تمكين ميزة التكوين المشفر على CUCM

المقدمة

يصف هذا المستند إستخدام ملفات هاتف التكوين المشفرة على مدير الاتصالات الموحدة (CUCM) من Cisco.

معلومات أساسية

إستخدام ملفات التكوين المشفرة للهواتف هي ميزة أمان إختيارية تتوفر في CUCM.

ليس من المطلوب تشغيل مجموعة CUCM في الوضع المختلط لكي تعمل هذه الميزة بشكل صحيح، حيث أن معلومات شهادة وظيفة وكيل المرجع المصدق (CAPF) موجودة في ملف قائمة تأمين الهوية (ITL).

ملاحظة: هذا هو الموقع الافتراضي لجميع إصدارات CUCM 8.x والإصدارات الأحدث. بالنسبة لإصدارات CUCM قبل الإصدار 8.x، يجب التأكد من تشغيل نظام المجموعة في الوضع المختلط إذا كنت ترغب في إستخدام هذه الميزة.

نظرة عامة على ميزة التكوين المشفر

يصف هذا القسم العملية التي تحدث عند إستخدام ملفات هاتف التكوين المشفرة داخل CUCM.

عندما تقوم بتمكين هذه الميزة، قم بإعادة ضبط الهاتف، وتنزيل ملف التكوين، فستتلقى طلبا للملف بامتداد .cnf.xml.sgn:

ومع ذلك، بعد تمكين ميزة التكوين المشفر على CUCM، لم تعد خدمة TFTP تقوم بإنشاء ملف تكوين كامل باستخدام امتداد .cnf.xml.sgn. وبدلا من ذلك، فإنه يقوم بإنشاء ملف التكوين الجزئي، كما هو موضح في المثال التالي.

ملاحظة: عند إستخدام هذه الطريقة للمرة الأولى، يقوم الهاتف بمقارنة تجزئة MD5 لشهادة الهاتف في ملف التكوين بتجزئة MD5 للشهادة الهامة محليا (LSC) أو الشهادات المثبتة للصناعة (MIC).

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>

     
     

     
     
       true 
     
</device>

إذا كان الهاتف يحدد مشكلة، فإنه يحاول بدء جلسة مع CAPF، ما لم يتطابق وضع مصادقة CAPF مع سلاسل المصادقة، وفي هذه الحالة يجب عليك إدخال السلسلة يدويا. فيما يلي بعض المشاكل التي قد يحددها الهاتف:

• التجزئة غير متطابقة.
• لا يحتوي الهاتف على شهادة.
• قيمة MD5 فارغة (كما في المثال السابق).

ملاحظة: يبدأ الهاتف جلسة عمل "أمان طبقة النقل (TLS)" إلى خدمة CAPF على المنفذ 3804 بشكل افتراضي.

يجب أن تكون شهادة CAPF معروفة للهاتف، لذلك يجب تضمينها إما في ملف ITL أو ملف قائمة الشهادات الموثوق بها (CTL) (إذا كان نظام المجموعة يعمل في الوضع المختلط).

بعد تأسيس اتصال CAPF، يرسل الهاتف معلومات إلى CAPF حول LSC أو MIC الذي يتم إستخدامه. ثم يستخرج CAPF مفتاح الهاتف العام من LSC أو MIC، ويولد تجزئة MD5، ويخزن القيم للمفتاح العام وتجزئة الشهادة في قاعدة بيانات CUCM.

admin:run sql select md5hash,name from device where name='SEPA45630BBFA40'
md5hash name
================================ ===============
6e566143c1c14566c9da943d949a79c8 SEPA45630BBFA40

بعد تخزين المفتاح العام في قاعدة البيانات، يقوم الهاتف بإعادة الضبط ويطلب ملف تكوين جديد. يحاول الهاتف تنزيل ملف التكوين باستخدام الملحق cnf.xml.sgn مرة أخرى.

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>

     
     
       6e566143c1c14566c9da943d949a79c8 
     

     
     
       true 
     
</device>

يقوم الهاتف بمقارنة cerHash مرة أخرى، وإذا لم يكتشف المشكلة، فإنه يقوم بتنزيل ملف التكوين المشفر مع ملحق .cnf.xml.enc.sgn. 

............c..)CN=cucm85;OU=It;O=Cisco;L=KRK;ST=PL;C=PL....Z.........)CN=cucm85;
OU=It;O=Cisco;L=KRK;ST=PL;C=PL...........
..........C.<...Y6.Lh.|(..w+..,.0.a.&.
O..........V....T...Z..R^..f....|.=.e.@...5...........G...[.........n.........=
.A..H.(....Z...{.!%[.. SEPA45630BBFA40.cnf.xml.enc.sgn....R.DD..M............
Uu.C..@...........
...................m.b.......6y ..x.^b..-8.^..^'.4.<Wb.n.....5...we.0@..g..
V7.,..r.9
Qs>..).w....pt/...}A.']
.r.t%G..d_.;u.rEI.pr.F
.....M..r...o.N
.=..g.^P....Pz....J..E.S...d|Z).....J..&..I....7.r..g8.{f..o.....:.~..U...5G+V.
[...]

تمكين ميزة التكوين المشفر

لتمكين ملفات هاتف التكوين المشفرة، يجب إنشاء ملف تعريف أمان هاتف جديد (أو تحرير ملف تعريف حالي) وتعيينه على الهاتف. أتمت هذا steps in order to مكنت ال يشفر تشكيل سمة على ال CUCM:

1. قم بتسجيل الدخول إلى صفحة إدارة CUCM وانتقل إلى نظام > التأمين > ملف تعريف تأمين الهاتف:
   
   
   
   
2. انسخ حالي، أو قم بإنشاء ملف تعريف أمان هاتف جديد وحدد خانة الاختيار تكوين TFTP المشفر:
   
   
   
   
3. تعيين ملف التعريف إلى الهاتف:
   
   

استكشاف الأخطاء وإصلاحها

أتمت هذا steps in order to تحريت نظام إصدار فيما يتعلق التشكيل يشفر سمة:

1. تأكد من أن خدمة CAPF نشطة وتعمل بشكل صحيح على عقدة Publisher في نظام المجموعة CUCM.
   
   
2. قم بتنزيل ملف التكوين الجزئي والتحقق من إمكانية الوصول إلى المنفذ وعنوان IP الخاص بخدمة CAPF من الهاتف.
   
   
3. تحقق من اتصال TCP على المنفذ 3804 إلى عقدة Publisher.
   
   
4. قم بتشغيل الأمر Structured Query Language (SQL) المذكور سابقا للتحقق مما إذا كانت خدمة CAPF تحتوي على معلومات حول LSC أو MIC التي يتم إستخدامها بواسطة الهاتف.
   
   
5. إذا إستمرت المشكلة، فقد يطلب منك جمع معلومات إضافية من النظام. أعد تشغيل الهاتف وتجميع هذه المعلومات:
   
   
   • سجلات وحدة التحكم في الهاتف
   • سجلات TFTP من Cisco
   • سجلات CAPF من Cisco
   • التقاط الحزمة من CUCM والهاتف

راجع هذه الموارد للحصول على معلومات إضافية حول كيفية تشغيل التقاط الحزم من CUCM والهاتف:

• تجميع آثار CUCM من CUCM 8.6.2 ل TAC SR
• التقاط الحزمة على طراز جهاز مدير الاتصالات الموحدة
• تجميع التقاط حزمة من هاتف Cisco IP

في السجلات وحزم الالتقاط، أنت ينبغي ضمنت أن العملية يصف في الأقسام السابقة تعمل بشكل صحيح. تحقق تحديدا من ما يلي:

• يقوم الهاتف بتنزيل ملف التكوين الجزئي باستخدام معلومات CAPF الصحيحة.
• يتصل الهاتف عبر TLS بخدمة CAPF، ويتم تحديث المعلومات المتعلقة ب LSC أو MIC في قاعدة البيانات.
• يقوم الهاتف بتنزيل ملف التكوين المشفر بالكامل.