CUCM第三方CA簽署LSC生成和導入配置示例

簡介

憑證授權單位代理功能(CAPF)本機重要憑證(LSC)是本機簽署的憑證。但是，您可能需要電話使用第三方證書頒發機構(CA)簽名的LSC。本檔案說明可協助您達成此目標的程式。

必要條件

需求

思科建議您瞭解思科統一通訊管理器(CUCM)。

採用元件

本文檔中的資訊基於CUCM版本10.5(2)；但是，此功能在版本10.0及更高版本中起作用。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

以下是此程式中所涉及的步驟，每個步驟都會在自己的小節中詳細說明：

1. 上傳CA根證書
2. 將證書頒發的離線CA設定為端點
3. 為電話生成證書簽名請求(CSR)
4. 將產生的CSR從思科統一通訊管理器(CUCM)獲取到FTP伺服器
5. 從CA獲取電話證書
6. 將.cer轉換為.der格式
7. 將憑證(.der)壓縮為.tgz格式
8. 將.tgz檔案傳輸至安全殼層FTP (SFTP)伺服器
9. 將.tgz檔案導入CUCM伺服器
10. 使用Microsoft Windows 2003憑證授權單位簽署CSR
11. 從CA獲取根證書

上傳CA根證書

1. 登入思科統一作業系統(OS)管理Web GUI。
   
   
2. 導覽至Security Certificate Management。
   
   
3. 按一下「Upload Certificate/Certificate chain」。
   
   
4. 在「證書用途」下選擇CallManager-trust。
   
   
5. 瀏覽到CA的根證書，然後按一下Upload。
   
   

   

將證書頒發的離線CA設定為端點

1. 登入到CUCM管理Web GUI。
   
   
2. 導航到系統>服務引數。
   
   
3. 選擇CUCM伺服器並為該服務選擇Cisco Certificate Authority Proxy Function。
   
   
4. 為「證書頒發給終端」選擇離線CA。
   
   

   

為電話生成證書簽名請求(CSR)

1. 登入到CUCM管理Web GUI。
   
   
2. 導航到裝置電話。
   
   
3. 選擇其LSC必須由外部CA簽署的電話。
   
   
4. 將裝置安全配置檔案更改為安全配置檔案（如果不存在，請在安全電話安全配置檔案上增加一個系統）。
   
   
5. 在電話配置頁的CAPF部分下，選擇Install/Upgrade 進行認證操作。對於其LSC必須由外部CA簽名的所有電話，請完成此步驟。有關證書操作狀態，您應該看到操作掛起。
   
   

   

   
   
   電話安全配置檔案（7962型號）。
   
   

   

   
   
   在安全外殼(SSH)會話中輸入utils capf csr count命令，以便確認是否生成CSR。（此螢幕截圖顯示已為三部電話生成CSR。）
   
   

   

   
   
   

   註：電話CAPF部分下的證書操作狀態仍處於操作掛起狀態。

獲取從CUCM到FTP（或TFTP）伺服器生成的CSR

1. 透過SSH登入CUCM伺服器。
   
   
2. 執行utils capf csr dump命令。此螢幕截圖顯示正在傳輸到FTP的轉儲。
   
   

   

   
   
   
3. 使用WinRAR打開轉儲檔案，然後將CSR提取到本地電腦。
   
   

   

獲取電話證書

1. 將電話的CSR傳送到CA。
   
   
2. CA會提供您簽署的憑證。
   
   

   注意：您可以使用Microsoft Windows 2003 Server作為CA。稍後會說明使用Microsoft Windows 2003 CA簽署CSR的程式。

將.cer轉換為.der格式

如果收到的證書是.cer格式，則將其重新命名為.der。

將憑證(.der)壓縮為.tgz格式

可以使用CUCM伺服器的根(Linux)來壓縮證書格式。您也可以在一般Linux系統中執行此動作。

1. 使用SFTP伺服器將所有簽名證書傳輸到Linux系統。
   
   

   

   
   
   
2. 輸入以下命令可將所有.der證書壓縮到.tgz檔案中。
   
   

   tar -zcvf 
            
            
              .tgz    *.der 
            

   
   
   

   

將.tgz檔案傳輸到SFTP伺服器

完成螢幕截圖中所示的步驟，以便將.tgz檔案傳輸到SFTP伺服器。

將.tgz檔案導入CUCM伺服器

1. 透過SSH登入CUCM伺服器。
   
   
2. 執行utils capf cert import命令。
   
   

   

   
   
   成功匯入憑證後，您會看到CSR計數變為零。
   
   

   

使用Microsoft Windows 2003憑證授權單位簽署CSR

這是Microsoft Windows 2003 - CA的可選資訊。

1. 開啟憑證授權單位。
   
   

   

   
   
   
2. 按一下右鍵CA並導航到所有任務>提交新請求……
   
   

   

   
   
   
3. 選擇CSR並按一下Open。為所有CSR執行此操作。
   
   

   

   
   
   所有開啟的CSR都會顯示在[擱置請求]資料夾中。
   
   
4. 按一下右鍵每個任務並導航到所有任務>頒發以頒發證書。對所有待處理的請求執行此操作。
   
   

   

   
   
   
5. 要下載證書，請選擇頒發的證書。
   
   
6. 按一下右鍵證書並按一下Open。
   
   

   

   
   
   
7. 您可以看到憑證詳細資訊。要下載證書，請選擇「詳細資訊」頁籤並選擇複製到檔案……
   
   

   

   
   
   
8. 在「Certificate Export Wizard」中，選擇DER encoded binary X.509 (.CER)。
   
   

   

   
   
   
9. 為檔案命名適當的名稱。本示例使用<MAC>.cer格式。
   
   

   

   
   
   
10. 透過此過程，在「已頒發的證書」部分下獲取其他電話的證書。

從CA獲取根證書

1. 打開證書頒發機構。
   
   
2. 要下載根CA，請完成此螢幕截圖中所示的步驟。
   
   

   

驗證

使用本節內容，確認您的組態是否正常運作。

1. 轉到電話配置頁。
   
   
2. 在CAPF部分下，證書操作狀態應顯示為Upgrade Success。
   
   

   

注意：有關詳細資訊，請參閱生成和導入第三方CA簽名的LSC。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。