ترحيل الهواتف بين مجموعات آمنة

المقدمة

يوضح هذا المستند كيفية ترحيل الهواتف بين مجموعتي مدير الاتصالات الموحدة (CUCM) الآمنة من Cisco.

تمت المساهمة من قبل ديفيد نورمان، مهندس TAC من Cisco.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من CUCM.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

نظام المجموعة المصدر: CUCM الإصدار 10.5.2.11900-3
نظام المجموعة الوجهة: CUCM الإصدار 11.0.1.1000-10
هاتف 8861 باستخدام البرنامج الثابت SIP88xx.10-3-1-20

يتم توقيع ملفات قائمة الشهادات الموثوق بها (CTL) باستخدام شهادة CallManager (وليس رمز USB المميز)

الخلفية

أثناء عملية الترحيل، يحاول الهاتف إعداد اتصال آمن بقطاعات المصدر Cisco Trust Verification Service (TVS) للتحقق من شهادة CallManager لمجموعات الوجهة. إذا كان ملف قائمة الثقة بشهادات الهاتف (CTL) وقائمة الثقة بالهوية (ITL) غير صحيحين، فلن يتمكن الهاتف من إكمال المصافحة الآمنة باستخدام أجهزة التلفزيون ولن ينجح الترحيل إلى نظام المجموعة الوجهة. قبل بدء عملية ترحيل الهاتف، تأكد من أن الهواتف تحتوي على ملف CTL/ITL الصحيح المثبت. في نظام المجموعة المصدر أيضا، تأكد من تعيين ميزة المؤسسة "إعداد نظام المجموعة للرجوع إلى ما قبل 8.0" إلى "خطأ".

التكوين

قم باستيراد شهادة CallManager لمجموعات الوجهة إلى مخزن ثقة CallManager و Phone-Ast الخاص بقطاعات المصدر. هناك طريقتان للقيام بذلك. 

الطريقة 1.

أستخدم "أداة الترخيص المجمع" وأكمل الخطوات التالية على كل من مجموعات المصدر والوجهة.

الخطوة 1. انتقل إلى صفحة إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات المجمعة على كل من مجموعات المصدر والوجهة.

الخطوة 2. أدخل تفاصيل خادم بروتوكول نقل الملفات الآمن (SFTP) وحدد حفظ.

الخطوة 3. حدد تصدير شهادة بروتوكول نقل الملفات المبسط (TFTP) وتصديرها.

الخطوة 4. انقر على زر الدمج لإجراء دمج الشهادات.  هذا ينشيء ملف PKCS12 الذي يتضمن كلا من شهادة المصدر والوجهة CallManager.

الخطوة 5. قم باستيراد الشهادات المدمجة مرة أخرى إلى كل مجموعة.

خلال عملية الدمج (الخطوة 5)، يتم تحميل شهادة CallManager للمجموعات المصدر إلى نظام المجموعة الوجهة في مخزن CallManager-trust و Phone-SAST-trust. وهذا يسمح للهواتف بالانتقال مرة أخرى إلى نظام المجموعة المصدر. إذا تم اتباع الأسلوب اليدوي، يقوم المصدر بتجميع شهادة CallManager لن سيتم تحميلها إلى نظام المجموعة الوجهة. هذا يعني أنه لا يمكنك ترحيل الهواتف مرة أخرى إلى نظام المجموعة المصدر. إذا كنت تريد الخيار لترحيل الهواتف مرة أخرى إلى نظام المجموعة المصدر، فإنك الحاجة إلى تحميل شهادة CallManager الخاصة بمجموعات المصدر إلى مجموعات الوجهة CallManager-trust و Phone-Ast-trust store.

ملاحظة: يجب أن تقوم كلتا المجموعتين بتصدير شهادة TFTP إلى نفس خادم SFTP ونفس دليل SFTP.

ملاحظة: الخطوة 4 مطلوبة فقط في مجموعة واحدة. إذا قمت بترحيل الموجات بين الإصدار 8.x من CUCM أو 9.x إلى CUCM الإصدار 10.5.2.13900-12 أو الأحدث، فانتبه إلى معرف تصحيح الأخطاء هذا من Cisco CSCuy43181 قبل أن تقوم بدمج الشهادات.

الطريقة 2.

قم باستيراد الشهادات يدويا. أكمل الخطوات التالية على نظام المجموعة الوجهة.

الخطوة 1. انتقل إلى صفحة إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات.

الخطوة 2. حدد شهادة CallManager.pem وقم بتنزيلها.

الخطوة 3. حدد شهادة ITLrecovery.pem وقم بتنزيلها

الخطوة 4. قم بتحميل شهادة CallManager إلى ناشر نظام المجموعة المصدر كشهادة ثقة CallManger و Phone-Ast.

الخطوة 5. تحميل شهادة ITLrecovery إلى نظام المجموعة المصدر كوثيقة Phone-Ast

الخطوة 6. قم بإعادة تشغيل أجهزة التلفزيون في كل العقد من نظام المجموعة المصدر.

ثم يتم نسخ الشهادات إلى العقد الأخرى في نظام المجموعة.

يتم تطبيق الخطوات 3 و 5 و 6 على سيناريوهات ترحيل الهاتف من 8.x إلى 12.x

ملاحظة: يلزم تنزيل شهادة CallManager من جميع العقد التي تشغل خدمة TFTP على نظام المجموعة الوجهة.

بمجرد تحميل الشهادات باستخدام أحد الطريقتين أعلاه، قم بتغيير خيار بروتوكول التكوين الديناميكي للمضيف (DHCP) للهواتف للإشارة إلى عنوان TFTP للمجموعات الوجهة.

تحذير: تتمثل إحدى الطرق لترحيل الهواتف بين المجموعات غير الآمنة في تعيين "إعداد المجموعة للرجوع إلى ما قبل 8.0" إلى "صواب" على نظام المجموعة المصدر وإعادة تشغيل الهواتف. هذا ليس خيارا عند ترحيل الهواتف بين مجموعات آمنة. وذلك لأن ميزة التراجع إلى ما قبل 8.0 تقوم فقط بفراغ ملف ITL (وهي لا تقوم بإفراغ ملف CTL). وهذا يعني أنه عند ترحيل الهاتف وتنزيل ملف CTL من مجموعة الوجهة، يجب التحقق من CTL الجديد باستخدام مجموعات المصدر TVS. بما أن ملف ITL للهاتف لا يحتوي على شهادة TVS المصدر، فإن تأكيد الاتصال يفشل عندما يحاول الهاتف إنشاء اتصال آمن بخدمة TVS.

التحقق من الصحة

هذا مقتطف من سجلات وحدة تحكم الهاتف وسجلات TVS (تم تعيينها على مفصل) لمجموعة المصدر. تظهر القصاصات عملية تسجيل الهواتف إلى نظام المجموعة الوجهة.

1. يقوم الهاتف بتحميل وتنزيل ملف CTL من نظام المجموعة الوجهة.

3232 NOT Nov 29 06:33:59.011270 downd-DDFORK - execing [/usr/sbin/dgetfile][-L620][ ]
3233 NOT Nov 29 06:33:59.033132 dgetfile(870)-GETXXTP [GT870][src=CTLSEPB000B4BA0AEE.tlv][dest=/tmp/CTLFile.tlv][serv=][serv6=][sec=0]

2. يتم توقيع ملف CTL بواسطة شهادة إدارة المكالمات للمجموعات الوجهة التي لا توجد في الهواتف الموجودة ملف CTL أو ITL. هذا يعني أنه يجب على الهاتف التواصل مع خدمة TVS الخاصة به للتحقق من الشهادة. عند هذه النقطة، لا يزال الهاتف يتمتع بتكوينه القديم الذي يحتوي على عنوان IP الخاص بخدمة نظام المجموعة TVS المصدر (أجهزة التلفزيون المحددة في تكوين الهواتف هي نفسها الخاصة بمجموعة إدارة مكالمات الهواتف). يقوم الهاتف بإعداد اتصال SSL لخدمة TVS. وعندما تقدم خدمة التلفزيون شهادتها إلى الهاتف، يتحقق الهاتف من الشهادة مقابل الشهادة في ملف سجل المعاملات الدولي الخاص بها. إذا كانا متماثلين، تكتمل المصافحة بنجاح.

3287 INF Nov 29 06:33:59.395199 SECUREAPP-Attempting connect to TVS server addr [192.168.11.32], mode [IPv4]
3288 INF Nov 29 06:33:59.395294 SECUREAPP-TOS set to [96] on sock, [192.168.11.32][11]
3289 INF Nov 29 06:33:59.396011 SECUREAPP-TCP connect() successful, [192.168.11.32] [11]
3290 DEB Nov 29 06:33:59.396111 SECUREAPP-BIO created with: addr:192.168.11.32, port:2445, mode:IPv4
3291 INF Nov 29 06:33:59.396231 SECUREAPP-Sec SSL Connection - TVS.
3292 INF Nov 29 06:33:59.396379 SECUREAPP-SSL session setup - Requesting Cert
3293 DEB Nov 29 06:33:59.396402 SECUREAPP-Obtaining certificate.
3294 INF Nov 29 06:33:59.396444 SECUREAPP-SSL session setup - Get Active cert ok
3295 DEB Nov 29 06:33:59.396464 SECUREAPP-SSL session setup - cert len=785, type=LSC
3296 DEB Nov 29 06:33:59.396854 SECUREAPP-Certificate subject name = /serialNumber=PID:CP-8861 SN:FCH18198CNQ/C=AU/O=stormin/OU=IST/CN=CP-8861-SEPB000B4BA0AEE
3297 DEB Nov 29 06:33:59.396917 SECUREAPP-SSL session setup - Certificate issuer name = /C=AU/O=stormin/OU=IST/CN=CAPF-a7fb32bf/ST=NSQ/L=Sydney
3298 INF Nov 29 06:33:59.396947 SECUREAPP-SSL session setup - Requesting Pkey
3299 INF Nov 29 06:33:59.397024 SECUREAPP-SSL session setup - Get private key ok
3300 DEB Nov 29 06:33:59.397045 SECUREAPP-SSL session setup - key len=1191
3301 INF Nov 29 06:33:59.399181 SECUREAPP-Setup SSL session - SSL use certificate okay
3302 INF Nov 29 06:33:59.399477 SECUREAPP-Setup SSL session - SSL use private key okay
3303 DEB Nov 29 06:33:59.399974 SECUREAPP-Sec SSL Connection - Added SSL connection handle 0x40e01270, connDesc 11 to table.
3304 DEB Nov 29 06:33:59.400225 SECUREAPP-Sec SSL Connection - check status & perform handshake.
3305 DEB Nov 29 06:33:59.401086 SECUREAPP-Blocked TVS Secure Connection - Waiting (0) ....
3306 DEB Nov 29 06:33:59.401796 SECUREAPP-Sec SSL Connection - check status & perform handshake.
3307 DEB Nov 29 06:33:59.403321 SECUREAPP-SSL session setup Cert Verification - Role is = 21
3308 INF Nov 29 06:33:59.403412 SECUREAPP-SSL session setup Cert Verification - Invoking certificate validation helper plugin.
3309 INF Nov 29 06:33:59.403662 SECUREAPP-SSL session setup Cert Verification - Certificate validation helper plugin returned.
3310 INF Nov 29 06:33:59.403731 SECUREAPP-SSL session setup Cert Verification - Certificate is valid.
3311 DEB Nov 29 06:33:59.403784 SECUREAPP-SSL session setup Cert Verification - returning validation result = 1
3312 ERR Nov 29 06:33:59.428892 downd-SOCKET accept errno=4 "Interrupted system call"
3313 DEB Nov 29 06:33:59.907337 SECUREAPP-Blocked TVS Secure Connection - Waiting (1) ....
3314 DEB Nov 29 06:33:59.907393 SECUREAPP-Sec SSL Connection - check status & perform handshake.
3315 NOT Nov 29 06:33:59.908586 SECUREAPP-Sec SSL Connection - Handshake successful.
3316 INF Nov 29 06:33:59.908696 SECUREAPP-Sec SSL Connection - caching disabled, session not saved
3317 DEB Nov 29 06:33:59.908752 SECUREAPP-Connection to server succeeded

3. تظهر سجلات أجهزة التلفزيون الاتصال الواردة من الهاتف ونجحت المصافحة.

18:01:05.333 | debug Accepted TCP connection from socket 0x00000012, fd = 8
18:01:05.333 | debug Total Session attempted = 7 accepted = 7
18:01:05.334 | debug tvsGetNextThread
18:01:05.334 | debug Recd event
18:01:05.334 | debug new ph on fd 8
18:01:05.334 | debug 7:UNKNOWN:Got a new SCB from RBTree
18:01:05.334 | debug ipAddrStr (Phone) 192.168.11.100
18:01:05.334 | debug 8:UNKNOWN:Got a new ph conn 192.168.11.100 on 8, Total Acc = 7..
18:01:05.334 | debug addded 8 to readset
18:01:05.338 | debug after select, 8 was set
18:01:05.338 | debug ipAddrStr (Phone) 192.168.11.100
18:01:05.855 | debug tvsSSLHandShakeNotify
18:01:05.855 | debug 192.168.11.100: tvsSSLHandShake Session ciphers - AES256-SHA
18:01:05.855 | debug addded 8 to readset
18:01:05.855 | debug Recd event
18:01:05.855 | debug TLS HS Done for ph_conn

4. تظهر سجلات وحدة التحكم في الهاتف الهاتف طلب إرسال إلى خدمة TVS للتحقق من شهادة إدارة المكالمات من نظام المجموعة الوجهة.

3318 DEB Nov 29 06:33:59.908800 SECUREAPP-TVS provider Init - connect returned TVS srvr sock: 11
3319 DEB Nov 29 06:33:59.908848 SECUREAPP-TVS process request - processing TVS Query Certificate request.
3320 NOT Nov 29 06:33:59.909322 SECUREAPP-TVS process request - Successfully sent the TVS request to TVS server, bytes written : 153
3321 DEB Nov 29 06:33:59.909364 SECUREAPP-==== TVS process request - request byte dump ====, len = 153
3322 DEB Nov 29 06:33:59.913075 SECUREAPP-TVS Service receives 1480 bytes of data
3323 DEB Nov 29 06:33:59.913270 SECUREAPP-==== TVS process response - response byte dump ====, len = 1480
3324 DEB Nov 29 06:33:59.914466 SECUREAPP-Found the work order from pending req list element at index 0

5. تظهر سجلات TVS أن الطلب تم تلقيه.

18:01:06.345 | debug 8:UNKNOWN:Incoming Phone Msg:
HEX_DUMP: Len = 153:
18:01:06.345 | debug 57 01 03 00 00 00 03 e9
18:01:06.345 | debug 00 8f 01 00 18 01 43 50
18:01:06.345 | debug 2d 38 38 36 31 2d 53 45
18:01:06.345 | debug 50 42 30 30 30 42 34 42
18:01:06.345 | debug 41 30 41 45 45 03 00 42
18:01:06.345 | debug 43 4e 3d 75 63 6d 31 31
18:01:06.345 | debug 70 75
18:01:06.345 | debug tvsPhoneDecodeMsg -
Decoded Phone Msg:
18:01:06.345 | debug Protocol Discriminator: 57
18:01:06.345 | debug MsgType : TVS_MSG_QUERY_CERT_REQ
18:01:06.345 | debug Session Id : 0
18:01:06.345 | debug Length : 143
18:01:06.345 | debug 8:UNKNOWN:TVS CORE: Rcvd Event: TVS_EV_QUERY_CERT_REQ in State: TVS_STATE_AWAIT_REQ
18:01:06.345 | debug tvsHandleQueryCertReq
18:01:06.345 | debug tvsHandleQueryCertReq : Subject Name is: CN=ucm11pub.stormin.local;OU=IST;O=Stormin;L=Brisbane;ST=QLD;C=AU
18:01:06.345 | debug tvsHandleQueryCertReq : Issuer Name is: CN=stormin-WIN2012-CA
18:01:06.345 | debug tvsHandleQueryCertReq : Serial Number is: 24000000179479B8F124AC3F3B000000000017
18:01:06.345 | debug CertificateDBCache::getCertificateInformation - Looking up the certificate cache using Unique MAP ID : 24000000179479B8F124AC3F3B000000000017CN=stormin-WIN2012-CA
18:01:06.345 | debug CertificateDBCache::getCertificateInformation - Found entry {rolecount : 2}
18:01:06.345 | debug CertificateDBCache::getCertificateInformation - {role : 0}
18:01:06.346 | debug CertificateDBCache::getCertificateInformation - {role : 3}
18:01:06.346 | debug convertX509ToDER -x509cert : 0xbb696e0

6. تظهر سجلات أجهزة التلفزيون الشهادة في متجرها وترسل أجهزة التلفزيون ردا على الهاتف.

18:01:06.346 | debug 8:UNKNOWN:Sending QUERY_CERT_RES msg
18:01:06.346 | debug tvsPhoneDecodeMsg -
Decoded Phone Msg:
18:01:06.346 | debug Protocol Discriminator: 57
18:01:06.346 | debug MsgType : TVS_MSG_QUERY_CERT_RES
18:01:06.346 | debug Session Id : 0
18:01:06.346 | debug Length : 1470
18:01:06.346 | debug ReasonInfo : 0��0���$
18:01:06.346 | debug Number of Certs : 1
18:01:06.346 | debug Cert[0] :
18:01:06.346 | debug Cert Type : 0
HEX_DUMP: Len = 1451:
18:01:06.346 | debug 30 82 05 a7 30 82 04 8f
18:01:06.346 | debug a0 03 02 01 02 02 13 24
18:01:06.346 | debug 00 00 00 17 94 79 b8 f1
18:01:06.346 | debug 24 ac 3f 3b 00 00 00 00
18:01:06.346 | debug 00 17 30 0d 06 09 2a 86
18:01:06.346 | debug 48 86 f7 0d 01 01 0b 05
18:01:06.346 | debug 00 30
18:01:06.346 | debug Version : 0
18:01:06.346 | debug PublicKey :
HEX_DUMP: Len = 4:
18:01:06.347 | debug 00 01 51 80
18:01:06.347 | debug Sending TLS Msg ..
HEX_DUMP: Len = 1480:
18:01:06.347 | debug 57 01 04 f7 00 00 03 e9
18:01:06.347 | debug 05 be 07 00 01 00 02 05
18:01:06.347 | debug ab 30 82 05 a7 30 82 04
18:01:06.347 | debug 8f a0 03 02 01 02 02 13
18:01:06.347 | debug 24 00 00 00 17 94 79 b8
18:01:06.347 | debug f1 24 ac 3f 3b 00 00 00
18:01:06.347 | debug 00 00
18:01:06.347 | debug ipAddrStr (Phone) 192.168.11.100

7. تظهر سجلات وحدة التحكم في الهاتف أنه تم التحقق من صحة الشهادة بنجاح وتم تحديث ملف CTL.

3325 INF Nov 29 06:33:59.915121 SECUREAPP-TVS added cert to TVS cache - expires in 24 hours
3333 NOT Nov 29 06:34:00.411671 SECUREAPP-Hashes match... authentication successful.
3334 WRN Nov 29 06:34:00.412849 SECUREAPP-AUTH: early exit from parser loop; old version header?
3335 WRN Nov 29 06:34:00.412945 SECUREAPP-AUTH: hdr ver 1.2 (knows only upto 1.1)
3336 NOT Nov 29 06:34:00.413031 SECUREAPP-updateFromFile: TL parse to table: CTL_SUCCESS
3337 NOT Nov 29 06:34:00.413088 SECUREAPP-updateFromFile: Updating master TL table
3338 DEB Nov 29 06:34:00.413442 SECUREAPP-TL file verified successfully.
3339 INF Nov 29 06:34:00.413512 SECUREAPP-TL file updated.

8. تظهر سجلات وحدة التحكم في الهاتف عند تنزيل الهاتف ملف ITL الخاص به.

3344 NOT Nov 29 06:34:00.458890 dgetfile(877)-GETXXTP [GT877][src=ITLSEPB000B4BA0AEE.tlv][dest=/tmp/ITLFile.tlv][serv=][serv6=][sec=0]
3345 NOT Nov 29 06:34:00.459122 dgetfile(877)-In normal mode, call - > makeXXTPrequest (V6...)

3281 NOT Dec 14 06:34:00.488697 dgetfile(851)-XXTP complete - status = 100 
3282 NOT Dec 14 06:34:00.488984 dgetfile(851)-XXTP actualserver [192.168.11.51]

9 - يتم التحقق من ملف سجل المعاملات الدولي مقابل ملف سجل المعاملات الدولي. يحتوي ملف CTL على شهادة CallManager للمجموعات الوجهة. هذا يعني أنه يمكن للهاتف التحقق من الشهادة دون الاتصال بخدمة مصدر مجموعات أجهزة التلفزيون.

3287 NOT Nov 29  06:34:00.499372 SECUREAPP-Hashes match... authentication successful.
3288 WRN Nov 29  06:34:00.500821 SECUREAPP-AUTH: early exit from parser loop; old version header?
3289 WRN Nov 29 06:34:00.500987 SECUREAPP-AUTH: hdr ver 1.2 (knows only upto 1.1)
3290 NOT Nov 29  06:34:00.501083 SECUREAPP-updateFromFile: TL parse to table: CTL_SUCCESS
3291 NOT Nov 29  06:34:00.501147 SECUREAPP-updateFromFile: Updating master TL table
3292 DEB Nov 29  06:34:00.501584 SECUREAPP-TL file verified successfully.
3293 INF Nov 29  06:34:00.501699 SECUREAPP-TL file updated.

استكشاف الأخطاء وإصلاحها

قبل عملية الترحيل، تحقق من CTL/ITL على الهواتف. يمكن العثور على مزيد من المعلومات حول كيفية التحقق من CTL/ITL هنا: https://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-communications-manager-callmanager/116232-technote-sbd-00.html#anc9