Cree los Certificate Template plantilla decertificado de Windows CA para CUCM Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosInformación previaConfigurarPlantilla de CallmanagerPlantilla de TomcatPlantilla de IPsecPlantilla CAPFPlantilla TVGenere un certificadoVerificaciónTroubleshooting

Introducción

Este documento proporciona a un procedimiento paso a paso para crear los Certificate Templateplantilla de certificado en las autoridades de certificación basadas en el servidor de Windows(CA), eso es obediente con los requisitos de la extensión X.503 para cada tipo de certificado delencargado de las Comunicaciones unificadas de Cisco (CUCM).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Versión 11.5(1) o posterior CUCM●

El conocimiento básico de la administración de Servidor Windows también se recomienda●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

La información en este documento se basa en la versión 10.5(2) o posterior CUCM.●

Servidor 2012 R2 de Microsoft Windows con los servicios CA instalados.●

La información que contiene este documento se creó a partir de los dispositivos en un ambiente

de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.

Información previa

Hay cinco tipos de Certificados que se puedan firmar por un externo CA:

Certificado Utilice Servicios afectados

Callmanager

Presentado en asegure el registrodel dispositivo, puede firmarCertificate Trust List (Lista deconfianza del certificado) (CTL) losficheros de la lista de la confianza/Internal (ITL), usados para lasinteracciones seguras con otrosservidores tales como troncosseguros del Session InitiationProtocol (SIP).

· Encargado de llamada de Cisco· Encargado del CTI de Cisco· Cisco TFTP

gatoPresentado para las interaccionesdel protocolo secure hypertexttransfer (HTTPS).

· Cisco Tomcat· Escoja Muestra-en (SSO)· Movilidad de la extensión· Corporate Directory

ipsec

Utilizado para la generación delarchivo de backup, así como lainteracción de la Seguridad IP(IPsec) con el Media GatewayControl Protocol (MGCP) o losgateways H323.

· Master de Cisco DRF· Local de Cisco DRF

CAPFUtilizado para generar localmente -los Certificados significativos (LSC)para los teléfonos.

· Función del proxy de laautoridad de certificación deCisco

TVS

Utilizado para crear una conexiónal servicio de la verificación de laconfianza (TV), cuando losteléfonos no pueden autenticar uncertificado desconocido.

·Servicio de la verificación de laconfianza de Cisco

Cada uno de estos Certificados tiene algunos requisitos de la extensión X.509 que necesiten serfijados, si no, usted puede encontrar las malas conductas en los servicios ya mencionados ucesde los:

Certificado Uso de la claveX.509 Uso dominante extendido X.509

Callmanager

·  Firma digital·  Estenografíadominante·  Estenografía delos datos·  Acuerdodominante

· Autenticación del servidor Web· Autenticación del cliente deWeb

gato ·  Firma digital · Autenticación del servidor Web

·  Estenografíadominante·  Estenografía delos datos·  Acuerdodominante

· Autenticación del cliente deWeb

ipsec

·  Firma digital·  Estenografíadominante·  Estenografía delos datos·  Acuerdodominante

· Autenticación del servidor Web· Autenticación del cliente deWeb· Sistema de extremo de IPsec

CAPF·  Firma digital·  Muestra delcertificado

· Sistema de extremo de IPsec· Autenticación de servidor deTWeb· Autenticación del cliente deWeb

TVS·  Firma digital·  Muestra delcertificado

· Autenticación del servidor Web· Autenticación del cliente deWeb

Para más información, refiérase a la guía de administración para el encargado de lasComunicaciones unificadas de Cisco.

Configurar

Paso 1. En el Servidor Windows, navegue al administrador de servidor > a las herramientas > alas autoridades de certificación, tal y como se muestra en de la imagen.

Paso 2. Seleccione su CA, después navegue a los Certificate Template plantilla decertificado, haga clic derecho en la lista y selecto maneje, tal y como se muestra en de la imagen.

Plantilla de Callmanager

Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y seleccione la plantilladuplicado, tal y como se muestra en de la imagen.

Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.

Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.

Paso 4. Seleccione estas opciones y haga clic la AUTORIZACIÓN, tal y como se muestra en de laimagen.

Firma digital●

Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)

●

Permita el cifrado de los datos del usuario●

Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.

Paso 6. Busque para la autenticación de cliente, selecciónela y haga clic la AUTORIZACIÓN enesta ventana y la anterior, tal y como se muestra en de la imagen.

Paso 7. Detrás en la plantilla, selecta apliqúese y después APRUEBE.

Paso 8. Cierre la Ventana de la consola del Certificate Template plantilla de certificado, y posterioren la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado a publicar,tal y como se muestra en de la imagen.

Paso 9. Seleccione la nueva plantilla de CallManager CUCM y selecciónela OK, tal y como semuestra en de la imagen.

Plantilla de Tomcat

Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y después seleccione laplantilla duplicado, tal y como se muestra en de la imagen.

Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.

Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.

Paso 4. Seleccione estas opciones y haga clic la AUTORIZACIÓN, tal y como se muestra en de laimagen.

Firma digital●

Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)

●

Permita el cifrado de los datos del usuario●

Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.

Paso 6. Busque para la autenticación de cliente y selecciónela y después selecciónela OK en estaventana y la anterior.

Paso 7. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.

Paso 8. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.

Paso 9. Seleccione la nueva plantilla de Tomcat CUCM y haga clic en la AUTORIZACIÓN, tal ycomo se muestra en de la imagen.

Plantilla de IPsec

Paso 1. Encuentre la plantilla del servidor Web, haga clic derecho en ella y seleccione la plantilladuplicado, tal y como se muestra en de la imagen.

Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, etc….

Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.

Paso 4. Seleccione estas opciones y selecciónelas OK, tal y como se muestra en de la imagen.

Firma digital●

Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)

●

Permita el cifrado de los datos del usuario●

Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.

Paso 6. Busque para la autenticación de cliente, selecciónela y entonces ACEPTABLE, tal y comose muestra en de la imagen.

Paso 7. Selecto agregue otra vez, busque para el sistema de extremo de la Seguridad IP,selecciónelo y después haga clic la AUTORIZACIÓN en esto y en la ventana anterior también.

Paso 8. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.

Paso 9. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.

Paso 10. Seleccione la nueva plantilla IPSEC CUCM y haga clic en la AUTORIZACIÓN, tal ycomo se muestra en de la imagen.

Plantilla CAPF

Paso 1. Encuentre raíz CA la plantilla y haga clic derecho en ella. Entonces seleccione la plantilladuplicado, tal y como se muestra en de la imagen.

Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.

Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.

Paso 4. Seleccione estas opciones y selecciónelas OK, tal y como se muestra en de la imagen.

Firma digital●

Firma del certificado●

Firma CRL●

Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.

Paso 6. Busque para la autenticación de cliente, selecciónela y después selecciónela OK, tal ycomo se muestra en de la imagen.

Paso 7. Selecto agregue otra vez, busque para el sistema de extremo de la Seguridad IP,selecciónelo y después haga clic la AUTORIZACIÓN en esto y en la ventana anterior también, taly como se muestra en de la imagen.

Paso 8. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.

Paso 9. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.

Paso 10. Seleccione la nueva plantilla CAPF CUCM y selecciónela OK, tal y como se muestra ende la imagen.

Plantilla TV

Paso 1. Encuentre la plantilla de las autoridades de certificación raíz y haga clic derecho en ella.Entonces seleccione la plantilla duplicado, tal y como se muestra en de la imagen.

Paso 2. Bajo el general, usted puede cambiar el nombre del Certificate Template plantilla decertificado, el nombre de la visualización, la validez, el etc.

Paso 3. Navegue a las Extensiones > al uso de la clave > corrigen, tal y como se muestra en de laimagen.

Paso 4. Seleccione estas opciones y después APRUÉBELAS, tal y como se muestra en de laimagen.

Firma digital●

Permita el intercambio dominante solamente con la encripción de claves (la estenografíadominante)

●

Permita el cifrado de los datos del usuario●

Paso 5. Navegue a las Extensiones > a las directivas de la aplicación > corrigen > agregan, tal ycomo se muestra en de la imagen.

Paso 6. Busque para la autenticación de cliente y selecciónela y después selecciónela OK en estaventana y la anterior, tal y como se muestra en de la imagen.

Paso 7. Detrás en la plantilla, selecta apliqúese y entonces AUTORIZACIÓN, tal y como semuestra en de la imagen.

Paso 8. Cierre la Ventana de la consola de los Certificate Template plantilla de certificado, yposterior en la primera ventana, navegue a nuevo > Certificate Template plantilla de certificado apublicar, tal y como se muestra en de la imagen.

Paso 9. Seleccione la nueva plantilla TV y haga clic la AUTORIZACIÓN, tal y como se muestra ende la imagen.

Genere un certificado

Utilice este ejemplo para generar un certificado de CallManager con el uso de las plantillascreadas recientemente. El mismo procedimiento se puede utilizar para cualquier tipo decertificado, usted apenas necesita seleccionar los tipos del certificado y de la plantilla porconsiguiente:

Paso 1. En CUCM, navegue al Certificate Management (Administración de certificados) del >Security (Seguridad) de la administración OS > generan el CSR.

Paso 2. Seleccione estas opciones y selecto genere, tal y como se muestra en de la imagen.

Propósito del certificado: CallManager●

Distribución: los <This pueden estar apenas para un servidor o Multi-SAN>●

 Paso 3. Un mensaje de confirmación se genera, tal y como se muestra en de la imagen.

Paso 4. En la lista del certificado, busque la entrada con el tipo CSR solamente y selecciónela, taly como se muestra en de la imagen.

Paso 5. En la ventana emergente, seleccione el CSR de la transferencia directa, y salve el ficheroen su ordenador.

Paso 6. En su hojeador, navegue a este URL, y ingrese sus credenciales del administrador delregulador del dominio: https:// <yourWindowsServerIP>/certsrv/.

Paso 7. Navegue para pedir un certificado > avanzó la solicitud de certificado, tal y como se

muestra en de la imagen.

Paso 8. Abra el fichero CSR y copie todo su contenido:

Paso 9. Pegue el CSR en el campo de la solicitud de certificado Base-64-encoded. Bajo elCertificate Template plantilla de certificado, seleccione la plantilla correcta y el tecleo somete, tal ycomo se muestra en de la imagen.

Paso 10. Finalmente, el base 64 selecto codificó y la Cadena de certificados de la transferenciadirecta, el fichero generado se puede ahora cargar por teletratamiento el CUCM.

Verificación

El procedimiento de verificación es realmente parte del proceso de configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.