Migreer CUCM Mixed Mode met Tokenless CTL
Inleiding
Dit document beschrijft verschillen tussen de security van Cisco Unified Communications Manager (CUCM) met/zonder het gebruik van hardware-USB-eTokens.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van CUCM versie 10.0(1) of hoger. Zorg er bovendien voor dat:
- Uw licentieserver voor CUCM versie 11.5.1SU3 en hoger moet Cisco Prime License Manager (PLM) 11.5.1SU2 of hoger zijn. Dit komt doordat CUCM versie 11.5.1SU3 de Encryption License vereist om gemengde modus in te schakelen en PLM ondersteunt de Encryption License niet tot 11.5.1SU2.
Raadpleeg de Releaseopmerkingen voor Cisco Prime License Manager, release 11.5(1)SU2 voor meer informatie.
- U hebt Administratieve toegang tot de Command Line Interface (CLI) van de CUCM Publisher-knooppunt.
- U hebt toegang tot de hardware USB eTokens en dat de CTL client plug-in is geïnstalleerd op uw pc voor scenario's die vereisen dat u terug te migreren naar het gebruik van hardware eTokens.
Voor extra duidelijkheid, deze vereiste is alleen als je, op elk moment, een scenario hebt waar de USB eTokens nodig zijn. De kans is klein dat USB eTokens voor de meeste mensen nodig zijn.
- Er is volledige connectiviteit tussen alle CUCM-knooppunten in het cluster. Dit is heel belangrijk omdat het CTL-bestand wordt gekopieerd naar alle knooppunten in het cluster via SSH File Transfer Protocol (SFTP).
- De database (DB) replicatie in het cluster werkt goed en dat de servers de gegevens in real-time repliceren.
- De apparaten in uw implementatie ondersteunen standaard Security by Default (TVS). U kunt de functielijst voor Unified CM-telefoon gebruiken van de Cisco Unified Reporting-webpagina (https://<CUCM IP of FQDN>/cucreports/) om te bepalen welke apparaten Standaard beveiliging ondersteunen.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- CUCM versie 10.5.1.10000-7 (cluster van twee knooppunten)
- Cisco 7975 Series IP-telefoons geregistreerd via Skinny Client Control Protocol (SCCP) met firmware versie SCCP75.9-3-1SR4-1S
- Twee Cisco Security Tokens die worden gebruikt om het cluster in te stellen op Gemengde modus met het gebruik van CTL-clientsoftware
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document beschrijft het verschil tussen de Cisco Unified Communications Manager (CUCM) beveiliging met en zonder het gebruik van hardware-USB-eTokens.
In dit document worden ook de basisimplementatiescenario's beschreven die betrekking hebben op de Tokenless Certificate Trust List (CTL) en het proces dat wordt gebruikt om ervoor te zorgen dat het systeem na de wijzigingen goed functioneert.
Tokenless CTL is een nieuwe functie in CUCM Versies 10.0(1) en later die de codering van gesprekssignalering en media voor IP-telefoons mogelijk maakt zonder de noodzaak om hardware-USB-eTokens en de CTL-client-plug-in te gebruiken, wat de vereiste was in eerdere CUCM-releases.
Wanneer het cluster met het gebruik van de CLI-opdracht in de gemengde modus wordt geplaatst, wordt het CTL-bestand ondertekend met het CCM+TFTP (server)-certificaat van het Publisher-knooppunt en zijn er geen eToken-certificaten in het CTL-bestand aanwezig.
Van niet-beveiligde modus naar gemengde modus (Tokenless CTL)
In deze sectie wordt beschreven welk proces wordt gebruikt om de CUCM-clusterbeveiliging via de CLI naar de gemengde modus te verplaatsen.
Voorafgaand aan dit scenario was de CUCM in de niet-beveiligde modus, wat betekent dat er geen CTL-bestand aanwezig was op een van de knooppunten en dat de geregistreerde IP-telefoons alleen een ITL-bestand (Identity Trust List) hadden geïnstalleerd, zoals in deze uitgangen wordt getoond:
admin:show ctl Length of CTL file: 0 CTL File not found. Please run CTLClient plugin or run the CLI - utils ctl.. to
generate the CTL file. Error parsing the CTL File. admin:
run sql select paramname,paramvalue from processconfig where paramname='ClusterSecurityMode' paramname paramvalue =================== ========== ClusterSecurityMode 0
Voltooi de volgende stappen om de CUCM-clusterbeveiliging met het gebruik van de nieuwe Tokenless CTL-functie naar de gemengde modus te verplaatsen:
- Verkrijg Administratieve toegang tot de CLI van de Uitgever van CUCM.
- Voer de opdracht utils ctl set-cluster mixed-mode in de CLI in:
admin:utils ctl set-cluster mixed-mode
This operation sets the cluster to Mixed mode. Do you want to continue? (y/n):y
Moving Cluster to Mixed Mode
Cluster set to Mixed Mode
Please Restart the TFTP and Cisco CallManager services on all nodes in the cluster
that run these services
admin: - Navigeer naar CUCM Admin Page > System > Enterprise Parameters en controleer of het cluster is ingesteld op Gemengde modus (een waarde van 1 geeft Gemengde modus aan):
- Start de TFTP- en Cisco CallManager-services opnieuw op alle knooppunten in het cluster waarop deze services worden uitgevoerd.
- Start alle IP-telefoons opnieuw zodat ze het CTL-bestand kunnen verkrijgen via de CUCM TFTP-service.
- Om de inhoud van het CTL-bestand te verifiëren, voert u de opdracht ctl voor show in de CLI in.
- In het CTL-bestand kunt u zien dat het CCM+TFTP (server)-certificaat voor de CUCM Publisher-knooppunt wordt gebruikt om het CTL-bestand te ondertekenen (dit bestand is hetzelfde op alle servers in het cluster). Hier is een voorbeelduitvoer:
admin:show ctl
The checksum value of the CTL file:
0c05655de63fe2a042cf252d96c6d609(MD5)
8c92d1a569f7263cf4485812366e66e3b503a2f5(SHA1)
Length of CTL file: 4947
The CTL File was last modified on Fri Mar 06 19:45:13 CET 2015
[...]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D 21
A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4 This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D 21
A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
[...]
The CTL file was verified successfully. - Aan de kant van de IP-telefoon kunt u controleren of het CTL-bestand wordt gedownload nadat de service opnieuw is opgestart. Dit bestand is nu aanwezig op de TFTP-server (de MD5-checksum komt overeen met de uitvoer van de CUCM):
Van hardware-eTokens tot Tokenloze oplossing
In dit gedeelte wordt beschreven hoe de CUCM-clusterbeveiliging van hardware-eTokens kan worden gemigreerd naar het gebruik van de nieuwe Tokenless-oplossing.
In sommige situaties is de gemengde modus al geconfigureerd op de CUCM met het gebruik van de CTL-client, en de IP-telefoons gebruiken CTL-bestanden die de certificaten van de hardware-USB-eTokens bevatten.
Bij dit scenario wordt het CTL-bestand ondertekend door een certificaat van een van de USB eTokens en geïnstalleerd op de IP-telefoons. Hier in een voorbeeld:
admin:show ctl
The checksum value of the CTL file:
256a661f4630cd86ef460db5aad4e91c(MD5)
3d56cc01476000686f007aac6c278ed9059fc124(SHA1)
Length of CTL file: 5728
The CTL File was last modified on Fri Mar 06 21:48:48 CET 2015
[...]
CTL Record #:5
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1186
2 DNSNAME 1
3 SUBJECTNAME 56 cn="SAST-ADN008580ef ";ou=IPCBU;o="Cisco Systems
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
6 SERIALNUMBER 10 83:E9:08:00:00:00:55:45:AF:31
7 PUBLICKEY 140
9 CERTIFICATE 902 85 CD 5D AD EA FC 34 B8 3E 2F F2 CB 9C 76 B0 93
3E 8B 3A 4F (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
The CTL file was verified successfully.
Voltooi deze stappen om de CUCM-clusterbeveiliging te verplaatsen naar het gebruik van Tokenless CTL’s:
- Verkrijg Administratieve toegang tot de CLI van de Uitgever van CUCM.
- Voer de opdracht CTLF-bestand CLI bijwerken via hulpprogramma’s:
admin:utils ctl update CTLFile
This operation updates the CTLFile. Do you want to continue? (y/n):y
Updating CTL file
CTL file Updated
Please Restart the TFTP and Cisco CallManager services on all nodes in
the cluster that run these services - Start de TFTP- en CallManager-services opnieuw op alle knooppunten in het cluster waarop deze services worden uitgevoerd.
- Start alle IP-telefoons opnieuw zodat ze het CTL-bestand kunnen verkrijgen via de CUCM TFTP-service.
- Voer de opdracht ctl van de show in de CLI in om de inhoud van het CTL-bestand te verifiëren. In het CTL-bestand kunt u zien dat het CCM+TFTP (server)-certificaat van de CUCM Publisher-knooppunt wordt gebruikt om het CTL-bestand te ondertekenen in plaats van het certificaat van de hardware-USB-eTokens.
- Nog een belangrijk verschil in dit geval is dat de certificaten van alle hardware USB eTokens worden verwijderd uit het CTL bestand. Hier is een voorbeelduitvoer:
admin:show ctl
The checksum value of the CTL file:
1d97d9089dd558a062cccfcb1dc4c57f(MD5)
3b452f9ec9d6543df80e50f8b850cddc92fcf847(SHA1)
Length of CTL file: 4947
The CTL File was last modified on Fri Mar 06 21:56:07 CET 2015
[...]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
[...]
The CTL file was verified successfully. - Aan de kant van de IP-telefoon kunt u controleren of de bijgewerkte versie van het CTL-bestand is gedownload nadat de IP-telefoons opnieuw zijn opgestart (de MD5-checksum komt overeen met de uitvoer van de CUCM):
Van Tokenless Solution naar Hardware eTokens
In dit gedeelte wordt beschreven hoe de CUCM-clusterbeveiliging kan worden gemigreerd van de nieuwe Tokenless-oplossing naar het gebruik van hardware-eTokens.
Wanneer de CUCM-clusterbeveiliging is ingesteld op Gemengde modus met het gebruik van de CLI-opdrachten en het CTL-bestand is ondertekend met het CCM+TFTP (server)-certificaat voor de CUCM Publisher-knooppunt, zijn er geen certificaten van de hardware-USB-eTokens aanwezig in het CTL-bestand.
Om deze reden wordt deze foutmelding weergegeven wanneer u de CTL client uitvoert om het CTL bestand bij te werken (ga terug naar het gebruik van hardware eTokens):
The Security Token you have inserted does not exist in the CTL File Please remove any Security Tokens already inserted and insert another
Security Token. Click Ok when done.
Dit is met name belangrijk in scenario's die een downgrade (wanneer de versie wordt teruggeschakeld) van het systeem naar een pre-10.x versie die niet de utils ctl opdrachten bevat omvatten.
