Exemplo de configuração de SSLVPN com telefones IP

Opções de download

  • PDF     (179.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (87.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (74.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de dezembro de 2013
ID do documento:115945

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar telefones IP sobre uma VPN SSL (Secure Sockets Layer VPN), também conhecida como WebVPN. Dois Cisco Unified Communications Managers (CallManagers) e três tipos de certificados são usados com essa solução. Os CallManagers são:

  • Cisco Unified Communications Manager (CUCM)
  • Cisco Unified Communications Manager Express (Cisco Unified CME)

Os tipos de certificado são:

  • Certificados autoassinados
  • Certificados de terceiros, como Entrust, Thawte e GoDaddy
  • Autoridade de certificado (CA) do Cisco IOS®/Adaptive Security Appliance (ASA)

O conceito principal a ser compreendido é que, depois que a configuração no gateway de VPN SSL e no CallManager for concluída, você deverá ingressar nos telefones IP localmente. Isso permite que os telefones ingressem no CUCM e usem as informações e os certificados de VPN corretos. Se os telefones não estiverem unidos localmente, eles não poderão encontrar o gateway de VPN SSL e não terão os certificados corretos para concluir o handshake de VPN SSL.

As configurações mais comuns são o CUCM/Unified CME com certificados autoassinados ASA e certificados autoassinados do Cisco IOS. Consequentemente, eles são os mais fáceis de configurar.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco Unified Communications Manager (CUCM) ou Cisco Unified Communications Manager Express (Cisco Unified CME)
  • VPN SSL (WebVPN)
  • Cisco Adaptive Security Appliance (ASA)
  • Tipos de certificado, como autoassinado, terceiros e autoridades de certificado

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Licença ASA Premium.
  • Licença de telefone do AnyConnect VPN.
    • Para o ASA versão 8.0.x, a licença é o AnyConnect para o telefone Linksys.
    • Para o ASA versão 8.2.x ou posterior, a licença é o AnyConnect para o Cisco VPN Phone.
  • Gateway de VPN SSL: ASA 8.0 ou posterior (com uma licença do AnyConnect para Cisco VPN Phone) ou Cisco IOS Software Release 12.4T ou posterior.
    • O Cisco IOS Software Release 12.4T ou posterior não é formalmente suportado conforme documentado no Guia de Configuração de VPN SSL.
    • No Cisco IOS Software Release 15.0(1)M, o gateway de VPN SSL é um recurso de licenciamento contado por usuários nas plataformas Cisco 880, Cisco 890, Cisco 1900, Cisco 2900 e Cisco 3900. É necessária uma licença válida para uma sessão de VPN SSL bem-sucedida.
  • CallManager: CUCM 8.0.1 ou posterior, ou Unified CME 8.5 ou posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Notas:

Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Configuração básica de VPN SSL do ASA

A configuração básica da VPN SSL do ASA é descrita nestes documentos:

Quando essa configuração estiver concluída, um PC de teste remoto deve ser capaz de se conectar ao gateway de VPN SSL, conectar via AnyConnect e fazer ping no CUCM. Verifique se o ASA tem uma licença de telefone IP do AnyConnect para Cisco. (Use o comando show ver.) A porta TCP e UDP 443 devem estar abertas entre o gateway e o cliente.

Note: A VPN SSL balanceada de carga não é suportada para telefones VPN.

CUCM: VPN SSL ASA com configuração de certificados autoassinados

Consulte IP Phone SSL VPN para ASA usando o AnyConnect para obter informações mais detalhadas.

O ASA deve ter uma licença para o AnyConnect para o telefone Cisco VPN. Depois de configurar a VPN SSL, você configurará o CUCM para a VPN.

  1. Use este comando para exportar o certificado autoassinado do ASA:

    ciscoasa(config)# crypto ca export trustpoint name identity-certificate
    Esse comando exibe um certificado de identidade codificado por pem para o terminal.
  2. Copie e cole o certificado em um editor de texto e salve-o como um arquivo .pem. Certifique-se de incluir as linhas CERTIFICADO BEGIN e CERTIFICADO FINAL, ou o certificado não será importado corretamente. Não modifique o formato do certificado porque isso causará problemas quando o telefone tentar se autenticar no ASA.
  3. Navegue até Cisco Unified Operating System Administration > Security > Certificate Management > Upload Certificate/Certificate Chain para carregar o arquivo de certificado para a seção CERTIFICATE MANAGEMENT do CUCM.
  4. Baixe os certificados CallManager.pem, CAPF.pem e Cisco_Manufacturing_CA.pem da mesma área usada para carregar os certificados autoassinados do ASA (consulte a Etapa 1) e salve-os em sua área de trabalho.
    1. Por exemplo, para importar o CallManager.pem para o ASA, use estes comandos:

      ciscoasa(config)# crypto ca trustpoint certificate-name
      ciscoasa(config-ca-trustpoint)# enrollment terminal
      ciscoasa(config)# crypto ca authenticate certificate-name
    2. Quando for solicitado a copiar e colar o certificado correspondente para o ponto confiável, abra o arquivo salvo no CUCM e, em seguida, copie e cole o certificado codificado em Base64. Inclua as linhas CERTIFICADO BEGIN e CERTIFICADO FINAL (com hífens).
    3. Digite end e pressione Return.
    4. Quando solicitado a aceitar o certificado, digite yes e pressione Enter.
    5. Repita as etapas de 1 a 4 para os outros dois certificados (CAPF.pem, Cisco_Manufacturing_CA.pem) do CUCM.
  5. Configure o CUCM para as configurações de VPN corretas, conforme descrito em CUCM IPphone VPN config.pdf.

