Inleiding
Dit document beschrijft een stapsgewijze procedure voor het maken van certificaatsjablonen op Windows Server-gebaseerde certificeringsinstanties (CA).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- CUCM-versie 11.5(1).
- Basiskennis van Windows Server-beheer
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- CUCM-versie 11.5(1).
- Microsoft Windows Server 2012 R2 met CA-services geïnstalleerd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Deze certificaatsjablonen zijn compatibel met X.509-uitbreidingsvereisten voor elk type Cisco Unified Communications Manager (CUCM) certificaat.
Er zijn vijf soorten certificaten die door een externe CA kunnen worden ondertekend:
Certificaat |
Gebruik |
Betrokken services |
CallManager |
Gepresenteerd bij beveiligde apparaatregistratie en kan CTL-/ITL-bestanden (Certificate Trust List) ondertekenen, die worden gebruikt voor beveiligde interacties met andere servers zoals Secure Session Initiation Protocol (SIP)-trunks. |
· Cisco Call Manager · Cisco CTI Manager ·Cisco TFTP |
kater |
Aangeboden voor Secure Hypertext Transfer Protocol (HTTPS)-interacties. |
·Cisco Tomcat · Single Sign-On (SSO) · Uitbreidingsmobiliteit · Corporate Directory |
ipsec |
Wordt gebruikt voor het genereren van back-upbestanden, evenals interactie met IPsec (IPsec) en Media Gateway Control Protocol (MGCP) of H323-gateways. |
· Primair voor Cisco DRF · Lokale Cisco DRF |
CAPF |
Gebruikt om Locally Significant Certificates (LSC) voor telefoons te genereren. |
· Functie van Cisco-certificeringsinstantie |
TV's |
Gebruikt om een verbinding te maken met de Trust Verification Service (TVS) wanneer de telefoons niet in staat zijn om een onbekend certificaat te verifiëren. |
· Cisco Trust Verification Service |
Opmerking: IPSEC-certificaat is niet gerelateerd aan Cisco DRF Primary en Cisco DRF Local sinds 14, in nieuwere versies wordt in plaats daarvan Tomcat-certificaat gebruikt. Er is geen plan om deze wijziging toe te voegen aan 12.5 of eerdere versies.
Elk van deze certificaten heeft een aantal X.509 uitbreidingsvereisten die moeten worden ingesteld, anders kunt u verkeerde gedragingen op een van de bovengenoemde diensten ervaren:
Certificaat |
X.509-toetsgebruik |
Uitgebreid sleutelgebruik van X.509 |
CallManager |
· Digitale handtekening · Key Encipherment · Gegevensversleuteling |
· Webserververificatie · Web clientverificatie |
kater |
· Digitale handtekening · Key Encipherment · Gegevensversleuteling |
· Webserververificatie · Web clientverificatie |
ipsec |
· Digitale handtekening · Key Encipherment · Gegevensversleuteling |
· Webserververificatie · Web clientverificatie · IPsec-eindsysteem |
CAPF |
· Digitale handtekening · Certificaatteken · Key Encipherment |
· Webserververificatie · Web clientverificatie |
TV's |
· Digitale handtekening · Key Encipherment · Gegevensversleuteling |
· Webserververificatie · Web clientverificatie |
Raadpleeg de Security Guide voor Cisco Unified Communications Manager voor meer informatie
Configureren
Stap 1. Navigeer op de Windows Server naar Server Manager > Gereedschappen > Certificeringsinstantie, zoals in de afbeelding.
![Configure Step 1](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-00.png)
Stap 2. Selecteer uw CA, navigeer vervolgens naar certificaatsjablonen, klik met de rechtermuisknop op de lijst en selecteer Beheer, zoals in de afbeelding.
![Select CA and Certificate Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-01.png)
Callmanager / Tomcat / TVS Template
De volgende afbeeldingen tonen alleen de creatie van de CallManager-sjabloon; maar dezelfde stappen kunnen worden gevolgd om de certificaat-sjablonen voor de Tomcat en de TVS-services te maken. Het enige verschil is dat de respectievelijke servicenaam voor elke nieuwe sjabloon in stap 2 moet worden gebruikt.
Stap 1. Vind de Web Server sjabloon, klik met de rechtermuisknop op het en selecteer Duplicate Template, zoals in de afbeelding.
![Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-02.png)
Stap 2. Onder Algemeen, kunt u de naam van het certificaatmalplaatje, de vertoningsnaam, geldigheid, en sommige andere variabelen veranderen.
![Update Certificate Template Information](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-03.png)
Stap 3. Navigeer naar Uitbreidingen > Hoofdgebruik > Bewerken, zoals in de afbeelding wordt getoond.
![Template Properties and Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-04.png)
Stap 4. Selecteer deze opties en selecteer OK, zoals in de afbeelding.
- Digitale handtekening
- Toetsuitwisseling alleen toestaan met sleutelcodering (sleutelcodering)
- Versleuteling van gebruikersgegevens toestaan
![Edit Key Usage Extension](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-05.png)
Stap 5. Navigeer naar Uitbreidingen > Toepassingsbeleid > Bewerken > Toevoegen, zoals in de afbeelding.
![Application Policies](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-06.png)
![Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-07.png)
Stap 6. Zoek naar clientverificatie, selecteer deze optie en selecteer OK in zowel dit als het vorige venster, zoals wordt aangegeven in de afbeelding.
![Select Apply and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-08.png)
Stap 7. Terug op de sjabloon selecteert u Toepassen en vervolgens OK.
![Close Certificate Template Console](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-09.png)
Stap 8. Sluit het venster Certificaatsjabloon console en navigeer in het allereerste venster naar Nieuw > Certificaatsjabloon voor uitgifte, zoals in de afbeelding.
![Select New CallManager CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-10.png)
Stap 9. Selecteer de nieuwe CallManager CUCM-sjabloon en selecteer OK, zoals in de afbeelding.
![Find Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-11.png)
Stap 10. Herhaal alle vorige stappen om certificaatsjablonen te maken voor de Tomcat- en TVS-services zoals nodig.
IPsec-sjabloon
Stap 1. Vind de Web Server sjabloon, klik met de rechtermuisknop op het en selecteer Duplicate Template, zoals in de afbeelding.
![Web Server Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-12.png)
Stap 2. Onder Algemeen, kunt u de naam van het certificaatmalplaatje, de vertoningsnaam, de geldigheid, en sommige andere variabelen veranderen.
![Update Certification Information for IPsec Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-13.png)
Stap 3. Navigeer naar Uitbreidingen > Hoofdgebruik > Bewerken, zoals in de afbeelding wordt getoond.
![Edit Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-14.png)
Stap 4. Selecteer deze opties en selecteer OK, zoals in de afbeelding.
- Digitale handtekening
- Toetsuitwisseling alleen toestaan met sleutelcodering (sleutelcodering)
- Versleuteling van gebruikersgegevens toestaan
![Select Options and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-15.png)
Stap 5. Navigeer naar Uitbreidingen > Toepassingsbeleid > Bewerken > Toevoegen, zoals in de afbeelding.
![Edit Application Policies](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-16.png)
![Search for Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-17.png)
Stap 6. Zoek naar clientverificatie, selecteer deze en vervolgens OK, zoals in de afbeelding.
![Select Add and Search for IP Security and System](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-18.png)
Stap 7. Selecteer Add again, zoek naar IP security eindsysteem, selecteer het en selecteer vervolgens OK op dit en op het vorige venster.
![Select Apply and Ok on Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-19.png)
Stap 8. Terug op de sjabloon selecteert u Toepassen en vervolgens OK, zoals in de afbeelding.
![Close the Certificate Templates Console](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-20.png)
Stap 9. Sluit het venster Certificaatsjablonen console en ga terug in het allereerste venster, navigeer naar Nieuw > Certificaatsjabloon om uit te geven, zoals in de afbeelding.
![Select New IPsec CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-21.png)
Stap 10. Selecteer de nieuwe IPSEC CUCM-sjabloon en selecteer OK, zoals in de afbeelding.
![Find Root CA Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-22.png)
CAPF-sjabloon
Stap 1. Zoek de Root CA-sjabloon en klik er met de rechtermuisknop op. Selecteer vervolgens Sjabloon dupliceren, zoals in de afbeelding.
![Under General, Update Template Information](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-23.png)
Stap 2. Onder Algemeen, kunt u de naam van het certificaatmalplaatje, de vertoningsnaam, geldigheid, en een andere variabelen veranderen.
![Navigate to Extensions and Key Usage](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-24.png)
Stap 3. Navigeer naar Uitbreidingen > Hoofdgebruik > Bewerken, zoals in de afbeelding wordt getoond.
![Select Options and then Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-25.png)
Stap 4. Selecteer deze opties en selecteer OK, zoals in de afbeelding.
- Digitale handtekening
- Certificaatondertekening
- CRL-ondertekening
![CS Image](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-26.png)
Stap 5. Navigeer naar Uitbreidingen > Toepassingsbeleid > Bewerken > Toevoegen, zoals in de afbeelding.
![Application Policies, Edit and Add](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-27.png)
![Add Server Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-28.png)
Stap 6. Zoek naar clientverificatie, selecteer deze en selecteer vervolgens OK, zoals in de afbeelding.
![Search for Client Authentication](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-29.png)
Stap 7. Selecteer Add again, zoek naar IP security eindsysteem, selecteer het en selecteer vervolgens OK op dit en op het vorige venster, zoals in de afbeelding.
![Search for IP Security End System](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-30.png)
Stap 8. Terug op de sjabloon selecteert u Toepassen en vervolgens OK, zoals in de afbeelding.
![Back on Template, Select Apply and Ok](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-31.png)
Stap 9. Sluit het venster Certificaatsjablonen console en ga terug in het allereerste venster, navigeer naar Nieuw > Certificaatsjabloon om uit te geven, zoals in de afbeelding.
![Close Certificate Templates Console Window](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-32.png)
Stap 10. Selecteer de nieuwe CAPF CUCM-sjabloon en selecteer OK, zoals in de afbeelding.
![Select CAPF CUCM Template](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-33.png)
Een aanvraag voor certificaatondertekening genereren
Gebruik dit voorbeeld om een CallManager-certificaat te genereren met behulp van de nieuwe sjablonen. Dezelfde procedure kan worden gebruikt voor elk certificaat type, je hoeft alleen het certificaat en de sjabloon typen dienovereenkomstig te selecteren:
Stap 1. Op CUCM, navigeer naar OS Administratie > Beveiliging > Certificaatbeheer > Generate CSR.
Stap 2. Selecteer deze opties en selecteer Generate, zoals in de afbeelding.
- Certificaatdoel: CallManager
- Distributie: <Dit kan alleen voor één server of meerdere SAN’s zijn>
![Generate a Certificate Signing Request](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-34.png)
Stap 3. Er wordt een bevestigingsbericht gegenereerd, zoals in de afbeelding wordt weergegeven.
![Confirmation Message Generated](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-35.png)
Stap 4. Zoek in de certificaatlijst het item met alleen type CSR en selecteer het, zoals in de afbeelding.
![Entry Type CSR Only](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-36.png)
Stap 5. Selecteer in het pop-upvenster Download CSR en sla het bestand op uw computer op.
![Pop-Up Window, Select Download CSR](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-37.png)
Stap 6. Navigeer in uw browser naar deze URL en voer uw domeincontroller-beheerder aanmeldingsgegevens in: https://<yourWindowsServerIP>/certsrv/.
Stap 7. Navigeer naar Certificaat aanvragen > Geavanceerd certificaatverzoek, zoals in de afbeelding.
![Navigate to this URL](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-38.png)
![Request a Certificate, Advanced Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-39.png)
Stap 8. Open het CSR-bestand en kopieer alle inhoud:
![Open CSR File and Copy All Contents](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-40.png)
Stap 9. Plakt de CSR in het veld Base-64-encoded certificaataanvraag. Selecteer onder certificaatsjabloon de juiste sjabloon en selecteer Indienen, zoals in de afbeelding.
![Paste the CSR in the Base-64-Encoded-Certificate-Request Field](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-41.png)
Stap 10. Selecteer tot slot Base 64 encoded en Download certificaatketen. Het gegenereerde bestand kan nu naar de CUCM geüpload worden.
![Select Base 64 Encoded and Download Certificate](/c/dam/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/215534-create-windows-ca-certificate-templates-42.png)
Verifiëren
De verificatieprocedure maakt eigenlijk deel uit van het configuratieproces.
Problemen oplossen
Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuratie.