Introduzione
In questo documento viene descritta una procedura dettagliata per creare modelli di certificato in Autorità di certificazione (CA) basate su Windows Server.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- CUCM versione 11.5(1).
- Conoscenze base dell'amministrazione di Windows Server
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- CUCM versione 11.5(1).
- Microsoft Windows Server 2012 R2 con i servizi CA installati.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Questi modelli di certificato sono conformi ai requisiti di estensione X.509 per ogni tipo di certificato Cisco Unified Communications Manager (CUCM).
Esistono cinque tipi di certificati che possono essere firmati da una CA esterna:
Certificato |
Utilizzo |
Servizi interessati |
CallManager |
Presentato durante la registrazione sicura del dispositivo e in grado di firmare i file CTL (Certificate Trust List)/ITL (Internal Trust List), utilizzati per interazioni protette con altri server, ad esempio i trunk SIP (Secure Session Initiation Protocol). |
· Cisco Call Manager · Cisco CTI Manager ·Cisco TFTP |
tomcat |
Presentato per le interazioni HTTPS (Secure Hypertext Transfer Protocol). |
·Cisco Tomcat · Single Sign-On (SSO) · Mobilità di estensione · Directory aziendale |
ipsec |
Utilizzato per la generazione di file di backup, nonché per l'interazione di IPsec (IP Security) con i gateway Media Gateway Control Protocol (MGCP) o H323. |
· Cisco DRF principale · Cisco DRF locale |
CAPF |
Utilizzato per generare certificati LSC (Locally Significant Certificates) per telefoni. |
· Funzione proxy Cisco Certificate Authority |
TVS |
Utilizzato per creare una connessione al servizio di verifica dell'attendibilità (TVS) quando i telefoni non sono in grado di autenticare un certificato sconosciuto. |
· Servizio di verifica attendibilità Cisco |
Nota: il certificato IPSec non è correlato a Cisco DRF Primary e Cisco DRF Local poiché, nelle versioni più recenti, viene utilizzato il certificato Tomcat. Non è prevista l'aggiunta di questa modifica alla versione 12.5 o precedenti.
Ognuno di questi certificati ha alcuni requisiti di estensione X.509 che devono essere impostati, altrimenti si possono verificare comportamenti errati su uno qualsiasi dei suddetti servizi:
Certificato |
Utilizzo chiavi X.509 |
Utilizzo chiavi esteso X.509 |
CallManager |
Firma digitale · Crittografia · Crittografia dei dati |
· Autenticazione server Web · Autenticazione client Web |
tomcat |
Firma digitale · Crittografia · Crittografia dei dati |
· Autenticazione server Web · Autenticazione client Web |
ipsec |
Firma digitale · Crittografia · Crittografia dei dati |
· Autenticazione server Web · Autenticazione client Web · Sistema terminale IPsec |
CAPF |
Firma digitale · Firma certificato · Crittografia |
· Autenticazione server Web · Autenticazione client Web |
TVS |
Firma digitale · Crittografia · Crittografia dei dati |
· Autenticazione server Web · Autenticazione client Web |
Per ulteriori informazioni, fare riferimento alla Guida alla sicurezza per Cisco Unified Communications Manager
Configurazione
Passaggio 1. In Windows Server, selezionare Server Manager > Strumenti > Autorità di certificazione, come mostrato nell'immagine.
![Configure Step 1](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-00.png)
Passaggio 2. Selezionare la CA, passare a Modelli di certificato, fare clic con il pulsante destro del mouse sull'elenco e selezionare Gestisci, come mostrato nell'immagine.
![Select CA and Certificate Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-01.png)
Modello Callmanager / Tomcat / TVS
Nelle immagini successive viene visualizzata solo la creazione del modello CallManager, ma è possibile seguire gli stessi passaggi per creare i modelli di certificato per i servizi Tomcat e TVS. L'unica differenza consiste nel garantire che il nome del servizio corrispondente venga utilizzato per ogni nuovo modello al passaggio 2.
