Exemplo de configuração de geração e importação de LSCs assinados por CA de terceiros do CUCM

Opções de download

  • PDF     (250.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (91.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (79.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:9 de março de 2015
ID do documento:118779

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Os LSCs (Locally Significant Certificates) da CAPF (Certificate Authority Proxy Function) são assinados localmente. No entanto, talvez você precise de telefones para usar LSCs assinados por uma autoridade de certificação (CA) de terceiros. Este documento descreve um procedimento que ajuda você a conseguir isso.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento do Cisco Unified Communication Manager (CUCM).

Componentes Utilizados

As informações neste documento são baseadas no CUCM Versão 10.5(2); no entanto, este recurso funciona a partir da Versão 10.0 e posterior.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Estas são as etapas envolvidas neste procedimento, cada uma detalhada em sua própria seção:

  1. Carregar o certificado raiz da CA
  2. Definir CA Offline para Emissão de Certificado para Ponto de Extremidade
  3. Gerar uma solicitação de assinatura de certificado (CSR) para os telefones
  4. Obtenha o CSR gerado do Cisco Unified Communications Manager (CUCM) para o servidor FTP
  5. Obter o Certificado Telefônico da CA
  6. Converter .cer em formato .der
  7. Compactar os Certificados (.der) para o Formato .tgz
  8. Transfira o arquivo .tgz para o servidor FTP Secure Shell (SFTP)
  9. Importe o arquivo .tgz para o servidor CUCM
  10. Assine o CSR com a autoridade de certificação do Microsoft Windows 2003
  11. Obter o Certificado Raiz da CA

Carregar o certificado raiz da CA

  1. Faça login na GUI da Web do Cisco Unified Operating System (OS) Administration.

  2. Navegue até Gerenciamento de Certificado de Segurança.

  3. Clique em Upload Certificate/Certificate chain.

  4. Selecione CallManager-trust em Certificate Purpose.

  5. Navegue até o certificado raiz da CA e clique em Upload.

Definir CA Offline para Emissão de Certificado para Ponto de Extremidade

  1. Faça login na GUI da Web de administração do CUCM.

  2. Navegue até System > Service Parameter.

  3. Escolha o servidor CUCM e selecione Cisco Certificate Authority Proxy Function para o serviço.

  4. Selecione CA Offline para Emissão de Certificado para Ponto de Extremidade.

Gerar uma solicitação de assinatura de certificado (CSR) para os telefones

  1. Faça login na GUI da Web de administração do CUCM.

  2. Navegue até Device Phones.

  3. Escolha o telefone cujo LSC deve ser assinado pela CA externa.

  4. Altere o perfil de segurança do dispositivo para um seguro (se não estiver presente, adicione um sistema ao perfil Security Phone Security).

  5. Na página de configuração do telefone, na seção CAPF, escolha Install/Upgrade para a Operação de Certificação. Conclua esta etapa para todos os telefones cujo LSC deve ser assinado pela CA externa. Você deve ver Operação pendente para o Status da operação de certificado.



    Phone Security profile (modelo 7962).



    Insira o comando utils capf csr count na sessão Secure Shell (SSH) para confirmar se um CSR é gerado. (Esta captura de tela mostra que um CSR foi gerado para três telefones.)



    Observação: o Status da operação de certificado na seção CAPF do telefone permanece no estado Operação pendente.

Obtenha o CSR gerado do CUCM para o servidor FTP (ou TFTP)

  1. SSH no servidor CUCM.

  2. Execute o comando utils capf csr dump. Esta captura de tela mostra o dump sendo transferido para o FTP.



  3. Abra o arquivo de despejo com o WinRAR e extraia o CSR para o computador local.

Obter o certificado do telefone

  1. Envie os CSRs do telefone para a CA.

  2. A CA fornece um certificado assinado.

    Observação: você pode usar um servidor Microsoft Windows 2003 como a autoridade de certificação. O procedimento para assinar o CSR com uma CA do Microsoft Windows 2003 será explicado posteriormente neste documento.

Converter .cer em formato .der

Se os certificados recebidos estiverem no formato .cer, renomeie-os como .der.

Compactar os Certificados (.der) para o Formato .tgz

Você pode usar a raiz do servidor CUCM (Linux) para compactar o formato do certificado. Você também pode fazer isso em um sistema Linux normal.

  1. Transfira todos os certificados assinados para o sistema Linux com o servidor SFTP.



  2. Insira este comando para compactar todos os certificados .der em um arquivo .tgz.

    tar -zcvf 
         
         
           .tgz    *.der


Transfira o arquivo .tgz para o servidor SFTP

Conclua as etapas mostradas na captura de tela para transferir o arquivo .tgz para o servidor SFTP.

Importe o arquivo .tgz para o servidor CUCM

  1. SSH no servidor CUCM.

  2. Execute o comando utils capf cert import.



    Depois que os certificados forem importados com êxito, você poderá ver a contagem de CSR se tornar zero.

Assine o CSR com a autoridade de certificação do Microsoft Windows 2003

Essas informações são opcionais para o Microsoft Windows 2003 - CA.

  1. Open Certification Authority (Autoridade de certificação aberta).



  2. Clique com o botão direito do mouse na CA e navegue até Todas as Tarefas > Enviar nova solicitação...



  3. Selecione o CSR e clique em Abrir. Faça isso para todos os CSRs.



    Todas as CSRs abertas são exibidas na pasta Solicitações pendentes.

  4. Clique com o botão direito do mouse em cada um e navegue para All Tasks > Issue para emitir certificados. Faça isso para todas as solicitações pendentes.



  5. Para baixar o certificado, escolha Issued Certificate.

  6. Clique com o botão direito do mouse no certificado e clique em Abrir.



  7. Você pode ver os detalhes do certificado. Para baixar o certificado, selecione a guia Detalhes e escolha Copiar para Arquivo...



  8. No Assistente de Exportação de Certificado, escolha X.509 binário codificado por DER (.CER).



  9. Nomeie o arquivo como apropriado. Este exemplo usa o formato <MAC>.cer.



  10. Obtenha os certificados para outros telefones na seção Emitido certificado com este procedimento.

Obter o Certificado Raiz da CA

  1. Abrir Autoridade de Certificação.

  2. Conclua as etapas mostradas nesta captura de tela para fazer o download da AC raiz.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  1. Vá para a página de configuração do telefone.

  2. Na seção CAPF, o Certificate Operation Status (Status da operação de certificado) deve ser exibido como Upgrade Success.

Observação: consulte Gerar e importar LSCs com assinatura CA de terceiros para obter mais informações.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
09-Mar-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Ramesh Balakrishnan
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco