如何从Cisco IP电话下载证书
简介
本文档介绍当思科授权代理功能(CAPF)服务在思科统一通信管理器(CUCM)发布方中运行时从思科IP电话检索证书的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 电话中的SSL证书
- CUCM管理
- CUCM中的命令行界面(CLI)管理
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科统一通信管理器(CUCM)11.5.1.11900-26版
- 思科IP电话8811 - sip88xx.12-5-1SR1-4
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
CAPF服务必须在CUCM发布者中处于活动状态,而Cisco Unified OS Administration下的CAPF证书必须是最新的。
对于Cisco IP电话,其上安装了两种可选证书:
- MIC(制造商安装的证书)
- MIC和LSC(本地有效证书)
电话预装有MIC证书,且无法删除,且无法重新生成。此外,MIC在有效期过后无法使用。MIC是由思科证书颁发机构签名的2048位密钥证书。
LSC拥有Cisco IP电话的公钥,该公钥由CUCM CAPF私钥签名。默认情况下,它未安装在电话上,电话要在安全模式下运行,需要此证书
配置
步骤1.在CUCM中,导航至Cisco Unified CM管理>设备>电话。
步骤2.查找并选择要从中检索的证书的电话。
步骤3.在电话配置页中,导航至Certification Authority Proxy Function(CAPF)Information部分。
步骤4.如图所示,应用以下参数:
证书操作:故障排除
身份验证模式:按空值字串
密钥大小(位):1024
操作完成时间:将来的日期
步骤5.单击“保存并重置电话”。
步骤6.在CUCM集群中重新注册设备后,请确保在电话配置页面中完成故障排除操作,如图所示:
步骤7.打开CUCM发布服务器的SSH会话,然后运行命令列出与电话关联的证书,如图所示:
文件列表活动日志/cm/trace/capf/sdi/SEP<MAC_Address>*
要列出的文件有两个选项:
仅MIC:SEP<MAC_Address>-M1.cer
MIC和LSC:SEP<MAC_Address>-M1.cer和SEP<MAC_Address>-L1.cer
步骤8.要下载证书,请运行以下命令:file get activelog /cm/trace/capf/sdi/SEP<MAC_Address>*
要保存文件,需要安全文件传输协议(SFTP)服务器,如图所示
反馈