف الأجهزة.
   
   
3. أختر الهاتف الذي يجب توقيع LSC الخاص به من قبل CA الخارجي.
   
   
4. قم بتغيير ملف تعريف أمان الجهاز إلى ملف تعريف آمن (إذا لم يكن موجودا، أضف نظاما واحدا في ملف تعريف أمان هاتف الأمان).
   
   
5. في صفحة تكوين الهاتف، ضمن قسم CAPF، أختر تثبيت/ترقية لعملية الاعتماد. أكمل هذه الخطوة لجميع الهواتف التي يجب توقيع LSC الخاصة بها من قبل CA الخارجي. يجب أن ترى العملية معلقة لحالة عملية الشهادة.
   
   

   

   
   
   ملف تعريف أمان الهاتف (طراز 7962).
   
   

   

   
   
   أدخل الأمر utils capf csr count في جلسة عمل طبقة الأمان (SSH) لتأكيد ما إذا تم إنشاء CSR أم لا. (توضح لقطة الشاشة هذه أنه تم إنشاء CSR لثلاثة هواتف.)
   
   

   

   
   
   

   ملاحظة: تظل حالة عملية الشهادة ضمن قسم CAPF الخاص بالهاتف في حالة تعليق العملية.

الحصول على CSR الذي تم إنشاؤه من CUCM إلى خادم FTP (أو TFTP)

1. SSH في خادم CUCM.
   
   
2. قم بتنفيذ أمر تفريغ Utils capf csr. تعرض لقطة الشاشة هذه التفريغ الذي يتم نقله إلى FTP.
   
   

   

   
   
   
3. افتح ملف التفريغ باستخدام WinRAR واستخرج CSR إلى جهازك المحلي.
   
   

   

الحصول على شهادة الهاتف

1. إرسال أوامر CSR الخاصة بالهاتف إلى CA.
   
   
2. يوفر لك المرجع المصدق شهادة موقعة.
   
   

   ملاحظة: يمكنك إستخدام خادم Microsoft Windows 2003 كمرجع مصدق. يتم شرح إجراء توقيع CSR باستخدام Microsoft Windows 2003 CA لاحقا في هذا المستند.

تحويل .cer إلى .der تنسيق

إذا كانت الشهادات المستلمة بتنسيق .cer، فأعد تسميتها إلى .der.

اضغط الشهادات (.der) على تنسيق tgz

يمكنك إستخدام جذر خادم CUCM (Linux) لضغط تنسيق الشهادة. يمكنك أيضا القيام بذلك في نظام لينوكس عادي.

1. قم بنقل جميع الشهادات الموقعة إلى نظام Linux باستخدام خادم SFTP.
   
   

   

   
   
   
2. أدخل هذا الأمر لضغط كل شهادات .der في ملف tgz.
   
   

   tar -zcvf 
            
            
              .tgz    *.der 
            

   
   
   

   

نقل ملف .tgz إلى خادم SFTP

أكمل الخطوات الموضحة في لقطة الشاشة لنقل ملف .tgz إلى خادم SFTP.

إستيراد ملف .tgz إلى خادم CUCM

1. SSH في خادم CUCM.
   
   
2. قم بتنفيذ أمر إستيراد شهادة CAPF من الولايات.
   
   

   

   
   
   بمجرد إستيراد الشهادات بنجاح، يمكنك رؤية عدد CSR يصبح صفر.
   
   

   

توقيع CSR مع مرجع شهادات Microsoft Windows 2003

هذه معلومات إختيارية لنظام Microsoft Windows 2003 - CA.

1. فتح المرجع المصدق.
   
   

   

   
   
   
2. انقر بزر الماوس الأيمن فوق CA وانتقل إلى كافة المهام > إرسال طلب جديد...
   
   

   

   
   
   
3. حدد CSR وانقر فوق فتح. قم بذلك لجميع CSRs.
   
   

   

   
   
   كافة عروض CSR المفتوحة في المجلد طلبات معلقة.
   
   
4. انقر بزر الماوس الأيمن على كل وتصفح إلى كل المهام > إصدار لإصدار الشهادات. قم بذلك لكافة الطلبات المعلقة.
   
   

   

   
   
   
5. أخترت in order to جلبت الشهادة، يصدر شهادة.
   
   
6. انقر بزر الماوس الأيمن فوق الشهادة وانقر فوق فتح.
   
   

   

   
   
   
7. يمكنك رؤية تفاصيل الشهادة. لتنزيل الشهادة، حدد علامة التبويب تفاصيل واختر نسخ إلى ملف...
   
   

   

   
   
   
8. في معالج تصدير الشهادات، أختر DER المرمز ثنائي X.509 (.CER).
   
   

   

   
   
   
9. قم بتسمية الملف بشيء مناسب. يستخدم هذا المثال تنسيق <MAC>.cer.
   
   

   

   
   
   
10. الحصول على الشهادات للهواتف الأخرى تحت قسم الترخيص الصادر مع هذا الإجراء.

الحصول على الشهادة الجذر من المرجع المصدق

1. فتح المرجع المصدق.
   
   
2. أكمل الخطوات الموضحة في لقطة الشاشة هذه من أجل تنزيل المرجع المصدق الجذر.
   
   

   

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

1. انتقل إلى صفحة تكوين الهاتف.
   
   
2. تحت قسم CAPF، يجب أن تعرض حالة عملية الشهادة على أنها نجاح الترقية.
   
   

   

ملاحظة: راجع إنشاء واستيراد قوائم التحكم في الوصول (LSCs) الموقعة من قبل جهة خارجية للحصول على مزيد من المعلومات.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.