• No results found

Automatische inschrijving en vernieuwing van certificaten configureren via CAPF online CA

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Automatische inschrijving en vernieuwing van certificaten configureren via CAPF online CA"

Copied!
19
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 19 pagina )

Hele tekst

(1)

Automatische inschrijving en vernieuwing van certificaten configureren via CAPF online CA

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie

bevestig de servertijd en -datum Computer-naam bijwerken Configureren

Sjabloon voor AD-services, gebruikers- en certificaatsjabloon Configuratie van IOS-verificatie en SSL-binding

CUCM-configuratie Verifiëren

Controleer IS-certificaten

Controleer de CUCM-configuratie Verwante links

Inleiding

In dit document wordt de automatische inschrijving van certificaten beschreven en herkend via de online functie Licentie voor certificaatinstantie (CAPF) voor Cisco Unified Communications

Manager (CUCM).

Bijgedragen door Michael Mendoza, Cisco TAC Engineer.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Cisco Unified Communications Manager

X.509-certificaten

Windows Server

Windows Active Directory (AD)

Windows Internet Information Services (IS)

NT (New Technology) LAN Manager (NTLM)-verificatie

Gebruikte componenten

(2)

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

CUCM versie 12.5.1.1000-22

Windows Server 2012 R2

IP-telefoon CP-8865/firmware SIP 12-1-1SR1-4 en 12-5-1SR2.

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

 Dit document heeft betrekking op de configuratie van de functie en de bijbehorende middelen voor aanvullend onderzoek.

bevestig de servertijd en -datum

Zorg ervoor dat uw Windows server de juiste datum, tijd en tijdzone heeft ingesteld omdat dit de geldigheid van het CA (certificaatautoriteit) certificaat van de server op de basis beïnvloedt, evenals de door deze autoriteit afgegeven certificaten.

Computer-naam bijwerken

De computernaam van de server heeft standaard een willekeurige naam, zoals WIN-

730K65R6BSK. Eerst moet worden gedaan voordat u AD Domain Services toelaat om ervoor te zorgen dat de computernaam van de server wordt bijgewerkt in wat u wilt dat de hostname van de server en de root CA Issuer Name aan het eind van de installatie is; anders worden er veel extra stappen ondernomen om dit te veranderen nadat AD-diensten zijn geïnstalleerd.

Navigeren in op Local Server, selecteer de naam Computer om de systeemeigenschappen te openen

Selecteer de knop Wijzigen en type in de nieuwe computernaam:

(3)

Start de server opnieuw om de wijzigingen toe te passen

Configureren

Sjabloon voor AD-services, gebruikers- en certificaatsjabloon

Actieve indexservices inschakelen en configureren

In Server Manager selecteert u de optie Rollen en functies toevoegen, selecteert u Rol- gebaseerde of op functies gebaseerde installatie en kiest u uw server uit de pool (er moet er slechts één in de pool zijn) en vervolgens Active Directory Domain Services:

(4)

Ga verder naar selecteer de volgende knop en Installeer

Selecteer de knop Sluiten nadat de installatie is voltooid

Er verschijnt een waarschuwingstabblad onder Server Manager > AD DS met de titel Configuration vereist voor Active Directory Domain Services; Selecteer meer link en vervolgens beschikbare actie om de wizard te starten:

Volg de aanwijzingen in de wizard voor de instelling van een domein, voeg een nieuw bos toe met de gewenste naam van het Root Domain Name (gebruikt michamen.com voor dit lab) en uncheck het DNS-venster indien beschikbaar, definieer het DSRM-wachtwoord (gebruikt C1sc0123! voor dit lab ) :

U dient een Netoverheid-domeinnaam (gebruikt MICHAMEN1 in dit laboratorium) te specificeren.

Volg de wizard om de wizard te voltooien. De server start het programma opnieuw om de installatie te voltooien.

(5)

U moet de volgende keer dat u inlogt, uw nieuwe domeinnaam instellen, zoals MICHAMEN1\Administrator.

Certificaatservices inschakelen en configureren

Selecteer in Server Manager Rollen en functies toevoegen

Selecteer de optie Active Directory certificaatservices en volg de aanwijzingen om de gewenste functies toe te voegen (alle beschikbare functies waren geselecteerd uit de rolservices die ingeschakeld waren voor dit lab)

Webex-inschrijving voor de controle van rolservices

(6)

Er moet een waarschuwingstabblad worden weergegeven onder Server Manager > AD-D met de titel Configuration vereist voor Active Directory certificaatservices. Selecteer de meer link en vervolgens de beschikbare actie:

In de wizard AD-CS Post Install door deze stappen te bladeren: 

Selecteer de webrollen van de certificeringsinstantie en de certificeringsinstantie

Selecteer Enterprise CA met opties:

Root CA

Een nieuwe privé-toets maken

Private Key gebruiken - SHA1 met standaardinstellingen

Stel een Common Name in voor CA (Moet overeenkomen met de hostname van de server):

Geldigheid voor 5 jaar instellen (of meer indien gewenst)

Selecteer de volgende knop door de rest van de wizard

Creatie van certificaten voor CiscoRA

Open MMC. Selecteer het logo van Windows starten en type mmc vanaf Run

Open een MMC-venster en voeg de volgende invoegtoepassingen toe (gebruikt op verschillende punten van de configuratie) en selecteer vervolgens OK:

(7)

Selecteer Bestand > Opslaan en bewaar deze console-sessie naar bureaublad voor snelle hertoegang

Selecteer vanuit de ingesloten opties de optie certificaatsjablonen

Maak of klik een sjabloon en noem het CiscoRA

De sjabloon wijzigen. Klik met de rechtermuisknop op de afbeelding en selecteer Eigenschappen.

Selecteer het tabblad General en stel de geldigheidsduur in op 20 jaar (of een andere waarde indien gewenst). Zorg er in dit tabblad voor dat de waarden "weergavenaam" van de sjabloon en "name" overeenkomen

(8)

Selecteer het tabblad Uitbreidingen, markeer Toepassingsbeleid en selecteer Bewerken

Verwijder alle beleid dat in het venster wordt weergegeven

Selecteer het tabblad Onderwerp en selecteer de radioknop Levering in verzoek

Selecteer het tabblad Beveiliging en geef alle rechten op voor alle groepen/gebruikersnamen die worden weergegeven

(9)

De certificaatsjabloon beschikbaar maken voor afgifte

Selecteer in het MMC-venster de certificeringsinstantie en vul de map uit om de map certificaatsjablonen te vinden

Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam en Voorgenomen doel bevat

Selecteer Nieuwe sjabloon en certificaatsjabloon voor afgifte

Selecteer de nieuw gemaakte en bewerkte CiscoRA-sjabloon

Creatie van Cisco-account voor actieve map

Navigeren in naar MMC magnetisch-ins en selecteer Actieve gebruikers en computers in map

(10)

Selecteer de map Gebruikers in de boom in het linker deelvenster

Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam, Type en Beschrijving bevat

Selecteer Nieuw en Gebruiker

Maak de CiscoRA-account met gebruikersnaam/wachtwoord (ciscoCora/Cisco123 is gebruikt voor dit lab) en selecteer het wachtwoord nooit verlopen selectieteken wanneer het wordt weergegeven

IS Configuratie van verificatie en SSL-binding

inschakelen NTLM Verificatie

Navigeer naar MMC magnetisch-ins en selecteer onder de Manager Internet Information Services (IS) de naam van uw server

De lijst met functies wordt in het volgende kader weergegeven. Dubbelklik op het pictogram Verificatie

Windows-verificatie markeren en in het veld Acties (rechter venster) selecteren de optie Inschakelen

In het deelvenster met acties worden de optie Geavanceerde instellingen weergegeven;

Selecteer het item en uncheck Schakel Kernel-mode verificatie in

(11)

Selecteer Providers en plaats NTML in, onderhandelt en onderhandelt optioneel:Kerberos

Het identiteitsbewijs voor de webserver genereren

Als de case al niet bestaat, moet u een certificaat en een identiteitsbewijs voor uw Web service genereren dat door de CA is ondertekend omdat CiscoRA er niet aan kan verbinden als het certificaat van de webserver zelf ondertekend is:

Selecteer uw webserver vanuit IS en dubbelklik op het pictogram servercertificaten:

(12)

U kunt er standaard één certificaat zien dat in deze lijst staat. dat het zelf-ondertekende CA- cert is; Selecteer in het menu Handelingen de optie Domain Certificate maken. Voer de waarden in de wizard voor de configuratie in om een nieuw certificaat te maken. Zorg ervoor dat de Common name een oplosbare FQDN is (Full Qualified Domain Name) en selecteer vervolgens Volgende:

Selecteer het certificaat van uw wortel CA als emittent en selecteer Finish:

(13)

U kunt zowel het CA-certificaat als het identiteitsbewijs van uw webserver in de lijst zien:

Web Server SSL-binding

Selecteer een site in de boomweergave (u kunt de standaard website gebruiken of de website korter maken naar specifieke sites) en selecteer Bindingen in het deelvenster Handelingen.

Dit brengt de bindings redacteur op die u toelaat om verbindingen voor uw website te creëren, te bewerken en te wissen. Selecteer Add om uw nieuwe SSL-binding aan de site toe te

voegen.

De standaardinstellingen voor een nieuwe binding worden op HTTP ingesteld op poort 80.

Selecteer https in de vervolgkeuzelijst Type. Selecteer het zelf-ondertekende certificaat dat u in de vorige sectie hebt gemaakt, uit de vervolgkeuzelijst SSL-certificaat en selecteer

vervolgens OK.

(14)

U hebt nu een nieuwe SSL-binding op uw site en het enige dat overblijft, is om te controleren of het werkt door Bladeren te selecteren *:443 (https) optie uit het menu en om te zorgen dat de standaard-IS-webpagina HTTPS gebruikt:

(15)

Vergeet niet de IS-service opnieuw te starten nadat de configuratie is gewijzigd. Gebruik de optie Herstart in het deelvenster Handelingen.

CUCM-configuratie

Navigeer naar uw AD CS-webpagina (https://YOUR_SERVER_FQDN/certsrv/) en download het CA-certificaat

(16)

Navigeer in Security > certificaatbeheer van de OS-beheerpagina en selecteer de knop Upload Certificate/certificaatketting om het CA-certificaat te uploaden dat is ingesteld op CAPF-trust.

... Op dit punt is het ook een goed idee om dat zelfde CA certificaat als CallManager-trust te uploaden omdat het nodig is als de veilige signaleringsencryptie voor de endpoints is

ingeschakeld (of zal worden geactiveerd); wat waarschijnlijk is als het cluster in Gemengde modus is.

Navigeer naar Systeem > Servicecategorieën. Selecteer de Unified CM Publisher in het serverveld en de Proxy-functie van Cisco certificaatinstantie in het veld Service.

Stel de waarde van de Uitgever van het Certificaat in aan Online CA en voer de waarden voor de Online CA parameters in. Zorg ervoor dat u FQDN, de naam van de certificeringssjabloon die eerder is gemaakt (CiscoRA), het CA-type als Microsoft CA gebruikt en gebruik de

aanmeldingsgegevens van de CiscoRA gebruikersaccount die eerder is gemaakt

(17)

Een pop-venster geeft u aan dat de CAPF-service opnieuw gestart moet worden. Maar eerst activeert u de Cisco-service voor het invoeren van een certificaat via Cisco Unified Services >

Gereedschappen > Service Activering, selecteert u de Uitgever in het veld Server en controleert u het selectieknop voor Cisco-certificering en vervolgens selecteert u de knop Opslaan:

Verifiëren

Controleer IS-certificaten

Van een browser van het web in een PC met connectiviteit aan de server (bij voorkeur in het zelfde netwerk als de uitgever van CUCM) navigeer aan URL:

https://YOUR_SERVER_FQDN/certsrv/

Er wordt een waarschuwing weergegeven dat het certificaat niet is vertrouwd. Voeg de uitzondering toe en controleer het certificaat. Zorg ervoor dat deze overeenkomt met de verwachte FQDN:

(18)

Nadat u de uitzondering accepteert, moet u authentiek verklaren; Op dit punt moet u de aanmeldingsgegevens gebruiken die eerder voor de CiscoRA-account zijn ingesteld:

Na authenticatie moet u de AD CS (Active Directory Certificate Services) welkomstpagina kunnen zien:

Controleer de CUCM-configuratie

Volg de stappen die u normaal volgt om een LSC-certificaat op een van de telefoons te installeren.

Stap 1. Open de pagina CallManager-beheer, apparaat en vervolgens telefoon Stap 2. Selecteer de knop Find om de telefoons weer te geven

(19)

Stap 3. Selecteer de telefoon die u wilt installeren op de LSC

Stap 4. Scrolt naar informatie van de certificeringsinstantie Proxy-functie (CAPF) Stap 5. Selecteer de optie Installatie/upgrade van de licentieverwerking.

Stap 6. Selecteer de verificatiemodus. (Door Null String is fijn voor testdoeleinden)

Stap 7. Scrolt naar de bovenkant van de pagina en selecteer Opslaan en pas Config voor de telefoon toe.

Stap 8. Nadat de telefoon opnieuw is opgestart en opnieuw is geregistreerd, gebruikt u het LSC Statusfilter om te bevestigen dat de LSC met succes is geïnstalleerd.

Vanaf de kant van de AD server open MMC en breid de certificeringsinstantie uit om de map van de afgegeven certificaten te selecteren

Het ingangssignaal voor de telefoon wordt in de summiere weergave weergegeven, dit zijn een aantal van de weergegeven details: ID aanvragen: Uniek volgnummerNaam aanvragen:

De gebruikersnaam voor de geconfigureerde CiscoRA-account moet worden

weergegevencertificaatsjabloon: De naam van de gemaakte CiscoRA-sjabloon moet worden weergegevenGebruikersnaam: Het model van de telefoon dat door de apparatennaam wordt toegevoegd moet worden weergegevenDatum van inwerkingtreding en vervaldatum van het certificaat

Verwante links

Probleemoplossing voor CAPF online CA

Technische ondersteuning en documentatie – Cisco Systems

Referenties

Download het nu ( PDF - 19 pagina - 2.00 MB )

GERELATEERDE DOCUMENTEN

L2TP configureren via IPSec tussen PIX-firewall en Windows 2000 PC met behulp van certificaten

Om L2TP via IP security (IPsec) te configureren van externe Microsoft Windows 2000- en XP- clients naar een bedrijfslocatie met een versleutelde methode, raadpleegt u

Hoe werkt de online inschrijving?

Het eerste onderdeel is het kiezen van jouw voorkeurswoningen via de kavelkaart, het tweede onderdeel is het invullen van het inschrijfformulier en het derde onderdeel is

Inloggen van FirePOWER-module voor systeem/verkeersgebeurtenissen configureren met ASDM (on-box beheer)

Als u een Syrische server wilt configureren voor verkeersgebeurtenissen, navigeer dan naar Configuration > ASA Firepower Configuration > Policy > Actions en klik op

Instellingen afstandsbediening voor verificatie (RADIUS) server op een switch configureren

Ga naar de pagina Bestandsbewerkingen om de configuratie permanent op te slaan, of klik op het  pictogram in het bovenste gedeelte van de pagina.. Klik anders

LLDP-poortinstellingen (Link Layer Discovery Protocol) op een switch configureren via de opdrachtregel (CLI)

LLDP kan worden gebruikt in scenario's waar u moet werken tussen apparaten die niet voor eigen rekening van Cisco zijn en apparaten die voor eigen rekening van Cisco zijn.. De

Via deze link kunt u de toets online maken Interne Geneeskunde

Op de Spoedeisende Hulp komt een patiënt met ernstige spierpijnen die sinds drie dagen aanwezig zijn.. Vier dagen geleden is deze patiënt begonnen met een kuur

OSPF-verificatie op een virtuele link configureren

Index 1/2, retransmission queue length 0, number of retransmission 1 First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0) Last retransmission scan length is 1, maximum is 1 Last retransmission

AnyConnect VPN op FTD configureren met Cisco ISE als RADIUS-server met Windows Server 2012 Root CA

AnyConnect VPN op FTD configureren met Cisco ISE als RADIUS-server met Windows Server 2012 Root