Het vorige CTL-bestand is gemigreerd (zonder wijzigingen in de inhoud) tijdens het proces van een verversen of een Linux to Linux (L2)-upgrade, en het bevat niet de eToken-certificaten, zoals eerder vermeld. Hier is een voorbeelduitvoer:
admin:show ctl
The checksum value of the CTL file:
1d97d9089dd558a062cccfcb1dc4c57f(MD5)
3b452f9ec9d6543df80e50f8b850cddc92fcf847(SHA1)
Length of CTL file: 4947
The CTL File was last modified on Fri Mar 06 21:56:07 CET 2015
Parse CTL File
----------------
Version: 1.2
HeaderLength: 336 (BYTES)
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
3 SIGNERID 2 149
4 SIGNERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
5 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
6 CANAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
7 SIGNATUREINFO 2 15
8 DIGESTALGORTITHM 1
9 SIGNATUREALGOINFO 2 8
10 SIGNATUREALGORTITHM 1
11 SIGNATUREMODULUS 1
12 SIGNATURE 128
65 ba 26 b4 ba de 2b 13
b8 18 2 4a 2b 6c 2d 20
7d e7 2f bd 6d b3 84 c5
bf 5 f2 74 cb f2 59 bc
b5 c1 9f cd 4d 97 3a dd
6e 7c 75 19 a2 59 66 49
b7 64 e8 9a 25 7f 5a c8
56 bb ed 6f 96 95 c3 b3
72 7 91 10 6b f1 12 f4
d5 72 e 8f 30 21 fa 80
bc 5d f6 c5 fb 6a 82 ec
f1 6d 40 17 1b 7d 63 7b
52 f7 7a 39 67 e1 1d 45
b6 fe 82 0 62 e3 db 57
8c 31 2 56 66 c8 91 c8
d8 10 cb 5e c3 1f ef a
14 FILENAME 12
15 TIMESTAMP 4
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
CTL Record #:3
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1138
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 60 CN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CAPF
5 ISSUERNAME 60 CN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 74:4B:49:99:77:04:96:E7:99:E9:1E:81:D3:C8:10:9B
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 680 46 EE 5A 97 24 65 B0 17 7E 5F 7E 44 F7 6C 0A
F3 63 35 4F A7 (SHA1 Hash HEX)
10 IPADDRESS 4
CTL Record #:4
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1161
2 DNSNAME 17 cucm-1051-a-sub1
3 SUBJECTNAME 63 CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 63 CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 6B:EB:FD:CD:CD:8C:A2:77:CB:2F:D1:D1:83:A6:0E:72
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 696 21 7F 23 DE AF FF 04 85 76 72 70 BF B1 BA 44
DB 5E 90 ED 66 (SHA1 Hash HEX)
10 IPADDRESS 4
The CTL file was verified successfully.
admin:
Voltooi voor dit scenario deze stappen om de CTL-bestanden veilig te kunnen bijwerken zonder dat u de procedure voor verloren eTokens hoeft te gebruiken, die eindigt in het handmatig verwijderen van het CTL-bestand uit alle IP-telefoons:
- Verkrijg Administratieve toegang tot de CLI van de Uitgever van CUCM.
- Voer de opdracht file delete tftp CTLFile.tlv in de Publisher-knooppunt CLI in om het CTL-bestand te verwijderen:
admin:file delete tftp CTLFile.tlv
Delete the File CTLFile.tlv?
Enter "y" followed by return to continue: y
files: found = 1, deleted = 1 - Open SafeNet-verificatieclient op het Microsoft Windows-systeem waarop de CTL-client is geïnstalleerd (het wordt automatisch met CTL-client geïnstalleerd):
- Navigeer in de SafeNet-verificatieclient naar de geavanceerde weergave:
- Plaats de eerste hardware USB eToken.
- Selecteer het certificaat onder de map Gebruikerscertificaten en exporteer het naar de map op de pc. Gebruik, wanneer u om een wachtwoord wordt gevraagd, het standaardwachtwoord van Cisco123:
- Herhaal deze stappen voor de tweede hardware USB eToken zodat beide certificaten naar de PC worden geëxporteerd:
- Log in bij de Cisco Unified Operating System (OS) administratie en navigeer naar Security > Certificate Management > Upload Certificate:
- De pagina Upload-certificaat wordt vervolgens weergegeven. Kies Phone-SAST-trust in het vervolgkeuzemenu Certificaatdoel en selecteer het certificaat dat u hebt geëxporteerd uit het eerste eToken:
- Voltooi de vorige stappen om het certificaat te uploaden dat u uit het tweede eToken hebt geëxporteerd:
- Voer de CTL-client uit, geef het IP-adres/hostnaam van de CUCM Publisher-knooppunt op en voer de CCM Administrator-referenties in:
- Aangezien het cluster al in gemengde modus staat, maar er geen CTL-bestand bestaat op het knooppunt Publisher, verschijnt dit waarschuwingsbericht (klik op OK om het te negeren):
No CTL File exists on the server but the Call Manager Cluster Security Mode
is in Secure Mode.
For the system to function, you must create the CTL File and set Call Manager
Cluster the Secure Mode. - Klik vanuit de CTL-client op de radioknop CTL-bestand bijwerken en klik vervolgens op Volgende:
- Plaats het eerste beveiligingsteken en klik op OK:
- Nadat de details van de beveiligingstoken zijn weergegeven, klikt u op Toevoegen:
- Zodra de inhoud van het CTL-bestand verschijnt, klikt u op Add Tokens om het tweede USB eToken toe te voegen:
- Klik nadat de details van de beveiligingstoken zijn weergegeven op Toevoegen:
- Klik nadat de inhoud van het CTL-bestand verschijnt op Voltooien. Wanneer u om een wachtwoord wordt gevraagd, voert u Cisco123 in:
- Wanneer de lijst met CUCM-servers waarop het CTL-bestand bestaat, verschijnt, klikt u op Gereed:
- Start de TFTP- en CallManager-services opnieuw op alle knooppunten in het cluster waarop deze services worden uitgevoerd.
- Start alle IP-telefoons opnieuw zodat ze de nieuwe versie van het CTL-bestand kunnen verkrijgen via de CUCM TFTP-service.
- Om de inhoud van het CTL-bestand te verifiëren, voert u de opdracht ctl voor show in de CLI in. In het CTL-bestand kunt u de certificaten van beide USB eTokens zien (een ervan wordt gebruikt om het CTL-bestand te ondertekenen). Hier is een voorbeelduitvoer:
admin:show ctl
The checksum value of the CTL file:
2e7a6113eadbdae67ffa918d81376902(MD5)
d0f3511f10eef775cc91cce3fa6840c2640f11b8(SHA1)
Length of CTL file: 5728
The CTL File was last modified on Fri Mar 06 22:53:33 CET 2015
[...]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1186
2 DNSNAME 1
3 SUBJECTNAME 56 cn="SAST-ADN0054f509 ";ou=IPCBU;o="Cisco Systems
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
6 SERIALNUMBER 10 3C:F9:27:00:00:00:AF:A2:DA:45
7 PUBLICKEY 140
9 CERTIFICATE 902 19 8F 07 C4 99 20 13 51 C5 AE BF 95 03 93 9F F2
CC 6D 93 90 (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was not used to sign the CTL file.
[...]
CTL Record #:5
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1186
2 DNSNAME 1
3 SUBJECTNAME 56 cn="SAST-ADN008580ef ";ou=IPCBU;o="Cisco Systems
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 42 cn=Cisco Manufacturing CA;o=Cisco Systems
6 SERIALNUMBER 10 83:E9:08:00:00:00:55:45:AF:31
7 PUBLICKEY 140
9 CERTIFICATE 902 85 CD 5D AD EA FC 34 B8 3E 2F F2 CB 9C 76 B0 93
3E 8B 3A 4F (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
The CTL file was verified successfully. - Aan de kant van de IP-telefoon kunt u controleren of de bijgewerkte versie van het CTL-bestand is gedownload nadat de IP-telefoons opnieuw zijn opgestart (de MD5-checksum komt overeen met de uitvoer van de CUCM):
Deze wijziging is mogelijk omdat u eerder de eToken-certificaten hebt geëxporteerd en geüpload naar de CUCM Certificate Trust Store, en de IP-telefoons dit onbekende certificaat kunnen verifiëren dat is gebruikt om het CTL-bestand te ondertekenen met de Trust Verification Service (TVS) die op de CUCM wordt uitgevoerd.
