CUCM和VCS之間的安全SIP中繼配置示例

簡介

本文檔介紹如何在思科統一通訊管理器(CUCM)和思科網真影片通訊伺服器(VCS)之間設定安全會話初始協定(SIP)連線。

CUCM和VCS緊密整合。由於影片終端可在CUCM或VCS上註冊，因此裝置之間必須存在SIP中繼。

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合通訊管理員
• Cisco TelePresence視訊通訊伺服器
• 憑證

採用元件

本文件所述內容不限於特定軟體和硬體版本。本示例使用思科VCS軟體版本X7.2.2和CUCM版本9.x。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

確保證書有效，將證書增加到CUCM和VCS伺服器，使它們信任彼此的證書，然後建立SIP中繼。

網路圖表

獲取VCS證書

預設情況下，所有VCS系統都附帶臨時證書。在管理頁上，導航到維護 > 證書管理 > 伺服器證書。按一下Show server certificate，此時將打開一個新窗口，其中包含證書的原始資料：

以下是原始憑證資料的範例：

-----BEGIN CERTIFICATE-----
MIIDHzCCAoigAwIBAgIBATANBgkqhkiG9w0BAQUFADCBmjFDMEEGA1UECgw6VGVt
cG9yYXJ5IENlcnRpZmljYXRlIDU4Nzc0NWYwLTI5YTAtMTFlMy1hNTE4LTAwNTA1
Njk5NWI0YjFDMEEGA1UECww6VGVtcG9yYXJ5IENlcnRpZmljYXRlIDU4Nzc0NWYw
LTI5YTAtMTFlMy1hNTE4LTAwNTA1Njk5NWI0YjEOMAwGA1UEAwwFY2lzY28wHhcN
MTMwOTMwMDcxNzIwWhcNMTQwOTMwMDcxNzIwWjCBmjFDMEEGA1UECgw6VGVtcG9y
YXJ5IENlcnRpZmljYXRlIDU4Nzc0NWYwLTI5YTAtMTFlMy1hNTE4LTAwNTA1Njk5
NWI0YjFDMEEGA1UECww6VGVtcG9yYXJ5IENlcnRpZmljYXRlIDU4Nzc0NWYwLTI5
YTAtMTFlMy1hNTE4LTAwNTA1Njk5NWI0YjEOMAwGA1UEAwwFY2lzY28wgZ8wDQYJ
KoZIhvcNAQEBBQADgY0AMIGJAoGBAKWvob+Y1zrKoAB5BvPsGR7aVfmTYPipL0I/
L21fyyjoO5qv9lzDCgy7PFZPxkD1d/DNLIgp1jjUqdfFV+64r8OkESwBO+4DFlut
tWZLQ1uKzzdsmvZ/b41mEtosElHNxH7rDYQsqdRA4ngNDJVlOgVFCEV4c7ZvAV4S
E8m9YNY9AgMBAAGjczBxMAkGA1UdEwQCMAAwJAYJYIZIAYb4QgENBBcWFVRlbXBv
cmFyeSBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+knGYkeeiWqAjORhzQqRCHba+nEw
HwYDVR0jBBgwFoAUpHCEOXsBH1AzZN153S/Lv6cxNDIwDQYJKoZIhvcNAQEFBQAD
gYEAZklIMSfi49p1jIYqYdOAIjOiashYVfqGUUMFr4V1hokM90ByGGTbx8jx6Y/S
p1SyT4ilU5uiY0DD18EkLzt8y3jFNPmHYAw/f2fB9J3mDAqbiQdmbLAeD2RRUsy7
1Zc3zTl6WL6hsj+90GAsI/TGthQ2n7yUWPl6CevopbJe1iA=
-----END CERTIFICATE-----

您可以透過在本地PC上使用OpenSSL或使用線上證書解碼器(例如SSL Shopper)來解碼證書並檢視證書資料（例如，使用線上證書解碼器）：

生成並上傳VCS自簽名證書

因為每個VCS伺服器都有一個具有相同公用名的證書，所以您需要在伺服器上放置新證書。您可以選擇使用自簽憑證或由憑證授權單位(CA)簽署的憑證。有關此過程的詳細資訊，請參閱Cisco TelePresence Certificate Creation and Use with Cisco VCS Deployment Guide。

以下程式說明如何使用VCS本身產生自簽章憑證，然後上傳該憑證：

1. 以root身份登入到VCS，啟動OpenSSL，並生成私鑰：
   
   

   ~ # openssl
   OpenSSL> genrsa -out privatekey.pem 1024
   Generating RSA private key, 1024 bit long modulus
   ..................................++++++
   ................++++++
   e is 65537 (0x10001)

2. 若要產生憑證簽署請求(CSR)，請使用此私密金鑰：
   
   

   OpenSSL> req -new -key privatekey.pem -out certcsr.pem
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:BE
   State or Province Name (full name) [Some-State]:Vlaams-Brabant
   Locality Name (eg, city) []:Diegem
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco
   Organizational Unit Name (eg, section) []:TAC
   Common Name (e.g. server FQDN or YOUR name) []:radius.anatomy.com
   Email Address []:
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:
   An optional company name []:
   OpenSSL> exit

3. 生成自簽名證書：
   
   

   ~ # openssl x509 -req -days 360 -in certcsr.pem -signkey privatekey.pem -out vcscert.pem
   Signature ok
   subject=/C=BE/ST=Vlaams-Brabant/L=Diegem/O=Cisco/OU=TAC/CN=radius.anatomy.com
   Getting Private key
   ~ #

4. 確認憑證現在可用：
   
   

   ~ # ls -ltr *.pem
   -rw-r--r-- 1 root root 891 Nov  1 09:23 privatekey.pem
   -rw-r--r-- 1 root root 664 Nov  1 09:26 certcsr.pem
   -rw-r--r-- 1 root root 879 Nov  1 09:40 vcscert.pem

5. 使用WinSCP下載證書並將其上傳到網頁上，以便VCS可以使用證書；您需要私鑰和生成的證書：
   
   
   
   
6. 對所有VCS伺服器重複此過程。

從CUCM伺服器向VCS伺服器增加自簽名證書

從CUCM伺服器增加證書，以便VCS信任它們。在本示例中，您使用的是來自CUCM的標準自簽名證書；CUCM在安裝期間生成自簽名證書，因此您無需像VCS上那樣建立這些證書。

此過程描述如何從CUCM伺服器向VCS伺服器增加自簽名證書：

1. 從CUCM下載CallManager.pem證書。登入到OS Administration頁面，導航到Security > Certificate Management，然後選擇並下載自簽名CallManager.pem證書：
   
   
   
   
2. 將此證書增加為VCS上的受信任CA證書。在VCS上，導航到維護 > 證書管理 > 受信任CA證書，然後選擇顯示CA證書：
   
   
   
   此時將打開一個新窗口，顯示當前信任的所有證書。
   
   
3. 將目前信任的所有憑證複製到文字檔中。在文本編輯器中打開CallManager.pem檔案，複製其內容，並將該內容增加到當前受信任證書之後的同一文本檔案的底部：
   
   

   CallManagerPub
   ======================
   -----BEGIN CERTIFICATE-----
   MIICmDCCAgGgAwIBAgIQZo7WOmjKYy9JP228PpPvgTANBgkqhkiG9w0BAQUFADBe
   MQswCQYDVQQGEwJCRTEOMAwGA1UEChMFQ2lzY28xDDAKBgNVBAsTA1RBQzERMA8G
   A1UEAxMITUZDbDFQdWIxDzANBgNVBAgTBkRpZWdlbTENMAsGA1UEBxMEUGVnMzAe
   Fw0xMjA4MDExMDI4MzVaFw0xNzA3MzExMDI4MzRaMF4xCzAJBgNVBAYTAkJFMQ4w
   DAYDVQQKEwVDaXNjbzEMMAoGA1UECxMDVEFDMREwDwYDVQQDEwhNRkNsMVB1YjEP
   MA0GA1UECBMGRGllZ2VtMQ0wCwYDVQQHEwRQZWczMIGfMA0GCSqGSIb3DQEBAQUA
   A4GNADCBiQKBgQDmCOYMvRqZhAl+nFdHk0Y2PlNdACglvnRFwAq/rNgGrPCiwTgc
   0cxqsGtGQLSN1UyIPDAE5NufROQPJ7whR95KGmYbGdwHfKeuig+MT2CGltfPe6ly
   c/ZEDqHYvGlzJT5srWUfM9GdkTZfHI1iV6k/jvPtGigXDSCIqEjn1+3IEQIDAQAB
   o1cwVTALBgNVHQ8EBAMCArwwJwYDVR0lBCAwHgYIKwYBBQUHAwEGCCsGAQUFBwMC
   BggrBgEFBQcDBTAdBgNVHQ4EFgQUK4jYX6O6BAnLCalbKEn6YV7BpkQwDQYJKoZI
   hvcNAQEFBQADgYEAkEGDdRdMOtX4ClhEatQE3ptT6L6RRAyP8oDd3dIGEOYWhA2H
   Aqrw77loieva297AwgcKbPxnd5lZ/aBJxvmF8TIiOSkjy+dJW0asZWfei9STxVGn
   NSr1CyAt8UJh0DSUjGHtnv7yWse5BB9mBDR/rmWxIRrlIRzAJDeygLIq+wc=
   -----END CERTIFICATE-----

   如果CUCM集群中有多台伺服器，請在此處增加所有伺服器。
   
   
4. 將檔案另存為CATrust.pem，然後按一下Upload CA certificate將檔案上載回VCS：
   
   
   
   VCS現在將信任CUCM提供的證書。
   
   
5. 對所有VCS伺服器重複此過程。

將證書從VCS伺服器上傳到CUCM伺服器

CUCM需要信任VCS提供的證書。

此過程描述如何上傳在CUCM上生成的VCS證書作為CallManager-Trust證書：

1. 在OS Administration頁面上，導航到Security > Certificate Management，輸入證書名稱，瀏覽到其位置，然後按一下Upload File：
   
   
   
   
2. 從所有VCS伺服器上傳證書。在每台將與VCS通訊的CUCM伺服器上執行此操作；這通常是運行CallManager服務的所有節點。

SIP連線

驗證證書且兩個系統相互信任後，請在VCS上配置相鄰區域，並在CUCM上配置SIP中繼。有關此過程的詳細資訊，請參閱Cisco TelePresence Cisco Unified Communications Manager with Cisco VCS （SIP中繼）部署指南。

驗證

確認SIP連線在VCS的相鄰區域中處於活動狀態：

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• Cisco TelePresence Cisco Unified Communications Manager with Cisco VCS （SIP中繼）部署指南
• Cisco TelePresence視訊通訊伺服器管理員指南
• 思科網真證書建立與思科VCS使用部署指南
• Cisco Unified Communications作業系統管理指南
• Cisco Unified Communications Manager管理指南
• 技術支援與文件 - Cisco Systems