Passaggio 1. Individuare il modello Web Server, fare clic con il pulsante destro del mouse su di esso e selezionare Duplica modello, come mostrato nell'immagine.
![Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-02.png)
Passaggio 2. In Generale è possibile modificare il nome, il nome visualizzato, la validità e altre variabili del modello di certificato.
![Update Certificate Template Information](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-03.png)
Passaggio 3. Passare a Estensioni > Uso chiave > Modifica, come mostrato nell'immagine.
![Template Properties and Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-04.png)
Passaggio 4. Selezionate queste opzioni e fate clic su OK, come mostrato nell'immagine.
- Firma digitale
- Consenti scambio chiave solo con crittografia (cifratura chiave)
- Consenti crittografia dei dati utente
![Edit Key Usage Extension](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-05.png)
Passaggio 5. Passare a Estensioni > Criteri di applicazione > Modifica > Aggiungi, come mostrato nell'immagine.
![Application Policies](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-06.png)
![Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-07.png)
Passaggio 6. Cercare Autenticazione client, selezionarlo e scegliere OK sia in questa finestra che in quella precedente, come mostrato nell'immagine.
![Select Apply and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-08.png)
Passaggio 7. Tornare al modello, selezionare Apply (Applica), quindi OK.
![Close Certificate Template Console](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-09.png)
Passaggio 8. Chiudere la finestra Console modello certificato e tornare alla prima finestra, selezionare Nuovo > Modello di certificato da emettere, come mostrato nell'immagine.
![Select New CallManager CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-10.png)
Passaggio 9. Selezionare il nuovo modello CallManager CUCM e scegliere OK, come mostrato nell'immagine.
![Find Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-11.png)
Passaggio 10. Ripetere tutti i passaggi precedenti per creare modelli di certificato per i servizi Tomcat e TVS in base alle esigenze.
Modello IPSec
Passaggio 1. Individuare il modello Web Server, fare clic con il pulsante destro del mouse su di esso e selezionare Duplica modello, come mostrato nell'immagine.
![Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-12.png)
Passaggio 2. In Generale è possibile modificare il nome, il nome visualizzato, la validità e altre variabili del modello di certificato.
![Update Certification Information for IPsec Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-13.png)
Passaggio 3. Passare a Estensioni > Uso chiave > Modifica, come mostrato nell'immagine.
![Edit Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-14.png)
Passaggio 4. Selezionate queste opzioni e fate clic su OK, come mostrato nell'immagine.
- Firma digitale
- Consenti scambio chiave solo con crittografia (cifratura chiave)
- Consenti crittografia dei dati utente
![Select Options and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-15.png)
Passaggio 5. Passare a Estensioni > Criteri di applicazione > Modifica > Aggiungi, come mostrato nell'immagine.
![Edit Application Policies](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-16.png)
![Search for Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-17.png)
Passaggio 6. Cercare Autenticazione client, selezionarlo e quindi fare clic su OK, come mostrato nell'immagine.
![Select Add and Search for IP Security and System](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-18.png)
Passaggio 7. Selezionare di nuovo Add, cercare IP security end system, selezionarlo, quindi selezionare OK anche in questo caso e nella finestra precedente.
![Select Apply and Ok on Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-19.png)
Passaggio 8. Tornare al modello, selezionare Apply (Applica), quindi OK, come mostrato nell'immagine.
![Close the Certificate Templates Console](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-20.png)
Passaggio 9. Chiudere la finestra della console Modelli di certificato e tornare alla prima finestra, passare a Nuovo > Modello di certificato da emettere, come mostrato nell'immagine.
![Select New IPsec CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-21.png)
Passaggio 10. Selezionare il nuovo modello IPSEC CUCM e scegliere OK, come mostrato nell'immagine.
![Find Root CA Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-22.png)
Modello CAPF
Passaggio 1. Individuare il modello Root CA (CA radice) e fare clic con il pulsante destro del mouse su di esso. Quindi selezionate Duplica modello (Duplicate Template), come mostrato nell'immagine.
![Under General, Update Template Information](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-23.png)
Passaggio 2. In Generale è possibile modificare il nome, il nome visualizzato, la validità e altre variabili del modello di certificato.
