如何从CUCM数据包捕获(PCAP)导出TLS证书

简介

本文档介绍从思科统一通信管理器(CUCM)PCAP导出证书的过程。

作者：思科TAC工程师Adrian Esquillo。

先决条件

要求

Cisco 建议您了解以下主题：
·传输层安全(TLS)握手
· CUCM证书管理
·安全文件传输协议(SFTP)服务器
·实时监控工具(RTMT)

· Wireshark应用

使用的组件

· CUCM 9.X及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

可以导出服务器证书/证书链，以确认服务器提供的服务器证书/证书链与要上传或已上传到CUCM证书管理的证书相匹配。

作为TLS握手的一部分，服务器将其服务器证书/证书链提供给CUCM。

从CUCM PCAP导出TLS证书

步骤1.在CUCM上启动数据包捕获命令

与CUCM节点建立安全外壳(SSH)连接并运行命令utils network capture（或capture-rotate） file <filename> count 1000000 size ALL，如图所示：

步骤2.启动服务器与CUCM之间的TLS连接

在本示例中，通过在TLS端口636上建立连接，在安全轻量目录访问协议(LDAPS)服务器和CUCM之间启动TLS连接，如图所示：

步骤3.在TLS握手完成后停止CUCM PCAP

按Control-C停止数据包捕获，如图所示

步骤4.通过列出的两种方法之一下载打包程序捕获文件

1.启动CUCM节点的RTMT并导航到System > Tools > Trace > Trace & Log Central > Collect Files并选中Packet Capture Logs框（继续执行RTMT过程以下载pcap），如图所示：

2.启动安全文件传输协议(SFTP)服务器，在CUCM SSH会话中运行命令file get activelog /patform/cli/<pcap filename>.cap （通过提示继续下载SFTP服务器上的PCAP），如图所示：

步骤5.确定服务器向CUCM提供的证书数

使用Wireshark应用程序打开pcap并在tls上进行过滤，以使用包含向CUCM提供的服务器证书/证书链的Server Hello确定数据包。如图所示，这是帧122:

·展开带证书的Server Hello数据包的Transport Layer Security > Certificate信息，以确定提供给CUCM的证书数。排名靠前的证书是服务器证书。在本例中，仅显示1个证书，即服务器证书，如图所示：

步骤6.从CUCM PCAP导出服务器证书/证书链

在本例中，仅显示服务器证书，因此您需要检查服务器证书。右键单击服务器证书并选择导出数据包字节以另存为.cer证书，如图所示：

·在后续窗口中，提供.cer文件名，然后单击“保存”。保存的文件（在本例中，保存到桌面）命名为servercert.cer，如图所示：

步骤7.打开保存的.CER文件以检查内容

双击.cer文件以检查“常规”、“详细信息”和“证书路径”选项卡中的信息，如图所示：

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。