Exportieren der TLS-Zertifizierung aus CUCM Packet Capture (PCAP)

Download-Optionen

  • PDF     (830.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (895.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:23. April 2020
Dokument-ID:215438

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Dieses Dokument beschreibt das Verfahren zum Exportieren eines Zertifikats von einem Cisco Unified Communications Manager (CUCM) PCAP.

    Mitarbeiter: Adrian Esquillo, Cisco TAC Engineer.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
    · Transport Layer Security (TLS)-Handshake
    · CUCM-Zertifikatsverwaltung
    · Secure File Transport Protocol (SFTP)-Server
    · Realtime Monitoring Tool (RTMT)

    Wireshark-Anwendung

    Verwendete Komponenten

    · CUCM Version 9.X oder höher

    Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen

    Ein Serverzertifikat/eine Zertifikatkette kann exportiert werden, um zu bestätigen, dass das vom Server bereitgestellte Serverzertifikat/die vom Server bereitgestellte Zertifikatkette mit den hochzuladenden Zertifikaten übereinstimmt oder in das CUCM-Zertifikatsmanagement hochgeladen wird.

    Im Rahmen des TLS-Handshake stellt der Server seine Serverzertifikat-/Zertifikatkette für CUCM bereit.

    TLS-Zertifikat vom CUCM PCAP exportieren

    Schritt 1: Starten des Befehls zur Paketerfassung auf CUCM

    Stellen Sie eine Secure Shell (SSH)-Verbindung zum CUCM-Knoten her, und führen Sie den Befehl utils network capture (or capture-rotation) file <Dateiname> count 100000 size ALL aus, wie im Bild gezeigt:

    Schritt 2: TLS-Verbindung zwischen Server und CUCM starten

    In diesem Beispiel starten Sie eine TLS-Verbindung zwischen einem LDAPS-Server (Secure Lightweight Directory Access Protocol) und dem CUCM, indem Sie eine Verbindung auf dem TLS-Port 636 herstellen, wie im Bild gezeigt:

    Schritt 3: CUCM-PCAP stoppen, nachdem der TLS-Handshake abgeschlossen ist

    Drücken Sie Control-C, um die Paketerfassung zu stoppen, wie im Bild gezeigt.

    Schritt 4: Laden Sie die Paketerfassungsdatei mit einer der beiden aufgeführten Methoden herunter

    1. Starten Sie RTMT für den CUCM-Knoten, navigieren Sie zu System > Tools > Trace > Trace & Log Central > Collect Files und aktivieren Sie das Feld Packet Capture Logs (fahren Sie mit dem RTMT-Prozess fort, um die pcap-Datei herunterzuladen), wie im Bild gezeigt:

    2. Starten Sie einen SFTP-Server (Secure File Transport Protocol), und führen Sie in der CUCM SSH-Sitzung die Befehlsdatei get activelog /patform/cli/<pcap filename>.cap aus (fahren Sie mit den Aufforderungen fort, um den PCAP auf dem SFTP-Server herunterzuladen), wie im Bild gezeigt:

    Schritt 5: Bestimmen Sie die Anzahl der Zertifikate, die der Server dem CUCM vorlegt.

    Verwenden Sie die Anwendung Wireshark, um die pcap-Datei zu öffnen und auf tls zu filtern, um das Paket mit Server Hello zu ermitteln, das das dem CUCM präsentierte Serverzertifikat/Zertifikatskette enthält. Dies ist Frame 122, wie im Bild gezeigt:

    · erweitern Sie die Informationen Transport Layer Security > Certificate vom Server Hello-Paket mit dem Zertifikat, um die Anzahl der Zertifikate zu bestimmen, die dem CUCM vorgelegt werden. Das oberste Zertifikat ist das Serverzertifikat. In diesem Fall wird nur ein Zertifikat, das Serverzertifikat, wie im Bild gezeigt angezeigt:

    Schritt 6: Exportieren des Serverzertifikats/der Zertifikatkette aus dem CUCM PCAP

    In diesem Beispiel wird nur das Serverzertifikat angezeigt, daher müssen Sie das Serverzertifikat überprüfen. Klicken Sie mit der rechten Maustaste auf das Serverzertifikat, und wählen Sie Packet Bytes exportieren aus, um als .cer-Zertifikat zu speichern, wie im Bild gezeigt:

    · Geben Sie im nachfolgenden Fenster einen Namen für die Cer-Datei an, und klicken Sie dann auf Speichern. Die Datei, die (in diesem Fall auf dem Desktop) gespeichert wurde, wurde ServerCert.cer genannt, wie im Bild gezeigt:

    Schritt 7: Öffnen Sie die gespeicherte CER-Datei, um Inhalte zu prüfen.

    Doppelklicken Sie auf die Datei .cer, um die Informationen in den Registerkarten Allgemein, Details und Zertifikatspfad zu überprüfen, wie im Bild gezeigt:


    Überprüfen

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Adrian Esquillo
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.