為CUCM建立Windows CA證書模板

簡介

本文描述在基於Windows Server的證書頒發機構(CA)上建立證書模板的逐步過程。

必要條件

需求

思科建議您瞭解以下主題：

• CUCM版本11.5(1)。
• Windows Server管理基礎知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CUCM版本11.5(1)。
• 安裝了CA服務的Microsoft Windows Server 2012 R2。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

這些證書模板符合每種型別的Cisco Unified Communications Manager(CUCM)證書的X.509擴展要求。

外部CA可以簽署五種型別的憑證：

憑證	使用	受影響的服務
Callmanager	在安全裝置註冊時提供，可以簽署證書信任清單(CTL)/內部信任清單(ITL)檔案，用於與其他伺服器(如安全會話發起協定(SIP)中繼)的安全互動。	· Cisco Call Manager · Cisco CTI Manager · Cisco TFTP
tomcat	針對安全超文本傳輸協定(HTTPS)互動提供。	· Cisco Tomcat ·單一登入(SSO) ·分機移動 ·公司目錄
ipsec	用於生成備份檔案，以及與媒體網關控制協定(MGCP)或H323網關的IP安全(IPsec)互動。	· Cisco DRF Primary · Cisco DRF Local
CAPF	用於生成電話的本地重要證書(LSC)。	·思科憑證授權單位代理功能
電視	用於在電話無法驗證未知證書時建立與信任驗證服務(TVS)的連線。	·思科信任驗證服務

注意:ipsec證書與Cisco DRF Primary和Cisco DRF Local無關，因為從14開始，在較新版本中改用Tomcat證書。沒有計畫將此更改新增到12.5或更低版本。

其中每個憑證都有一些需要設定的X.509擴充要求，否則您可能會在上述任何服務上遇到錯誤行為：

憑證	X.509金鑰用法	X.509擴充金鑰使用
Callmanager	·數位簽章 ·金鑰加密 ·資料加密	· Web伺服器身份驗證 · Web客戶端身份驗證
tomcat	·數位簽章 ·金鑰加密 ·資料加密	· Web伺服器身份驗證 · Web客戶端身份驗證
ipsec	·數位簽章 ·金鑰加密 ·資料加密	· Web伺服器身份驗證 · Web客戶端身份驗證 · IPsec終端系統
CAPF	·數位簽章 ·證書簽名 ·金鑰加密	· Web伺服器身份驗證 · Web客戶端身份驗證
電視	·數位簽章 ·金鑰加密 ·資料加密	· Web伺服器身份驗證 · Web客戶端身份驗證

有關詳細資訊，請參閱Cisco Unified Communications Manager安全指南

設定

步驟 1.在Windows Server上，導航到Server Manager > Tools > Certification Authority，如下圖所示。

步驟 2.選擇您的CA，然後導航到Certificate Templates，按一下右鍵清單並選擇Manage，如下圖所示。

Callmanager/Tomcat/TVS模板

接下來的影象隻顯示CallManager模板的建立；但是可以按照相同的步驟為Tomcat和TVS服務建立證書模板。唯一的區別是確保分別的服務名稱用於步驟2中的每個新模板。

步驟 1.找到Web Server模板，按一下右鍵該模板，然後選擇Duplicate Template，如下圖所示。

步驟 2.在General下，您可以更改證書模板的名稱、顯示名稱、有效性和其他一些變數。

步驟 3.導覽至Extensions > Key Usage > Edit，如下圖所示。

步驟 4.選擇這些選項並選擇確定，如下圖所示。

• 數位簽章
• 僅允許使用金鑰加密進行金鑰交換（金鑰加密）
• 允許加密使用者資料

步驟 5.導覽至Extensions > Application Policies > Edit > Add，如下圖所示。

步驟 6.搜尋Client Authentication，選擇該視窗並在該視窗和上一個視窗上選擇OK，如下圖所示。

步驟 7.回到模板上，選擇Apply，然後選擇OK。

步驟 8.關閉「Certificate Template Console」視窗，然後在第一個視窗上導覽至New > Certificate Template to Issue，如下圖所示。

步驟 9.選擇新的CallManager CUCM模板，然後選擇OK，如下圖所示。

步驟 10.根據需要重複前面的所有步驟，為Tomcat和TVS服務建立證書模板。

IPsec模板

步驟 1.找到Web Server模板，按一下右鍵該模板，然後選擇複製模板，如下圖所示。

步驟 2.在General下，您可以變更憑證模板的名稱、顯示名稱、有效性和其他一些變數。

步驟 3.導覽至Extensions > Key Usage > Edit，如下圖所示。

步驟 4.選擇這些選項並選擇確定，如下圖所示。

• 數位簽章
• 僅允許使用金鑰加密進行金鑰交換（金鑰加密）
• 允許加密使用者資料

步驟 5.導覽至Extensions > Application Policies > Edit > Add，如下圖所示。

步驟 6.搜尋Client Authentication，選擇它，然後OK，如下圖所示。

步驟 7.再次選擇Add，搜尋IP安全終端系統，選擇它，然後在此視窗和上一個視窗中選擇OK。

步驟 8.回到模板上，選擇Apply，然後選擇OK，如下圖所示。

步驟 9.關閉「Certificate Templates Console」視窗，然後在第一個視窗上導覽至New > Certificate Template to Issue，如下圖所示。

步驟 10.選擇新的IPSEC CUCM模板，然後選擇OK，如下圖所示。

CAPF模板

步驟 1.找到根CA模板，然後按一下右鍵該模板。然後選擇Duplicate Template，如下圖所示。

步驟 2.在General下，您可以更改證書模板的名稱、顯示名稱、有效性和其他一些變數。

步驟 3.導覽至Extensions > Key Usage > Edit，如下圖所示。

步驟 4.選擇這些選項並選擇確定，如下圖所示。

• 數位簽章
• 證書簽名
• CRL簽名

步驟 5.導覽至Extensions > Application Policies > Edit > Add，如下圖所示。

步驟 6.搜尋Client Authentication，選擇它，然後選擇OK，如下圖所示。

步驟 7.再次選擇Add，搜尋IP安全終端系統，選擇它，然後在此視窗和上一個視窗中選擇OK，如下圖所示。

步驟 8.回到模板上，選擇Apply，然後選擇OK，如下圖所示。

步驟 9.關閉「Certificate Templates Console」視窗，然後在第一個視窗上導覽至New > Certificate Template to Issue，如下圖所示。

步驟 10.選擇新的CAPF CUCM模板，然後選擇OK，如下圖所示。

生成證書簽名請求

使用此示例可使用新建立的模板生成CallManager證書。相同的過程可用於任何證書型別，您只需要相應地選擇證書和模板型別：

步驟 1.在CUCM上，導航到OS Administration > Security > Certificate Management > Generate CSR。

步驟 2.選擇這些選項，然後選擇Generate，如下圖所示。

• 證書用途：CallManager
• 分佈:<這可以只用於一台伺服器或多SAN>

 步驟 3.系統生成確認消息，如下圖所示。

步驟 4.在憑證清單上，尋找型別為CSR Only的專案，然後選擇它，如下圖所示。

步驟 5.在彈出視窗中，選擇Download CSR，然後將檔案儲存到您的電腦上。

步驟 6.在瀏覽器上，導航到此URL，然後輸入域控制器管理員憑據：https://<yourWindowsServerIP>/certsrv/。

步驟 7.導覽至Request a certificate > advanced certificate request，如下圖所示。

步驟 8.開啟CSR檔案並複製其所有內容：

步驟 9.將CSR貼上到Base-64-encoded certificate request欄位。在Certificate Template下，選擇正確的模板，然後選擇Submit，如下圖所示。

步驟 10.最後，選擇Base 64 encoded和Download certificate chain。 現在可以將生成的檔案上傳到CUCM。

驗證

驗證過程實際上是配置過程的一部分。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。