مثال تكوين خدمات الهاتف الخارجية الآمنة

المقدمة

يوضح هذا المستند كيفية تكوين خدمة الهاتف الخارجية الآمنة. يمكن أن يعمل هذا التكوين مع أي خدمة تابعة لجهة خارجية، ولكن للتوضيح، يستخدم هذا المستند خادم مدير الاتصالات الموحدة (CUCM) عن بعد من Cisco.

تمت المساهمة من قبل خوسيه فيلالوبوس، مهندس TAC من Cisco.

المتطلبات الأساسية

المتطلبات

 توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• CUCM
• شهادات CUCM
• الخدمات الهاتفية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• CUCM 10.5.x/CUCM 11.x
• سجل هواتف بروتوكول Skinny للتحكم في العملاء (SCCP) وبروتوكول بدء الجلسات (SIP) مع CUCM  
• المعمل الذي يستخدم شهادات الاسم البديل للموضوع (SAN). 
• سيكون الدليل الخارجي على وحدات SAN.
• بالنسبة لكافة الأنظمة في هذا المثال، سيكون المرجع المصدق (CA) هو نفسه، حيث تكون جميع الشهادات المستخدمة هي علامة CA.
• يجب أن يكون خادم اسم المجال (DNS) وبروتوكول وقت الشبكة (NTP) هما الخاصتان اللتان تم إعدادهما وتشغيلهما.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي تغيير.

المنتجات ذات الصلة

هذا وثيقة يستطيع أيضا كنت استعملت مع هذا جهاز وبرمجية صيغة:

• CUCM 9.X/10.X/11.X

خطوات التكوين

الخطوة 1. قم بإعداد عنوان URL للخدمة على النظام.

إعداد بروتوكول نقل النص التشعبي (HTTP) وبروتوكول نقل النص التشعبي الآمن (HTTPS) كدليل على المفاهيم. والفكرة الأخيرة هي إستخدام حركة مرور HTTP الآمنة فقط.

انتقل إلى Device> إعدادات الجهاز> خدمة الهاتف> إضافة جديد

HTTP فقط

HTTPS فقط 

تحذير: إذا قمت بإضافة التحقق من اشتراك المؤسسة، يمكن تخطي الخطوة الثانية. ومع ذلك، يؤدي هذا التغيير إلى إعادة ضبط جميع الهواتف، فتأكد من فهمك للتأثير المحتمل.

الخطوة 2. اشتراك الهواتف في الخدمات.

اسم البلد إلى جهاز>هاتف>المشترك/خدمة إلغاء الاشتراك.

في هذه المرحلة، إذا كان التطبيق يقدم HTTP، فيجب أن تكون قادرا على الوصول إلى الخدمة، ولكن HTTPS لا يزال غير جاهز.

HTTP

TTP 

HTTPS

سيظهر HTTPS خطأ لم يتم العثور على المضيف" بسبب هذه الحقيقة، يتعذر على خدمة TVS مصادقة هذا الأمر للهاتف.

الخطوة 3. تحميل شهادات الخدمة الخارجية إلى CUCM.

تحميل الخدمة الخارجية كخدمة موثوق بها فقط. تأكد من إعادة تعيين الخدمات على جميع العقد.

لا يتم تخزين هذا النوع من الشهادات على الهاتف، بل يجب أن يتحقق الهاتف من خدمة TVS لمعرفة ما إذا كان يقوم بإنشاء اتصال HTTPS.

انتقل إلى إدارة نظام التشغيل <Certificate> Certificate Upload.

من SSH، قم بإعادة ضبط خدمة CUCM Tomcat على جميع العقد.

بعد هذه الخطوات، يجب أن تكون الهواتف قادرة على الوصول إلى خدمة HTTPS دون مشاكل

الأسئلة المتكررة (FAQ)

بعد تبادل الشهادات، لا يزال HTTPS يفشل مع "المضيف غير موجود".

-تحقق من العقدة التي يتم فيها تسجيل الهاتف وتتأكد من أنك ترى شهادة الطرف الثالث على العقدة.

-إعادة ضبط علامة التبويب على العقدة المحددة.

-فحص DNS، تأكد من إمكانية حل الاسم الشائع (CN) للشهادة.

استكشاف الأخطاء وإصلاحها

يجب أن توفر لك سجلات CUCM TVS معلومات جيدة

انتقل إلى RTMT>System>Trace & Log Central > تجميع ملفات السجل

ملاحظة: قم بجمع السجلات من جميع العقد وتأكد من تعيين سجلات التلفزيون على التفاصيل.

سجلات أجهزة التلفزيون المعينة إلى التفاصيل

مثال على التتبع

11:17:38.291 |   debug CTVSChangeNotifyServer::ProcessChangeNotification () - CDBString=<msg><type>DBL</type><table>certificate</table><tableid>46</tableid><action>I</action><user>repl</user><time>1504203458</time><new><cdrserver>2</cdrserver><cdrtime>1504203457</cdrtime><pkid>e6148ee3-3eb5-e955-fa56-2baa538a88fb</pkid><servername>cucm11pub</servername><subjectname>CN=10.201.192.12,OU=RCH,O=Cisco,L=RCH,ST=Tx,C=US</subjectname><issuername>CN=pablogon-CA,DC=rcdncollab,DC=com</issuername><serialnumber>3d00000008230ded92f687ec03000000000008</serialnumber><certificate></certificate><ipv4address>10.201.192.13</ipv4address><ipv6address></ipv6address><timetolive>NULL</timetolive><tkcertificatedistribution>1</tkcertificatedistribution><ifx_replcheck>6460504654345273346</ifx_replcheck></new></msg>
11:17:38.291 |   debug CTVSChangeNotifyServer::ProcessChangeNotification () - Database table "certificate" has been changed
11:17:38.291 |   debug CTVSChangeNotifyServer::ProcessChangeNotification () - Looking up the roles for
11:17:38.291 |   debug Pkid : fead9987-66b5-498f-4e41-c695c54fac98
11:17:38.291 |   debug CTVSChangeNotifyServer::ProcessThreadProc () - Waiting for DBChange Notification
11:17:38.300 |   debug CTVSChangeNotifyServer::ProcessThreadProc () - DBChange Notification received
11:17:38.300 |   debug CTVSChangeNotifyServer::ProcessChangeNotification () - CDBString=<msg><type>DBL</type><table>certificatetrustrolemap</table><tableid>50</tableid><action>I</action><user>repl</user><time>1504203458</time><new><cdrserver>2</cdrserver><cdrtime>1504203457</cdrtime><pkid>5ae6e1d2-63a2-4590-bf40-1954bfa79a2d</pkid><fkcertificate>e6148ee3-3eb5-e955-fa56-2baa538a88fb</fkcertificate><tktrustrole>7</tktrustrole><ifx_replcheck>6460504654345273346</ifx_replcheck></new></msg>
11:17:38.300 |   debug CTVSChangeNotifyServer::ProcessChangeNotification () - Database table "certificatetrustrolemap" has been changed
11:17:38.300 |   debug CTVSChangeNotifyServer::ProcessThreadProc () - Waiting for DBChange Notification
11:17:46.811 |   debug updateLocalDBCache : Refreshing the local DB certificate cache
11:34:00.131 |   debug Return value after polling is 1
11:34:00.131 |   debug FD_ISSET i=0, SockServ=14
 
11:34:00.131 |   debug Accepted TCP connection from socket 0x00000014