Note: O gateway VPN configurado no CUCM deve corresponder ao URL configurado no gateway VPN. Se o gateway e a URL não coincidirem, o telefone não poderá resolver o endereço e você não verá nenhuma depuração no gateway VPN.

  • No CUCM: O URL do gateway VPN é https://192.168.1.1/VPNPhone
  • No ASA, use estes comandos:

    ciscoasa# configure terminal
    ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
    ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone 
       enable
    ciscoasa(config-tunnel-webvpn)# exit
  • Você pode usar esses comandos no Adaptive Security Device Manager (ASDM) ou no perfil de conexão.

CUCM: Configuração de ASA SSL VPN com certificados de terceiros

Essa configuração é muito semelhante à descrita no CUCM: Seção Configuração do ASA SSLVPN com certificados autoassinados, exceto que você está usando certificados de terceiros. Configure a VPN SSL no ASA com certificados de terceiros conforme descrito no Exemplo de Configuração do ASA 8.x Manually Install 3rd Vendor Certificates para uso com WebVPN Configuration Example.

Note: Você deve copiar toda a cadeia de certificados do ASA para o CUCM e incluir todos os certificados intermediários e raiz. Se o CUCM não incluir a cadeia completa, os telefones não terão os certificados necessários para autenticar e falharão no handshake VPN SSL.

Configuração básica de VPN SSL do IOS

Note: Os telefones IP são designados como não suportados na VPN SSL do IOS; as configurações estão apenas no melhor esforço.

A configuração básica da VPN SSL do Cisco IOS é descrita nestes documentos:

Quando essa configuração estiver concluída, um PC de teste remoto deve ser capaz de se conectar ao gateway de VPN SSL, conectar via AnyConnect e fazer ping no CUCM. No Cisco IOS 15.0 e posterior, você deve ter uma licença de VPN SSL válida para concluir esta tarefa. A porta TCP e UDP 443 devem estar abertas entre o gateway e o cliente.

CUCM: VPN SSL IOS com configuração de certificados autoassinados

Essa configuração é semelhante à descrita no CUCM: ASA SSLVPN com configuração de certificados de terceiros e CUCM: Seções ASA SSLVPN com configuração de certificados autoassinados. As diferenças são:

  1. Use este comando para exportar o certificado autoassinado do roteador:

    R1(config)# crypto pki export trustpoint-name pem terminal
  2. Use estes comandos para importar os certificados CUCM:

    R1(config)# crypto pki trustpoint certificate-name
    R1(config-ca-trustpoint)# enrollment terminal
    R1(config)# crypto ca authenticate certificate-name

A configuração de contexto do WebVPN deve mostrar este texto:

gateway webvpn_gateway domain VPNPhone

Configure o CUCM conforme descrito em CUCM: Seção Configuração do ASA SSLVPN com certificados autoassinados.

CUCM: Configuração de VPN SSL do IOS com certificados de terceiros

Essa configuração é semelhante à descrita no CUCM: Seção Configuração do ASA SSLVPN com certificados autoassinados. Configure o WebVPN com um certificado de terceiros.

Note: Você deve copiar toda a cadeia de certificados WebVPN para o CUCM e incluir todos os certificados intermediários e raiz. Se o CUCM não incluir a cadeia completa, os telefones não terão os certificados necessários para autenticar e falharão no handshake VPN SSL.

CME unificado: VPN SSL ASA/Roteador com configuração de certificados autoassinados/certificados de terceiros

A configuração do Unified CME é semelhante às configurações do CUCM; por exemplo, as configurações do ponto de extremidade do WebVPN são as mesmas. A única diferença significativa são as configurações do agente de chamada do Unified CME. Configure o grupo VPN e a política de VPN para o Unified CME conforme descrito em Configurando o SSL VPN Client para telefones IP SCCP.

Note: O Unified CME suporta somente o Skinny Call Control Protocol (SCCP) e não suporta o Session Initiation Protocol (SIP) para telefones VPN.

Note: Não há necessidade de exportar os certificados do Unified CME para o ASA ou roteador. Você só precisa exportar os certificados do gateway ASA ou do roteador WebVPN para o Unified CME.

Para exportar os certificados do gateway WebVPN, consulte a seção ASA/roteador. Se estiver usando um certificado de terceiros, você deve incluir a cadeia de certificados completa. Para importar os certificados para o Unified CME, use o mesmo método usado para importar certificados em um roteador:

CME(config)# crypto pki trustpoint certificate-name
CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name

Telefones IP UC 520 com configuração de VPN SSL

O telefone IP do Cisco Unified Communications série 500 modelo UC 520 é bem diferente das configurações do CUCM e do CME.

  • Como o telefone IP UC 520 é o CallManager e o gateway WebVPN, não há necessidade de configurar certificados entre os dois.
  • Configure o WebVPN em um roteador como faria normalmente com certificados autoassinados ou certificados de terceiros.
  • O telefone IP UC 520 tem um cliente WebVPN incorporado e você pode configurá-lo da mesma forma que faria com um PC normal para se conectar ao WebVPN. Insira o gateway e, em seguida, a combinação nome de usuário/senha.
  • O telefone IP UC 520 é compatível com os telefones IP SPA 525G do Cisco Small Business.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
19-Dec-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nicholas Carrieri, William Ryan Bennett, and Walter Lopez
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos