Introduzione
In questo documento viene descritto come identificare se il certificato firmato dall'Autorità di certificazione (CA) corrisponde alla richiesta di firma del certificato (CSR) esistente per i Cisco Unified Application Server.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza di X.509/CSR.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Prodotti correlati
Il presente documento può essere utilizzato anche per le seguenti versioni hardware e software:
- Cisco Unified Communications Manager (CUCM)
- Cisco Unified IM e Presence
- Cisco Unified Unity Connection
- CUIS
- Cisco Meidasence
- Cisco Unified Contact Center Express (UCCX)
Premesse
Una richiesta di certificazione è costituita da un nome distinto, una chiave pubblica e un insieme facoltativo di attributi firmati collettivamente dall'entità che richiede la certificazione. Le richieste di certificazione vengono inviate a un'autorità di certificazione che le trasforma in un certificato a chiave pubblica X.509. In quale formato l'autorità di certificazione restituisce il certificato appena firmato non rientra nell'ambito del presente documento. Un messaggio PKCS #7 è una possibilità.(RFC:2986).
Gestione certificati Cisco Communications Manager
L'intenzione di includere una serie di attributi è duplice:
- Per fornire altre informazioni su una determinata entità o una password di richiesta con cui l'entità può in seguito richiedere la revoca del certificato.
- Per fornire attributi da includere nei certificati X.509. I server UC correnti non supportano una password di richiesta.
Gli attuali server Cisco UCS richiedono questi attributi in un CSR, come mostrato nella tabella seguente:
Informazioni |
Descrizione |
orgunit |
unità organizzativa |
nomeorganizzazione |
nome organizzazione |
località |
sede dell'organizzazione |
state |
stato dell'organizzazione |
paese |
impossibile modificare il codice del paese |
nomehostalternativo |
nome host alternativo |
Problema
Quando si supporta il certificato UC, è possibile che si verifichino molti casi in cui il certificato firmato dalla CA non può essere caricato sui server UC. Non è sempre possibile identificare ciò che si è verificato al momento della creazione del certificato firmato, poiché non si è la persona che ha utilizzato il CSR per creare il certificato firmato. Nella maggior parte dei casi, la rifirma di un nuovo certificato richiede più di 24 ore. I server UC, ad esempio CUCM, non dispongono di un log/trace dettagliato che consenta di identificare il motivo per cui il caricamento del certificato non riesce, ma forniscono semplicemente un messaggio di errore. L'intenzione di questo articolo è di limitare il problema, che si tratti di un server UC o di un problema di CA.
Procedura generale per i certificati firmati CA in CUCM
CUCM supporta l'integrazione con CA di terze parti tramite un meccanismo CSR PKCS#10 accessibile dall'interfaccia utente di Cisco Unified Communications Operating System Certificate Manager. I clienti che attualmente utilizzano CA di terze parti devono utilizzare il meccanismo CSR per rilasciare certificati per Cisco CallManager, CAPF , IPSec e Tomcat.
Passaggio 1. Modificare l'identificatore prima di generare il CSR.
L'identità del server CUCM per generare un CSR può essere modificata con il comando set web-security come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-00.png)
Se nei campi sopra indicati è presente spazio, usare "" per ottenere il comando come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-01.png)
Passaggio 2. Generare il CSR come illustrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-02.png)
Passaggio 3. Scaricare il CSR e farlo firmare dall'autorità di certificazione, come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-03.png)
Passaggio 4. Caricare il certificato firmato dalla CA nel server.
Dopo aver generato il CSR e firmato il certificato e se non si riesce a caricarlo con il messaggio di errore "Error reading the certificate" (Errore durante la lettura del certificato), come mostrato nell'immagine, è necessario verificare se il CSR è stato rigenerato o se il certificato firmato è la causa del problema.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-04.png)
Esistono tre modi per verificare se il CSR viene rigenerato oppure se il certificato firmato è la causa del problema.
Soluzione 1. Utilizzare il comando OpenSSL nella radice (o linux)
Passaggio 1. Accedere alla directory principale e passare alla cartella come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-05.png)
Passaggio 2. Copiare il certificato firmato nella stessa cartella con SFTP (Secure FTP). Se non si riesce a configurare un server SFTP, il caricamento nella cartella TFTP può anche ottenere il certificato sul CUCM, come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-06.png)
3. Controllare il MD5 per il CSR e il certificato firmato, come mostrato nell'immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-07.png)
Soluzione 2. Utilizzare qualsiasi strumento di ricerca delle chiavi dei certificati SSL da Internet
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-08.png)
Soluzione 3. Confronto dei contenuti da qualsiasi decoder CSR da Internet
Passaggio 1. Copiare le informazioni dettagliate sul certificato della sessione per ciascuno di essi, come illustrato in questa immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-09.png)
Passaggio 2. Confrontarli in uno strumento quale Blocco note++ con il plug-in Confronta, come illustrato in questa immagine.
![](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200123-How-to-Verify-the-CSR-and-Certificate-Mi-10.png)