Dit logfragment illustreert hoe de IP-telefoon contact opneemt met de CUCM-TV's met een verzoek om het onbekende eToken-certificaat te verifiëren, dat als Phone-SAST-trust wordt geüpload en dat wordt vertrouwd:
//In the Phone Console Logs we can see a request sent to TVS server to verify unknown
certificate
8074: NOT 23:00:22.335499 SECD: setupSocketToTvsProxy: Connected to TVS proxy server
8075: NOT 23:00:22.336918 SECD: tvsReqFlushTvsCertCache: Sent Request to TVS proxy,
len: 3708
//In the TVS logs on CUCM we can see the request coming from an IP Phone which is being
successfully verified
23:00:22.052 | debug tvsHandleQueryCertReq
23:00:22.052 | debug tvsHandleQueryCertReq : Subject Name is: cn="SAST-ADN008580ef
";ou=IPCBU;o="Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq : Issuer Name is: cn=Cisco Manufacturing
CA;o=Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq :subjectName and issuerName matches for
eToken certificate
23:00:22.052 | debug tvsHandleQueryCertReq : SAST Issuer Name is: cn=Cisco
Manufacturing CA;o=Cisco Systems
23:00:22.052 | debug tvsHandleQueryCertReq : This is SAST eToken cert
23:00:22.052 | debug tvsHandleQueryCertReq : Serial Number is: 83E9080000005545AF31
23:00:22.052 | debug CertificateDBCache::getCertificateInformation - Looking up the
certificate cache using Unique MAP ID : 83E9080000005545AF31cn=Cisco Manufacturing
CA;o=Cisco Systems
23:00:22.052 | debug ERROR:CertificateDBCache::getCertificateInformation - Cannot find
the certificate in the cache
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - Looking up the
certificate cache using Unique MAP ID : 83E9080000005545AF31cn=Cisco Manufacturing
CA;o=Cisco Systems, len : 61
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - Found entry
{rolecount : 1}
23:00:22.052 | debug CertificateCTLCache::getCertificateInformation - {role : 0}
23:00:22.052 | debug convertX509ToDER -x509cert : 0xa3ea6f8
23:00:22.053 | debug tvsHandleQueryCertReq: Timer started from tvsHandleNewPhConnection
//In the Phone Console Logs we can see reply from TVS server to trust the new certificate
(eToken Certificate which was used to sign the CTL file)
8089: NOT 23:00:22.601218 SECD: clpTvsInit: Client message received on TVS proxy socket
8090: NOT 23:00:22.602785 SECD: processTvsClntReq: Success reading the client TVS
request, len : 3708
8091: NOT 23:00:22.603901 SECD: processTvsClntReq: TVS Certificate cache flush
request received
8092: NOT 23:00:22.605720 SECD: tvsFlushCertCache: Completed TVS Certificate cache
flush request
Certificaatregeneratie voor Tokenless CTL-oplossing
In dit hoofdstuk wordt beschreven hoe u een CUCM-clusterbeveiligingscertificaat kunt regenereren wanneer de Tokenless CTL-oplossing wordt gebruikt.
In het proces van CUCM-onderhoud verandert soms het CallManager-certificaat van de CUCM Publisher-knooppunt.
De scenario's waarin dit kan gebeuren omvatten de verandering van hostname, de verandering van domein, of eenvoudig een certificaatregeneratie (wegens dicht certificaat verloopdatum).
Nadat het CTL-bestand is bijgewerkt, wordt het ondertekend met een ander certificaat dan het certificaat in het CTL-bestand dat op de IP-telefoons is geïnstalleerd.
Normaal gesproken wordt dit nieuwe CTL-bestand niet geaccepteerd, maar nadat de IP-telefoon het onbekende certificaat vindt dat wordt gebruikt om het CTL-bestand te ondertekenen, neemt hij contact op met de TVS-service op de CUCM.
Na een succesvolle verificatie met de TVS-server werkt de IP-telefoon zijn CTL-bestand bij met de nieuwe versie. Deze gebeurtenissen treden in zulk een scenario op:
- Het CTL-bestand bestaat op de CUCM en op de IP-telefoon. Het CCM+TFT (server)-certificaat voor de CUCM Publisher-knooppunt wordt gebruikt om het CTL-bestand te ondertekenen:
admin:show ctl
The checksum value of the CTL file:
7b7c10c4a7fa6de651d9b694b74db25f(MD5)
819841c6e767a59ecf2f87649064d8e073b0fe87(SHA1)
Length of CTL file: 4947
The CTL File was last modified on Mon Mar 09 16:59:43 CET 2015
[...]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1156
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 70:CA:F6:4E:09:07:51:B9:DF:22:F4:9F:75:4F:C5:BB
7 PUBLICKEY 140
8 SIGNATURE 128
9 CERTIFICATE 694 E9 D4 33 64 5B C8 8C ED 51 4D 8F E5 EA 5B 6D
21 A5 A3 8C 9C (SHA1 Hash HEX)
10 IPADDRESS 4
[...]
The CTL file was verified successfully.
- Het bestand CallManager.pem (CCM+TFTP-certificaat) wordt opnieuw gegenereerd en u kunt zien dat het serienummer van het certificaat verandert:
- De opdracht ctl update CTLFile is in de CLI ingevoerd om het CTL-bestand te kunnen bijwerken:
admin:utils ctl update CTLFile
This operation updates the CTLFile. Do you want to continue? (y/n):y
Updating CTL file
CTL file Updated
Please Restart the TFTP and Cisco CallManager services on all nodes in
the cluster that run these services
admin: - De TVS-dienst werkt zijn certificaatcache bij met de nieuwe CTL-bestandsdetails:
17:10:35.825 | debug CertificateCache::localCTLCacheMonitor - CTLFile.tlv has been
modified. Recaching CTL Certificate Cache
17:10:35.826 | debug updateLocalCTLCache : Refreshing the local CTL certificate cache
17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
6B1D357B6841740B078FEE4A1813D5D6CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL, length : 93
17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
6B1D357B6841740B078FEE4A1813D5D6CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL, length : 93
17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
744B5199770516E799E91E81D3C8109BCN=CAPF-e41e7d87;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL, length : 91
17:10:35.827 | debug tvs_sql_get_all_CTL_certificate - Unique Key used for Caching ::
6BEBFDCDCD8CA277CB2FD1D183A60E72CN=cucm-1051-a-sub1;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL, length : 94 - Wanneer u de inhoud van het CTL-bestand bekijkt, kunt u zien dat het bestand is ondertekend met het nieuwe CallManager-servercertificaat voor de Publisher-knooppunt:
admin:show ctl
The checksum value of the CTL file:
ebc649598280a4477bb3e453345c8c9d(MD5)
ef5c006b6182cad66197fac6e6530f15d009319d(SHA1)
Length of CTL file: 6113
The CTL File was last modified on Mon Mar 09 17:07:52 CET 2015
[..]
CTL Record #:1
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1675
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 System Administrator Security Token
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 6B:1D:35:7B:68:41:74:0B:07:8F:EE:4A:18:13:D5:D6
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 955 5C AF 7D 23 FE 82 DB 87 2B 6F 4D B7 F0 9D D5
86 EE E0 8B FC (SHA1 Hash HEX)
10 IPADDRESS 4
This etoken was used to sign the CTL file.