![Navigate to Extensions and Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-24.png)
Passaggio 3. Passare a Estensioni > Uso chiave > Modifica, come mostrato nell'immagine.
![Select Options and then Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-25.png)
Passaggio 4. Selezionate queste opzioni e fate clic su OK, come mostrato nell'immagine.
- Firma digitale
- Firma certificato
- Firma CRL
![CS Image](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-26.png)
Passaggio 5. Passare a Estensioni > Criteri di applicazione > Modifica > Aggiungi, come mostrato nell'immagine.
![Application Policies, Edit and Add](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-27.png)
![Add Server Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-28.png)
Passaggio 6. Cercare Autenticazione client, selezionarlo e quindi fare clic su OK, come mostrato nell'immagine.
![Search for Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-29.png)
Passaggio 7. Selezionare di nuovo Add, cercare IP security end system, selezionarlo, quindi selezionare OK anche in questo caso e nella finestra precedente, come mostrato nell'immagine.
![Search for IP Security End System](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-30.png)
Passaggio 8. Tornare al modello, selezionare Apply (Applica), quindi OK, come mostrato nell'immagine.
![Back on Template, Select Apply and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-31.png)
Passaggio 9. Chiudere la finestra della console Modelli di certificato e tornare alla prima finestra, passare a Nuovo > Modello di certificato da emettere, come mostrato nell'immagine.
![Close Certificate Templates Console Window](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-32.png)
Passaggio 10. Selezionate il nuovo modello CAPF CUCM e OK, come mostrato nell'immagine.
![Select CAPF CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-33.png)
Genera una richiesta di firma del certificato
Utilizzare questo esempio per generare un certificato CallManager con l'utilizzo dei nuovi modelli creati. La stessa procedura può essere utilizzata per qualsiasi tipo di certificato. È sufficiente selezionare il certificato e i tipi di modello di conseguenza:
Passaggio 1. In CUCM, selezionare Amministrazione sistema operativo > Protezione > Gestione certificati > Genera CSR.
Passaggio 2. Selezionate queste opzioni e selezionate Genera (Generate), come mostrato nell'immagine.
- Scopo certificato: CallManager
- Distribuzione: <può trattarsi di un solo server o di più SAN>
![Generate a Certificate Signing Request](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-34.png)
Passaggio 3. Viene generato un messaggio di conferma, come mostrato nell'immagine.
![Confirmation Message Generated](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-35.png)
Passaggio 4. Nell'elenco dei certificati cercare la voce con il tipo Solo CSR e selezionarla, come mostrato nell'immagine.
![Entry Type CSR Only](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-36.png)
Passaggio 5. Nella finestra pop-up, selezionare Download CSR, quindi salvare il file sul computer.
![Pop-Up Window, Select Download CSR](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-37.png)
Passaggio 6. Nel browser passare a questo URL e immettere le credenziali dell'amministratore del controller di dominio: https://<yourWindowsServerIP>/certsrv/.
Passaggio 7. Passare a Richiedi un certificato > Richiesta avanzata di certificati, come mostrato nell'immagine.
![Navigate to this URL](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-38.png)
![Request a Certificate, Advanced Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-39.png)
Passaggio 8. Aprire il file CSR e copiarne il contenuto:
![Open CSR File and Copy All Contents](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-40.png)
Passaggio 9. Incollare il CSR nel campo Richiesta certificato con codifica Base 64. In Modello di certificato selezionare il modello corretto e scegliere Invia, come illustrato nell'immagine.
![Paste the CSR in the Base-64-Encoded-Certificate-Request Field](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-41.png)
Passaggio 10. Infine, selezionare Codificato Base 64 e Scarica catena di certificati. Il file generato può essere caricato in CUCM.
![Select Base 64 Encoded and Download Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-42.png)
Verifica
La procedura di verifica fa effettivamente parte del processo di configurazione.
Risoluzione dei problemi
Non sono attualmente disponibili informazioni specifiche per la risoluzione dei problemi per questa configurazione.