Criar modelos de certificado de CA do Windows para CUCM

Opções de download

  • PDF     (2.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de fevereiro de 2024
ID do documento:215534

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve um procedimento passo a passo para criar modelos de certificado em Autoridades de Certificação (CA) baseadas no Windows Server.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • CUCM versão 11.5(1).
    • Conhecimento básico da administração do Windows Server

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • CUCM versão 11.5(1).
    • Microsoft Windows Server 2012 R2 com serviços de autoridade de certificação instalados.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Esses modelos de certificado são compatíveis com os requisitos de extensão X.509 para cada tipo de certificado do Cisco Unified Communications Manager (CUCM).

    Há cinco tipos de certificados que podem ser assinados por uma CA externa:

    Certificado

    Uso

    Serviços afetados

    CallManager

    Apresentado no registro de dispositivo seguro e pode assinar arquivos CTL (Certificate Trust List)/ITL (Internal Trust List), usados para interações seguras com outros servidores, como troncos SIP (Session Initiation Protocol) seguros.

    · Cisco Call Manager

    · Cisco CTI Manager

    ·Cisco TFTP

    tomcat

    Apresentado para interações do protocolo HTTPS.

    ·Cisco Tomcat

    · SSO (Single Sign-On, login único)

    · Mobilidade de ramal

    ·Corporate Directory

    ipsec

    Usado para geração de arquivos de backup, bem como para interação de segurança IP (IPsec) com gateways MGCP (Media Gateway Control Protocol) ou H323.

    · Cisco DRF Principal

    · Cisco DRF Local

    CAPF

    Usado para gerar LSC (Locally Significant Certificates) para telefones.

    · Função de proxy da Cisco Certificate Authority

    TVS

    Usado para criar uma conexão com o Serviço de Verificação de Confiança (TVS) quando os telefones não podem autenticar um certificado desconhecido.

    · Serviço de verificação de confiança da Cisco

    Observação: o certificado ipsec não está relacionado ao Cisco DRF Primary e ao Cisco DRF Local, já que 14, em versões mais recentes, o certificado Tomcat é usado. Não há planos de adicionar essa alteração às versões 12.5 ou anteriores.

    Cada um desses certificados tem alguns requisitos de extensão X.509 que precisam ser definidos, caso contrário, você pode encontrar um comportamento incorreto em qualquer um dos serviços mencionados acima:

    Certificado

    Uso de chave X.509

    Uso Estendido de Chave X.509

    CallManager

    · Assinatura digital

    · Codificação de chaves

    · Codificação de dados

    · Autenticação de servidor da Web

    · Autenticação de cliente Web

    tomcat

    · Assinatura digital

    · Codificação de chaves

    · Codificação de dados

    · Autenticação de servidor da Web

    · Autenticação de cliente Web

    ipsec

    · Assinatura digital

    · Codificação de chaves

    · Codificação de dados

    · Autenticação de servidor da Web

    · Autenticação de cliente Web

    · Sistema final IPsec

    CAPF

    · Assinatura digital

    · Assinatura de certificado

    · Codificação de chaves

    · Autenticação de servidor da Web

    · Autenticação de cliente Web

    TVS

    · Assinatura digital

    · Codificação de chaves

    · Codificação de dados

    · Autenticação de servidor da Web

    · Autenticação de cliente Web

    Para obter mais informações, consulte o Guia de segurança do Cisco Unified Communications Manager

    Configurar

    Etapa 1. No Windows Server, navegue para Server Manager > Tools > Certification Authority, conforme mostrado na imagem.

    Configure Step 1

    Etapa 2. Selecione sua CA, navegue até Modelos de certificado, clique com o botão direito do mouse na lista e selecione Gerenciar, como mostrado na imagem.

    Select CA and Certificate Template

    Modelo do Callmanager / Tomcat / TVS

    As imagens a seguir exibem apenas a criação do modelo do CallManager; mas as mesmas etapas podem ser seguidas para criar os modelos de certificado para os serviços Tomcat e TVS. A única diferença é garantir que o nome do serviço respectivo seja usado para cada novo modelo na etapa 2.

    Etapa 1. Localize o modelo Servidor Web, clique nele com o botão direito do mouse e selecione Modelo Duplicado, como mostrado na imagem.

    Web Server Template

    Etapa 2. Em Geral, você pode alterar o nome, o nome de exibição, a validade e algumas outras variáveis do modelo de certificado.

    Update Certificate Template Information

    Etapa 3. Navegue até Extensions > Key Usage > Edit, conforme mostrado na imagem.

    Template Properties and Key Usage

    Etapa 4. Selecione essas opções e selecione OK, como mostrado na imagem.

    • Assinatura digital
    • Permitir troca de chaves somente com criptografia de chave (codificação de chave)
    • Permitir criptografia de dados do usuário

    Edit Key Usage Extension

    Etapa 5. Navegue para Extensões > Políticas de aplicativo > Editar > Adicionar, como mostrado na imagem.

    Application PoliciesClient Authentication

    Etapa 6. Pesquise a autenticação do cliente, selecione-a e selecione OK nesta janela e na anterior, conforme mostrado na imagem.

    Select Apply and Ok

    Passo 7. De volta ao modelo, selecione Aplicar e, em seguida, OK.

    Close Certificate Template Console

    Etapa 8. Feche a janela Console do modelo de certificado e, na primeira janela, navegue para Novo > Modelo de certificado a ser emitido, como mostrado na imagem.

    Select New CallManager CUCM Template

    Etapa 9. Selecione o novo modelo CallManager CUCM e selecione OK, como mostrado na imagem.

    Find Web Server Template

    Etapa 10. Repita todas as etapas anteriores para criar modelos de certificado para os serviços Tomcat e TVS, conforme necessário.

    Modelo de IPsec

    Etapa 1. Localize o modelo Servidor Web, clique nele com o botão direito do mouse e selecione Modelo Duplicado, como mostrado na imagem.

    Web Server Template

    Etapa 2. Em Geral, você pode alterar o nome, o nome de exibição, a validade e algumas outras variáveis do modelo de certificado.

    Update Certification Information for IPsec Template

    Etapa 3. Navegue até Extensions > Key Usage > Edit, conforme mostrado na imagem.

    Edit Key Usage

    Etapa 4. Selecione essas opções e selecione OK, como mostrado na imagem.

    • Assinatura digital
    • Permitir troca de chaves somente com criptografia de chave (codificação de chave)
    • Permitir criptografia de dados do usuário

    Select Options and Ok

    Etapa 5. Navegue para Extensões > Políticas de aplicativo > Editar > Adicionar, como mostrado na imagem.

    Edit Application PoliciesSearch for Client Authentication

    Etapa 6. Procure a autenticação do cliente, selecione-a e, em seguida, OK, como mostrado na imagem.

    Select Add and Search for IP Security and System

    Passo 7. Selecione Add novamente, procure IP security end system, selecione-o e selecione OK nesta e na janela anterior também.

    Select Apply and Ok on Template

    Etapa 8. De volta ao modelo, selecione Apply e, em seguida, OK, como mostrado na imagem.

    Close the Certificate Templates Console

    Etapa 9. Feche a janela Console de modelos de certificado e, na primeira janela, navegue para Novo > Modelo de certificado a ser emitido, como mostrado na imagem.

    Select New IPsec CUCM Template

    Etapa 10. Selecione o novo modelo IPSEC CUCM e selecione OK, como mostrado na imagem.

    Find Root CA Template

    Modelo CAPF

    Etapa 1. Localize o modelo CA raiz e clique nele com o botão direito do mouse. Em seguida, selecione Duplicar modelo, como mostrado na imagem.

    Under General, Update Template Information

    Etapa 2. Em Geral, você pode alterar o nome, o nome de exibição, a validade e algumas outras variáveis do modelo de certificado.

    Navigate to Extensions and Key Usage

    Etapa 3. Navegue até Extensions > Key Usage > Edit, conforme mostrado na imagem.

    Select Options and then Ok

    Etapa 4. Selecione essas opções e selecione OK, como mostrado na imagem.

    • Assinatura digital
    • Assinatura de certificado
    • Assinatura de CRL

    CS Image

    Etapa 5. Navegue para Extensões > Políticas de aplicativo > Editar > Adicionar, como mostrado na imagem.

    Application Policies, Edit and AddAdd Server Authentication

    Etapa 6. Procure a autenticação do cliente, selecione-a e, em seguida, OK, como mostrado na imagem.

    Search for Client Authentication

    Passo 7. Selecione Add novamente, procure IP security end system, selecione-o e selecione OK nesta e na janela anterior também, como mostrado na imagem.

    Search for IP Security End System

    Etapa 8. De volta ao modelo, selecione Apply e, em seguida, OK, como mostrado na imagem.

    Back on Template, Select Apply and Ok

    Etapa 9. Feche a janela Console de modelos de certificado e, na primeira janela, navegue para Novo > Modelo de certificado a ser emitido, como mostrado na imagem.

    Close Certificate Templates Console Window

    Etapa 10. Selecione o novo modelo CAPF CUCM e selecione OK, como mostrado na imagem.

    Select CAPF CUCM Template

    Gerar uma Solicitação de Assinatura de Certificado

    Use este exemplo para gerar um certificado do CallManager com o uso dos modelos recém-criados. O mesmo procedimento pode ser usado para qualquer tipo de certificado. Você só precisa selecionar o certificado e os tipos de modelo de acordo:

    Etapa 1. No CUCM, navegue para OS Administration > Security > Certificate Management > Generate CSR.

    Etapa 2. Selecione essas opções e selecione Gerar, como mostrado na imagem.

    • Finalidade do certificado: CallManager
    • Distribuição: <Pode ser apenas para um servidor ou para várias SANs>

    Generate a Certificate Signing Request

     Etapa 3. Uma mensagem de confirmação é gerada, como mostrado na imagem.

    Confirmation Message Generated

    Etapa 4. Na lista de certificados, procure a entrada com o tipo CSR Only e selecione-a, como mostrado na imagem.

    Entry Type CSR Only

    Etapa 5. Na janela pop-up, selecione Download CSR e salve o arquivo no computador.

    Pop-Up Window, Select Download CSR

    Etapa 6. No navegador, navegue até este URL e insira as credenciais de administrador do controlador de domínio: https://<yourWindowsServerIP>/certsrv/.

    Passo 7. Navegue para Solicitar um certificado > solicitação de certificado avançado, como mostrado na imagem.

    Navigate to this URLRequest a Certificate, Advanced Certificate

    Etapa 8. Abra o arquivo CSR e copie todo o seu conteúdo:

    Open CSR File and Copy All Contents

    Etapa 9. Cole o CSR no campo Base-64-encoded certificate request. Em Modelo de certificado, selecione o modelo correto e selecione Enviar, como mostrado na imagem.

    Paste the CSR in the Base-64-Encoded-Certificate-Request Field

    Etapa 10. Por fim, selecione Base 64 encoded e Download certificate chain. O arquivo gerado agora pode ser carregado para o CUCM.

    Select Base 64 Encoded and Download Certificate

    Verificar


    O procedimento de verificação é, na verdade, parte do processo de configuração.


    Troubleshooting


    No momento, não há informações específicas de solução de problemas disponíveis para essa configuração.

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    21-Feb-2024
    Texto Alt atualizado, Descrição do artigo, Linguagem tendenciosa e formatação.
    2.0
    20-Jan-2023
    Alterar alguns motivos e o formato de alguns títulos
    1.0
    24-Sep-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Mauro Cabral
      Engenheiro do Cisco TAC
    • Michael Mendoza
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos