如何从CUCM为思科网真IX5000/IX5200沉浸式终端安装CAPF证书
简介
本文档介绍如何使用Cisco Unified Communications Manager(CUCM)的IX5000/IX5200沉浸式终端的证书授权代理功能(CAPF)安装证书。
先决条件
要求
Cisco 建议您了解以下主题:
- IX系统(沉浸式协作系统)的工作知识
- CUCM知识(思科统一通信管理器)
使用的组件
本文档中的信息基于以下组件:
- IX5000/IX5200
- CUCM
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
当思科网真IX系统收到来自身份验证器的身份验证质询时,设备会使用制造安装证书(MIC)或本地有效证书(LSC)做出响应。
如果同时安装了MIC和LSC,则系统使用LSC进行身份验证。如果未安装LSC,则在这种情况下,思科网真IX设备使用MIC,因为MIC由制造商内置到系统中。
要使用LSC对思科网真IX系统进行身份验证,您必须使用Unified CM中的证书颁发机构代理功能(CAPF)在系统上手动安装它。
配置
本节提供所需的配置步骤。
步骤1.登录CUCM管理界面。
步骤2.通过完成以下步骤将安全配置文件添加到Cisco TelePresence IX系统:
- 选择设备>电话
- 选择Find以查找要配置的现有Cisco TelePresence IX系统
- 向下滚动到Protocol Specific Information(协议特定信息)框,并找到Device Security(设备安全)下拉列表
- 在“设备安全配置文件”下拉列表中,选择“安全配置文件”
- 向下滚动到证书颁发机构代理功能(CAPF)信息框并更改这些设置
- 对于证书操作,请选择安装/升级
- 对于“Authentication Mode”,请按“By Authentication String”
本练习提供证书颁发机构代理功能(CAPF)信息框的示例:
6.选择生成字符串以生成唯一字符串。
记下生成的字符串,因为您必须进一步使用此字符串。
步骤3.选择Save,然后选择Apply Config以保存设置。
步骤4.登录IX5000/IX5200管理界面。
- 选择配置>呼叫控制管理器
- 在CAPF Authentication String字段中,输入在上一步中从CUCM生成的身份验证字符串
- 选择“应用”,IX5000/IX5200将重新启动
本练习提供IX呼叫控制管理器界面的示例:
验证
使用本部分可确认配置能否正常运行。
IX5000/IX5200系统启动并运行后,在成功完成CAPF流程后,登录IX5000/IX5200管理界面。
步骤1.选择Configuration > Certificates
步骤2. CAPF证书在证书列表中显示,文件名为capf0.pem
此图像提供了IX5000/IX5200系统的证书列表示例:
故障排除
本部分提供了可用于对配置进行故障排除的信息。
如果CAPF进程失败,则在证书列表中(在上一映像上显示)看不到CAPF证书。 使用后续步骤排除此类场景的故障:
步骤1.登录IX5000/IX5200命令行界面(CLI)。 运行命令show security authstring。
如果此命令返回CUCM之前生成的相同字符串,则这确认身份验证已完成,但IX5000/IX5200无法下载证书。
步骤2.登录IX5000/IX5200管理界面:
- 选择配置>呼叫控制管理器
- 选择删除证书信任列表
- 选择Apply,IX5000/IX5200将重新启动
本练习提供IX呼叫控制管理器界面的示例:
如果CAPF证书仍未在Certificate列表中显示,则使用步骤3中提供的步骤出厂重置设备。
步骤3.登录IX5000/IX5200管理界面:
- 选择“重新启动/重置”>“出厂重置”
- 选择工厂重置
此图像提供了如何在IX5000/IX5200系统上执行出厂重置的示例:
反馈