CUCM第三方CA签名LSC生成和导入配置示例

简介

证书颁发机构代理功能(CAPF)本地重要证书(LSC)是本地签名证书。但是，您可能需要电话使用第三方证书颁发机构(CA)签名的LSC。本文档介绍的步骤可帮助您实现此目的。

先决条件

要求

思科建议您了解思科统一通信管理器(CUCM)。

使用的组件

本文档中的信息基于CUCM版本10.5(2)；但是，此功能在版本10.0及更高版本中有效。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

以下是该操作步骤所涉及的步骤，每个步骤都在其各自的部分中进行了详细说明：

1. 上传CA根证书
2. 将证书颁发的脱机CA设置为终端
3. 为电话生成证书签名请求(CSR)
4. 将生成的CSR从Cisco Unified Communications Manager (CUCM)获取到FTP服务器
5. 从CA获取电话证书
6. 将.cer转换为.der格式
7. 将证书(.der)压缩为.tgz格式
8. 将.tgz文件传输到Secure Shell FTP (SFTP)服务器
9. 将.tgz文件导入CUCM服务器
10. 使用Microsoft Windows 2003证书颁发机构为CSR签名
11. 从CA获取根证书

上传CA根证书

1. 登录思科统一操作系统(OS)管理Web GUI。
   
   
2. 导航到安全证书管理。
   
   
3. 单击Upload Certificate/Certificate chain。
   
   
4. 在“证书用途”下选择CallManager-trust。
   
   
5. 浏览到CA的根证书并单击Upload。
   
   

   

将证书颁发的脱机CA设置为终端

1. 登录CUCM管理网络GUI。
   
   
2. 导航到System > Service Parameter。
   
   
3. 选择CUCM服务器并为该服务选择Cisco Certificate Authority Proxy Function。
   
   
4. 为“Certificate Issue to Endpoint”选择Offline CA。
   
   

   

为电话生成证书签名请求(CSR)

1. 登录CUCM管理网络GUI。
   
   
2. 导航到设备电话。
   
   
3. 选择其LSC必须由外部CA签署的电话。
   
   
4. 将设备安全配置文件更改为安全配置文件（如果不存在，请在安全电话安全配置文件上添加一个系统）。
   
   
5. 在“Phone Configuration”页上的“CAPF”部分下，选择Install/Upgrade进行认证操作。对于其LSC必须由外部CA签名的所有电话，请完成此步骤。您应该看到操作挂起以了解证书操作状态。
   
   

   

   
   
   电话安全配置文件（7962型号）。
   
   

   

   
   
   在安全外壳(SSH)会话中输入utils capf csr count命令，以便确认是否生成CSR。（此屏幕截图显示已为三部电话生成CSR。）
   
   

   

   
   
   

   注意：电话CAPF部分下的证书操作状态仍处于操作挂起状态。

获取从CUCM到FTP（或TFTP）服务器的生成CSR

1. 通过SSH登录CUCM服务器。
   
   
2. 执行utils capf csr dump命令。此屏幕截图显示正在传输到FTP的转储。
   
   

   

   
   
   
3. 使用WinRAR打开转储文件，然后将CSR提取到本地计算机。
   
   

   

获取电话证书

1. 将电话的CSR发送到CA。
   
   
2. CA为您提供签名证书。
   
   

   注意：您可以使用Microsoft Windows 2003 Server作为CA。本文档后面将介绍使用Microsoft Windows 2003 CA签署CSR的过程。

将.cer转换为.der格式

如果收到的证书是.cer格式，则将其重命名为.der。

将证书(.der)压缩为.tgz格式

可以使用CUCM服务器的根(Linux)来压缩证书格式。您也可以在正常的Linux系统中执行此操作。

1. 使用SFTP服务器将所有签名证书传输到Linux系统。
   
   

   

   
   
   
2. 输入此命令以将所有.der证书压缩到.tgz文件中。
   
   

   tar -zcvf 
            
            
              .tgz    *.der 
            

   
   
   

   

将.tgz文件传输到SFTP服务器

完成屏幕截图中所示的步骤，以便将.tgz文件传输到SFTP服务器。

将.tgz文件导入CUCM服务器

1. 通过SSH登录CUCM服务器。
   
   
2. 执行utils capf cert import命令。
   
   

   

   
   
   成功导入证书后，您可以看到CSR计数变为零。
   
   

   

使用Microsoft Windows 2003证书颁发机构为CSR签名

这是Microsoft Windows 2003 - CA的可选信息。

1. 打开证书颁发机构。
   
   

   

   
   
   
2. 右键单击CA并导航到所有任务>提交新请求……
   
   

   

   
   
   
3. 选择CSR并单击Open。对所有CSR执行此操作。
   
   

   

   
   
   所有打开的CSR都会显示在Pending Requests文件夹中。
   
   
4. 右键单击每个任务并导航到所有任务>颁发以颁发证书。对所有待处理的请求执行此操作。
   
   

   

   
   
   
5. 要下载证书，请选择已颁发的证书。
   
   
6. 右键单击证书并单击Open。
   
   

   

   
   
   
7. 您可以看到证书详细信息。要下载证书，请选择“详细信息”选项卡并选择复制到文件……
   
   

   

   
   
   
8. 在“Certificate Export Wizard”中，选择DER encoded binary X.509 (.CER)。
   
   

   

   
   
   
9. 为文件命名适当的名称。本示例使用<MAC>.cer格式。
   
   

   

   
   
   
10. 按照以下步骤在“已颁发的证书”部分下获取其他电话的证书。

从CA获取根证书

1. 打开证书颁发机构。
   
   
2. 要下载根CA，请完成此屏幕截图中所示的步骤。
   
   

   

验证

使用本部分可确认配置能否正常运行。

1. 转到电话配置页面。
   
   
2. 在CAPF部分下，证书操作状态应显示为升级成功。
   
   

   

注意：有关详细信息，请参阅生成和导入第三方CA签名的LSC。

故障排除

目前没有针对此配置的故障排除信息。