Esempio di generazione e importazione di schede LCS con firma CA di terze parti per CUCM

Opzioni per il download

  • PDF     (249.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (90.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:9 marzo 2015
ID documento:118779

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

I certificati LSC (Certification Authority Proxy Function) rilevanti a livello locale sono firmati a livello locale. Tuttavia, potrebbe essere necessario che i telefoni utilizzino schede LSC firmate da un'autorità di certificazione (CA) di terze parti. In questo documento viene descritta una procedura che consente di ottenere questo risultato.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza di Cisco Unified Communications Manager (CUCM).

Componenti usati

Le informazioni fornite in questo documento si basano sulla versione 10.5(2) di CUCM, ma questa funzionalità è operativa a partire dalla versione 10.0 e successive.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Di seguito sono riportati i passaggi di questa procedura, descritti in dettaglio nella relativa sezione:

  1. Carica il certificato radice CA
  2. Imposta CA offline per il rilascio del certificato su Endpoint
  3. Genera una richiesta di firma del certificato (CSR) per i telefoni
  4. Carica il CSR generato da Cisco Unified Communications Manager (CUCM) sul server FTP
  5. Ottieni certificato telefonico da CA
  6. Converti formato cer in der
  7. Comprimi il formato dei certificati (.der) nel formato .tgz
  8. Trasferire il file .tgz sul server FTP Secure Shell (SFTP)
  9. Importare il file .tgz sul server CUCM
  10. Firmare il CSR con Microsoft Windows 2003 Certificate Authority
  11. Ottieni certificato radice dalla CA

Carica il certificato radice CA

  1. Accedere alla GUI Web di amministrazione del sistema operativo unificato Cisco.

  2. Passare a Gestione certificati di sicurezza.

  3. Fare clic su Carica catena di certificati/certificati.

  4. Scegliere CallManager-trust in Scopo certificato.

  5. Individuare il certificato radice della CA e fare clic su Upload.

Imposta CA offline per il rilascio del certificato su Endpoint

  1. Accedere alla GUI Web di amministrazione CUCM.

  2. Passare a Sistema > Parametro servizio.

  3. Scegliere il server CUCM e selezionare Funzione proxy Cisco Certificate Authority per il servizio.

  4. Selezionare CA non in linea per Rilascio certificato a endpoint.

Genera una richiesta di firma del certificato (CSR) per i telefoni

  1. Accedere alla GUI Web di amministrazione CUCM.

  2. Passare a Telefoni dispositivo.

  3. Scegliere il telefono il cui LSC deve essere firmato dalla CA esterna.

  4. Modificare il profilo di sicurezza del dispositivo in un profilo protetto (se non è presente, aggiungere un sistema al profilo di sicurezza del telefono di sicurezza).

  5. Nella sezione CAPF della pagina Configurazione telefono scegliere Installa/Aggiorna per l'operazione di certificazione. Completare questo passaggio per tutti i telefoni il cui LSC deve essere firmato dall'autorità di certificazione esterna. Per lo stato dell'operazione certificato, dovrebbe essere visualizzato Operazione in sospeso.



    Profilo sicurezza telefono (modello 7962).



    Immettere il comando utils capf csr count nella sessione Secure Shell (SSH) per confermare se è stato generato un CSR. (Questa schermata mostra che è stato generato un CSR per tre telefoni.)



    Nota: lo stato dell'operazione certificato nella sezione CAPF del telefono rimane nello stato Operazione in sospeso.

Recuperare il CSR generato da CUCM sul server FTP (o TFTP)

  1. SSH nel server CUCM.

  2. Eseguire il comando utils capf csr dump. In questa schermata viene mostrato il dump trasferito sull'FTP.



  3. Aprire il file di dump con WinRAR ed estrarre il CSR nel computer locale.

Ottieni certificato telefonico

  1. Inviare i CSR del telefono alla CA.

  2. La CA fornisce un certificato firmato.

    Nota: è possibile utilizzare un server Microsoft Windows 2003 come CA. La procedura per firmare il CSR con un'autorità di certificazione di Microsoft Windows 2003 è illustrata più avanti in questo documento.

Converti formato cer in der

Se i certificati ricevuti sono in formato cer, rinominarli in der.

Comprimi il formato dei certificati (.der) nel formato .tgz

È possibile utilizzare la radice del server CUCM (Linux) per comprimere il formato del certificato. Potete farlo anche in un normale sistema Linux.

  1. Trasferire tutti i certificati firmati al sistema Linux con il server SFTP.



  2. Immettere questo comando per comprimere tutti i certificati .der in un file .tgz.

    tar -zcvf 
         
         
           .tgz    *.der


Trasferire il file .tgz sul server SFTP

Completare i passaggi mostrati nella schermata per trasferire il file .tgz sul server SFTP.

Importare il file .tgz sul server CUCM

  1. SSH nel server CUCM.

  2. Eseguire il comando utils capf cert import.



    Una volta importati i certificati, il conteggio dei CSR diventa zero.

Firmare il CSR con Microsoft Windows 2003 Certificate Authority

Queste informazioni sono facoltative per Microsoft Windows 2003 - CA.

  1. Aprire Autorità di certificazione.



  2. Fare clic con il pulsante destro del mouse sulla CA e selezionare All Tasks > Submit new request...



  3. Selezionare il CSR e fare clic su Apri. Fate questo per tutti i CSR.



    Tutti i CSR aperti vengono visualizzati nella cartella Richieste in sospeso.

  4. Fare clic con il pulsante destro del mouse su ogni attività e passare a Tutte le attività > Emetti per emettere certificati. Eseguire questa operazione per tutte le richieste in sospeso.



  5. Per scaricare il certificato, scegliere Certificato rilasciato.

  6. Fare clic con il pulsante destro del mouse sul certificato e scegliere Apri.



  7. È possibile visualizzare i dettagli del certificato. Per scaricare il certificato, selezionare la scheda Dettagli e scegliere Copia su file...



  8. Nell'Esportazione guidata certificati scegliere X.509 binario con codifica DER (.CER).



  9. Assegnare al file un nome appropriato. In questo esempio viene utilizzato il formato <MAC>.cer.



  10. Ottenere i certificati per altri telefoni nella sezione Certificato emesso con questa procedura.

Ottieni certificato radice dalla CA

  1. Aprire Autorità di certificazione.

  2. Completare la procedura illustrata in questa schermata per scaricare la root-CA.

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

  1. Vai alla pagina di configurazione del telefono.

  2. Nella sezione CAPF, lo stato dell'operazione certificato dovrebbe essere visualizzato come Aggiornamento riuscito.

Nota: per ulteriori informazioni, fare riferimento a Generazione e importazione di schede LCS firmate da CA di terze parti.

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
09-Mar-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Ramesh Balakrishnan
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti