通過CAPF線上CA配置自動證書註冊和續訂

簡介

本檔案介紹透過Cisco Unified Communications Manager(CUCM)的Certificate Authority Proxy Function(CAPF)Online功能進行的自動憑證註冊和續訂。

作者：Michael Mendoza，思科TAC工程師。

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合通訊管理員
• X.509憑證
• Windows伺服器
• Windows Active Directory(AD)
• Windows Internet資訊服務(IIS)
• NT（新技術）LAN管理員(NTLM)驗證
  

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CUCM版本12.5.1.10000-22
• Windows Server 2012 R2
• IP電話CP-8865/韌體：SIP 12-1-1SR1-4和12-5-1SR2。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

 本文說明該功能的設定和相關資源以供其他研究之用。

驗證伺服器時間和日期

確保Windows伺服器配置了正確的日期、時間和時區，因為它影響伺服器的根CA（證書頒發機構）證書及其頒發的證書的有效時間。

更新伺服器電腦名稱

預設情況下，伺服器的電腦名具有隨機名稱，例如WIN-730K65R6BSK。啟用AD域服務之前需要做的第一件事是，確保在安裝結束時，將伺服器的電腦名更新為您希望伺服器的主機名和根CA頒發者名稱的名稱；否則，在安裝AD服務之後，需要執行許多額外的步驟來更改此設定。

• 導航到Local Server，選擇Computer name以開啟System Properties
• 選擇Change按鈕並鍵入新的電腦名稱：

• 重新啟動伺服器以應用更改

設定

AD服務、使用者和證書模板

啟用和配置Active Directory服務

• 在伺服器管理器中選擇新增角色和功能選項，選擇基於角色或基於功能的安裝，然後從池中選擇伺服器（池中必須只有一個），然後選擇Active Directory域服務：

• 繼續選擇Next按鈕，然後選擇Install
• 安裝完成後，選擇Close按鈕
• 「Server Manager > AD DS」下面將出現一個警告頁籤，標題是「Configuration required for Active Directory Domain Services（Active Directory域服務所需的配置）」；選擇「more」連結，然後選擇可用操作以啟動安裝嚮導：

• 按照域設定嚮導中的提示操作，新增一個具有所需根域名的林(本實驗使用michamen.com),並在可用時取消選中DNS框，定義DSRM密碼(本實驗使用C1sc0123! C1sc0123!):

• 需要指定NetBIOS域名(本實驗中使用了MICHAMEN1)。
• 按照嚮導完成操作。然後伺服器重新啟動以完成安裝。
• 下次登入時需要指定新域名。 例如MICHAMEN1\Administrator。

啟用和配置證書服務

• 在「伺服器管理器」中，選擇「新增角色和功能」
• 選擇Active Directory證書服務，然後按照提示新增所需功能（所有可用功能均從為此實驗啟用的角色服務中選擇）
• 對於角色服務，請檢查證書頒發機構Web註冊

• 在Server Manager >AD DS下必須出現一個警告頁籤，標題為Active Directory證書服務所需的配置；選擇more連結，然後選擇可用操作：

• 在AD-CS安裝後配置嚮導中，導航到以下步驟： 
• 選擇證書頒發機構和證書頒發機構Web註冊角色
• 選擇具有下列選項的企業CA:
• 根CA
• 建立新的私鑰
• 使用私鑰 — SHA1和預設設定
• 為CA設定公用名稱（必須與伺服器的主機名匹配）：

• 將有效期設定為5年（如果需要，還可以設定更多）
• 通過嚮導的其餘部分選擇下一步按鈕

為CiscoRA建立證書模板

• 開啟MMC。選擇Windows開始徽標，然後在「運行」中鍵入mmc
• 開啟MMC視窗並新增以下管理單元（用於配置的不同點），然後選擇確定:

• 選擇File > Save，並將此控制檯會話儲存到案頭以快速重新訪問
• 從管理單元中，選擇Certificate Templates
• 建立或克隆模板(最好是「根證書頒發機構」模板，並將其命名為CiscoRA

• 修改模板。按一下右鍵該屬性並選擇屬性
• 選擇General頁籤，將有效期設定為20年（如果需要，也可以設定其他值）。在此頁籤中，確保模板的「顯示名稱」和「名稱」值匹配

• 選擇Extensions頁籤，突出顯示Application Policies，然後選擇Edit

• 刪除在出現的視窗中顯示的所有策略
• 選擇「Subject Name」選項卡，然後選擇「Supply in Request」單選按鈕
• 選擇Security頁籤並授予顯示的所有組/使用者名稱的所有許可權

使證書模板可供頒發

• 在MMC管理單元中選擇證書頒發機構，然後展開資料夾樹以找到「證書模板」檔案夾
• 在包含「名稱」和「目標用途」的框架中的空白處按一下右鍵
• 選擇New和Certificate Template to Issue
• 選擇新建立和編輯的CiscoRA模板

Active Directory CiscoRA帳戶建立

• 導航到MMC管理單元，然後選擇Active Directory使用者和電腦
• 在最左窗格中的樹中選擇Users資料夾
• 在包含「名稱」、「型別」和「說明」的框架中的空白處按一下右鍵
• 選擇New和User
• 使用使用者名稱/密碼(ciscora/Cisco123用於本實驗)建立CiscoRA帳戶，並在顯示時選中Password never expires覈取方塊