CTL Record #:2
----
BYTEPOS TAG LENGTH VALUE
------- --- ------ -----
1 RECORDLENGTH 2 1675
2 DNSNAME 16 cucm-1051-a-pub
3 SUBJECTNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
4 FUNCTION 2 CCM+TFTP
5 ISSUERNAME 62 CN=cucm-1051-a-pub;OU=TAC;O=Cisco;L=Krakow;
ST=Malopolska;C=PL
6 SERIALNUMBER 16 6B:1D:35:7B:68:41:74:0B:07:8F:EE:4A:18:13:D5:D6
7 PUBLICKEY 270
8 SIGNATURE 256
9 CERTIFICATE 955 5C AF 7D 23 FE 82 DB 87 2B 6F 4D B7 F0 9D D5
86 EE E0 8B FC (SHA1 Hash HEX)
10 IPADDRESS 4
[...]
The CTL file was verified successfully. - Vanaf de pagina Unified Servicability worden de services van TFTP en Cisco CallManager opnieuw opgestart op alle knooppunten in het cluster waarop deze services worden uitgevoerd.
- De IP-telefoons worden opnieuw opgestart en ze nemen contact op met de TVS-server om het onbekende certificaat te controleren dat nu wordt gebruikt om de nieuwe versie van het CTL-bestand te ondertekenen:
// In the Phone Console Logs we can see a request sent to TVS server to verify
unknown certificate
2782: NOT 17:21:51.794615 SECD: setupSocketToTvsProxy: Connected to TVS proxy server
2783: NOT 17:21:51.796021 SECD: tvsReqFlushTvsCertCache: Sent Request to TVS
proxy, len: 3708
// In the TVS logs on CUCM we can see the request coming from an IP Phone which is
being successfully verified
17:21:51.831 | debug tvsHandleQueryCertReq
17:21:51.832 | debug tvsHandleQueryCertReq : Subject Name is: CN=cucm-1051-a-pub;
OU=TAC;O=Cisco;L=Krakow;ST=Malopolska
17:21:51.832 | debug tvsHandleQueryCertReq : Issuer Name is: CN=cucm-1051-a-pub;
OU=TAC;O=Cisco;L=Krakow;ST=Malopolska;
17:21:51.832 | debug tvsHandleQueryCertReq : Serial Number is:
6B1D357B6841740B078FEE4A1813D5D6
17:21:51.832 | debug CertificateDBCache::getCertificateInformation - Looking up the
certificate cache using Unique MAPco;L=Krakow;ST=Malopolska;C=PL
17:21:51.832 | debug CertificateDBCache::getCertificateInformation - Found entry
{rolecount : 2}
17:21:51.832 | debug CertificateDBCache::getCertificateInformation - {role : 0}
17:21:51.832 | debug CertificateDBCache::getCertificateInformation - {role : 2}
17:21:51.832 | debug convertX509ToDER -x509cert : 0xf6099df8
17:21:51.832 | debug tvsHandleQueryCertReq: Timer started from
tvsHandleNewPhConnection
// In the Phone Console Logs we can see reply from TVS server to trust the new
certificate (new CCM Server Certificate which was used to sign the CTL file)
2797: NOT 17:21:52.057442 SECD: clpTvsInit: Client message received on TVS
proxy socket
2798: NOT 17:21:52.058874 SECD: processTvsClntReq: Success reading the client TVS
request, len : 3708
2799: NOT 17:21:52.059987 SECD: processTvsClntReq: TVS Certificate cache flush
request received
2800: NOT 17:21:52.062873 SECD: tvsFlushCertCache: Completed TVS Certificate
cache flush request - Ten slotte kunt u op de IP-telefoons controleren of het CTL-bestand met de nieuwe versie is bijgewerkt en of de MD5-checksum van het nieuwe CTL-bestand overeenkomt met die van de CUCM:
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
11-Sep-2024 |
Hercertificering |
1.0 |
08-Apr-2015 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)