Cree los Certificate Template plantilla decertificado de Windows CA para CUCM Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosInformación previaConfigurarPlantilla de CallmanagerPlantilla de TomcatPlantilla de IPsecPlantilla CAPFPlantilla TVGenere un certificadoVerificaciónTroubleshooting
Introducción
Este documento proporciona a un procedimiento paso a paso para crear los Certificate Templateplantilla de certificado en las autoridades de certificación basadas en el servidor de Windows(CA), eso es obediente con los requisitos de la extensión X.503 para cada tipo de certificado delencargado de las Comunicaciones unificadas de Cisco (CUCM).
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Versión 11.5(1) o posterior CUCM●
El conocimiento básico de la administración de Servidor Windows también se recomienda●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
La información en este documento se basa en la versión 10.5(2) o posterior CUCM.●
Servidor 2012 R2 de Microsoft Windows con los servicios CA instalados.●
La información que contiene este documento se creó a partir de los dispositivos en un ambiente
de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.
Información previa
Hay cinco tipos de Certificados que se puedan firmar por un externo CA:
Certificado Utilice Servicios afectados
Callmanager
Presentado en asegure el registrodel dispositivo, puede firmarCertificate Trust List (Lista deconfianza del certificado) (CTL) losficheros de la lista de la confianza/Internal (ITL), usados para lasinteracciones seguras con otrosservidores tales como troncosseguros del Session InitiationProtocol (SIP).
· Encargado de llamada de Cisco· Encargado del CTI de Cisco· Cisco TFTP
gatoPresentado para las interaccionesdel protocolo secure hypertexttransfer (HTTPS).
· Cisco Tomcat· Escoja Muestra-en (SSO)· Movilidad de la extensión· Corporate Directory
ipsec
Utilizado para la generación delarchivo de backup, así como lainteracción de la Seguridad IP(IPsec) con el Media GatewayControl Protocol (MGCP) o losgateways H323.
· Master de Cisco DRF· Local de Cisco DRF
CAPFUtilizado para generar localmente -los Certificados significativos (LSC)para los teléfonos.
· Función del proxy de laautoridad de certificación deCisco
TVS
Utilizado para crear una conexiónal servicio de la verificación de laconfianza (TV), cuando losteléfonos no pueden autenticar uncertificado desconocido.
·Servicio de la verificación de laconfianza de Cisco
Cada uno de estos Certificados tiene algunos requisitos de la extensión X.509 que necesiten serfijados, si no, usted puede encontrar las malas conductas en los servicios ya mencionados ucesde los:
Certificado Uso de la claveX.509 Uso dominante extendido X.509
Callmanager
· Firma digital· Estenografíadominante· Estenografía delos datos· Acuerdodominante
· Autenticación del servidor Web· Autenticación del cliente deWeb
gato · Firma digital · Autenticación del servidor Web
· Estenografíadominante· Estenografía delos datos· Acuerdodominante
· Autenticación del cliente deWeb
ipsec
· Firma digital· Estenografíadominante· Estenografía delos datos· Acuerdodominante
· Autenticación del servidor Web· Autenticación del cliente deWeb· Sistema de extremo de IPsec
CAPF· Firma digital· Muestra delcertificado
· Sistema de extremo de IPsec· Autenticación de servidor deTWeb· Autenticación del cliente deWeb
TVS· Firma digital· Muestra delcertificado
· Autenticación del servidor Web· Autenticación del cliente deWeb
Para más información, refiérase a la guía de administración para el encargado de lasComunicaciones unificadas de Cisco.
Configurar
Paso 1. En el Servidor Windows, navegue al administrador de servidor > a las herramientas > alas autoridades de certificación, tal y como se muestra en de la imagen.
Paso 2. Seleccione su CA, después navegue a los Certificate Template plantilla decertificado, haga clic derecho en la lista y selecto maneje, tal y como se muestra en de la imagen.
Plantilla de Callmanager
Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y seleccione la plantilladuplicado, tal y como se muestra en de la imagen.
Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.
Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.
Paso 4. Seleccione estas opciones y haga clic la AUTORIZACIÓN, tal y como se muestra en de laimagen.
Firma digital●
Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)
●
Permita el cifrado de los datos del usuario●
Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.
Paso 6. Busque para la autenticación de cliente, selecciónela y haga clic la AUTORIZACIÓN enesta ventana y la anterior, tal y como se muestra en de la imagen.
Paso 7. Detrás en la plantilla, selecta apliqúese y después APRUEBE.
Paso 8. Cierre la Ventana de la consola del Certificate Template plantilla de certificado, y posterioren la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado a publicar,tal y como se muestra en de la imagen.
Paso 9. Seleccione la nueva plantilla de CallManager CUCM y selecciónela OK, tal y como semuestra en de la imagen.
Plantilla de Tomcat
Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y después seleccione laplantilla duplicado, tal y como se muestra en de la imagen.
Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.
Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.
Paso 4. Seleccione estas opciones y haga clic la AUTORIZACIÓN, tal y como se muestra en de laimagen.
Firma digital●
Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)
●
Permita el cifrado de los datos del usuario●
Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.
Paso 6. Busque para la autenticación de cliente y selecciónela y después selecciónela OK en estaventana y la anterior.
Paso 7. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.
Paso 8. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.
Paso 9. Seleccione la nueva plantilla de Tomcat CUCM y haga clic en la AUTORIZACIÓN, tal ycomo se muestra en de la imagen.
Plantilla de IPsec
Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y seleccione la plantilladuplicado, tal y como se muestra en de la imagen.
Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, etc….
Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.
Paso 4. Seleccione estas opciones y selecciónelas OK, tal y como se muestra en de la imagen.
Firma digital●
Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)
●
Permita el cifrado de los datos del usuario●
Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.
Paso 6. Busque para la autenticación de cliente, selecciónela y entonces ACEPTABLE, tal y comose muestra en de la imagen.
Paso 7. Selecto agregue otra vez, busque para el sistema de extremo de la Seguridad IP,selecciónelo y después haga clic la AUTORIZACIÓN en esto y en la ventana anterior también.
Paso 8. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.
Paso 9. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.
Paso 10. Seleccione la nueva plantilla IPSEC CUCM y haga clic en la AUTORIZACIÓN, tal ycomo se muestra en de la imagen.
Plantilla CAPF
Paso 1. Encuentre raíz CA la plantilla y haga clic derecho en ella. Entonces seleccione la plantilladuplicado, tal y como se muestra en de la imagen.
Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.
Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.
Paso 4. Seleccione estas opciones y selecciónelas OK, tal y como se muestra en de la imagen.
Firma digital●
Firma del certificado●
Firma CRL●
Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.
Paso 6. Busque para la autenticación de cliente, selecciónela y después selecciónela OK, tal ycomo se muestra en de la imagen.
Paso 7. Selecto agregue otra vez, busque para el sistema de extremo de la Seguridad IP,selecciónelo y después haga clic la AUTORIZACIÓN en esto y en la ventana anterior también, taly como se muestra en de la imagen.
Paso 8. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.
Paso 9. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.
Paso 10. Seleccione la nueva plantilla CAPF CUCM y selecciónela OK, tal y como se muestra ende la imagen.
Plantilla TV
Paso 1. Encuentre la plantilla de las autoridades de certificación raíz y haga clic derecho en ella.Entonces seleccione la plantilla duplicado, tal y como se muestra en de la imagen.
Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.
Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.
Paso 4. Seleccione estas opciones y después APRUÉBELAS, tal y como se muestra en de laimagen.
Firma digital●
Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)
●
Permita el cifrado de los datos del usuario●
Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.
Paso 6. Busque para la autenticación de cliente y selecciónela y después selecciónela OK en estaventana y la anterior, tal y como se muestra en de la imagen.
Paso 7. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.
Paso 8. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.
Paso 9. Seleccione la nueva plantilla TV y haga clic la AUTORIZACIÓN, tal y como se muestra ende la imagen.
Genere un certificado
Utilice este ejemplo para generar un certificado de CallManager con el uso de las plantillascreadas recientemente. El mismo procedimiento se puede utilizar para cualquier tipo decertificado, usted apenas necesita seleccionar los tipos del certificado y de la plantilla porconsiguiente:
Paso 1. En CUCM, navegue al Certificate Management (Administración de certificados) del >Security (Seguridad) de la administración OS > generan el CSR.
Paso 2. Seleccione estas opciones y selecto genere, tal y como se muestra en de la imagen.
Propósito del certificado: CallManager●
Distribución: los <This pueden estar apenas para un servidor o Multi-SAN>●
Paso 3. Un mensaje de confirmación se genera, tal y como se muestra en de la imagen.
Paso 4. En la lista del certificado, busque la entrada con el tipo CSR solamente y selecciónela, taly como se muestra en de la imagen.
Paso 5. En la ventana emergente, seleccione el CSR de la transferencia directa, y salve el ficheroen su ordenador.
Paso 6. En su hojeador, navegue a este URL, y ingrese sus credenciales del administrador delregulador del dominio: https:// <yourWindowsServerIP>/certsrv/.
Paso 7. Navegue para pedir un certificado > avanzó la solicitud de certificado, tal y como se
muestra en de la imagen.
Paso 8. Abra el fichero CSR y copie todo su contenido:
Paso 9. Pegue el CSR en el campo de la solicitud de certificado Base-64-encoded. Bajo elCertificate Template plantilla de certificado, seleccione la plantilla correcta y el tecleo somete, tal ycomo se muestra en de la imagen.
Paso 10. Finalmente, el base 64 selecto codificó y la Cadena de certificados de la transferenciadirecta, el fichero generado se puede ahora cargar por teletratamiento el CUCM.
Verificación
El procedimiento de verificación es realmente parte del proceso de configuración.
Troubleshooting
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.