IIS 身份驗證和SSL繫結配置

啟用 NTLM 驗證

• 導航到MMC管理單元，然後在Internet資訊服務(IIS)管理器管理單元下選擇伺服器的名稱
• 功能清單顯示在下一幀中。按兩下Authentication功能圖示

• 選中Windows Authentication，然後在「操作」框架（右窗格）中選擇Enable選項

• 操作窗格顯示Advanced Settings選項；選擇該選項並取消選中Enable Kernel-mode authentication

• 選擇Providers並排序NTML，然後協商。

生成Web伺服器的身份證書

如果尚未出現這種情況，您需要為Web服務生成證書和身份證書，該證書由CA簽名，因為Web伺服器的證書是自簽名的，CiscoRA無法連線到該服務：

• 從IIS管理單元選擇Web伺服器，然後按兩下Server Certificates(伺服器證書)功能圖示：

• 預設情況下，您可以看到此處列出的一個證書；即自簽名的根CA證書；從操作選單中選擇建立域證書選項。在配置嚮導中輸入值，以建立新證書。確保公用名是可解析的FQDN（完全限定域名），然後選擇下一步:

• 選擇您的根CA的證書作為頒發者，然後選擇完成:

• 您可以同時檢視列出的CA證書和Web伺服器的身份證書：

Web伺服器SSL繫結

• 在樹檢視中選擇一個站點（您可以使用預設網站或使其更細化到特定站點），然後從「操作」窗格中選擇繫結。此時將顯示繫結編輯器，允許您建立、編輯和刪除網站的繫結。選擇Add以將新的SSL繫結新增到站點。

• 新繫結的預設設定被設定為埠80上的HTTP。在Type下拉選單中選擇https。從SSL Certificate下拉選單中選擇在上一節中建立的自簽名證書，然後選擇OK。

• 現在，您的站點上有一個新的SSL繫結，剩下的只是從選單中選擇Browse *:443(https)選項，確保預設的IIS網頁使用HTTPS，以驗證其是否有效：

• 請記得在配置更改後重新啟動IIS服務。使用「操作」窗格中的重新啟動選項。

CUCM配置

• 導航到AD CS網頁(https://YOUR_SERVER_FQDN/certsrv/)並下載CA證書

• 從OS Administration頁面導航到Security > Certificate Management，然後選擇Upload Certificate/Certificate chain按鈕，以上傳CA證書，並將purpose設定為CAPF-trust。

...此時，最好上傳與CallManager-trust相同的CA證書，因為需要為端點啟用（或將啟用）安全信令加密；如果集群處於混合模式，則可能需要此證書。

• 導覽至System > Service Parameters。在伺服器欄位中選擇Unified CM Publisher伺服器，在「服務」欄位中選擇Cisco Certificate Authority Proxy功能
• 將Certificate Issuer to Endpoint的值設定為Online CA，並在Online CA Parameters欄位中輸入值。確保使用Web伺服器的FQDN、之前建立的證書模板的名稱(CiscoRA)、作為Microsoft CA的CA型別，並使用之前建立的CiscoRA使用者帳戶的憑據

• 彈出視窗通知您需要重新啟動CAPF服務。但是首先，通過Cisco Unified Serviceability > Tools > Service Activation啟用思科證書註冊服務，在Server欄位中選擇Publisher並選中Cisco Certificate Enrollment Service覈取方塊，然後選擇Save按鈕：

驗證

驗證IIS證書

• 從連線到伺服器的PC的Web瀏覽器（最好與CUCM發佈伺服器位於同一網路）導航至URL:

https://YOUR_SERVER_FQDN/certsrv/

• 顯示證書不受信任警報。新增例外並檢查證書。確保它與預期的FQDN匹配：

• 接受例外後，您需要進行驗證；此時您需要使用之前為CiscoRA帳戶配置的憑證：

• 經過身份驗證後，您必須能夠檢視AD CS（Active Directory證書服務）歡迎頁面：

驗證CUCM配置

執行通常要執行的步驟，以便在其中一台電話上安裝LSC證書。

步驟1.開啟CallManager Administration頁面，依次開啟Device和Phone

步驟2.選擇Find按鈕以顯示電話

步驟3.選擇要安裝LSC的電話

步驟4.向下滾動至憑證授權單位代理功能(CAPF)資訊

步驟5.從「Certificate Operation（證書操作）」中選擇「Install/Upgrade（安裝/升級）」。

步驟6.選擇Authentication Mode。（通過Null字串可以進行測試）

步驟7.滾動到頁面的頂部，然後為電話選擇save，然後選擇Apply Config。

步驟8.電話重新啟動並註冊回後，使用LSC狀態過濾器確認LSC安裝成功。

• 從AD伺服器側開啟MMC，展開證書頒發機構管理單元以選擇「已頒發的證書」資料夾
• 電話條目顯示在摘要檢視內，以下是顯示的一些詳細資訊：
  • 請求ID：唯一序列號
  • 請求者名稱：必須顯示已配置的CiscoRA帳戶的使用者名稱
  • 證書模板：必須顯示所建立的CiscoRA模板的名稱
  • 已發出公用名稱：必須顯示附加在裝置名稱中的電話型號
  • 證書生效日期和證書到期日期

相關連結

• CAPF線上CA故障排除
• 技術支援與文件 - Cisco Systems