Automatische inschrijving en vernieuwing van certificaten configureren via CAPF online CA
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Achtergrondinformatie
bevestig de servertijd en -datum Computer-naam bijwerken Configureren
Sjabloon voor AD-services, gebruikers- en certificaatsjabloon Configuratie van IOS-verificatie en SSL-binding
CUCM-configuratie Verifiëren
Controleer IS-certificaten
Controleer de CUCM-configuratie Verwante links
Inleiding
In dit document wordt de automatische inschrijving van certificaten beschreven en herkend via de online functie Licentie voor certificaatinstantie (CAPF) voor Cisco Unified Communications
Manager (CUCM).
Bijgedragen door Michael Mendoza, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Cisco Unified Communications Manager
●
X.509-certificaten
●
Windows Server
●
Windows Active Directory (AD)
●
Windows Internet Information Services (IS)
●
NT (New Technology) LAN Manager (NTLM)-verificatie
●
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
CUCM versie 12.5.1.1000-22
●
Windows Server 2012 R2
●
IP-telefoon CP-8865/firmware SIP 12-1-1SR1-4 en 12-5-1SR2.
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
Dit document heeft betrekking op de configuratie van de functie en de bijbehorende middelen voor aanvullend onderzoek.
bevestig de servertijd en -datum
Zorg ervoor dat uw Windows server de juiste datum, tijd en tijdzone heeft ingesteld omdat dit de geldigheid van het CA (certificaatautoriteit) certificaat van de server op de basis beïnvloedt, evenals de door deze autoriteit afgegeven certificaten.
Computer-naam bijwerken
De computernaam van de server heeft standaard een willekeurige naam, zoals WIN-
730K65R6BSK. Eerst moet worden gedaan voordat u AD Domain Services toelaat om ervoor te zorgen dat de computernaam van de server wordt bijgewerkt in wat u wilt dat de hostname van de server en de root CA Issuer Name aan het eind van de installatie is; anders worden er veel extra stappen ondernomen om dit te veranderen nadat AD-diensten zijn geïnstalleerd.
Navigeren in op Local Server, selecteer de naam Computer om de systeemeigenschappen te openen
●
Selecteer de knop Wijzigen en type in de nieuwe computernaam:
●
Start de server opnieuw om de wijzigingen toe te passen
●
Configureren
Sjabloon voor AD-services, gebruikers- en certificaatsjabloon
Actieve indexservices inschakelen en configureren
In Server Manager selecteert u de optie Rollen en functies toevoegen, selecteert u Rol- gebaseerde of op functies gebaseerde installatie en kiest u uw server uit de pool (er moet er slechts één in de pool zijn) en vervolgens Active Directory Domain Services:
●
Ga verder naar selecteer de volgende knop en Installeer
●
Selecteer de knop Sluiten nadat de installatie is voltooid
●
Er verschijnt een waarschuwingstabblad onder Server Manager > AD DS met de titel Configuration vereist voor Active Directory Domain Services; Selecteer meer link en vervolgens beschikbare actie om de wizard te starten:
●
Volg de aanwijzingen in de wizard voor de instelling van een domein, voeg een nieuw bos toe met de gewenste naam van het Root Domain Name (gebruikt michamen.com voor dit lab) en uncheck het DNS-venster indien beschikbaar, definieer het DSRM-wachtwoord (gebruikt C1sc0123! voor dit lab ) :
●
U dient een Netoverheid-domeinnaam (gebruikt MICHAMEN1 in dit laboratorium) te specificeren.
●
Volg de wizard om de wizard te voltooien. De server start het programma opnieuw om de installatie te voltooien.
●
U moet de volgende keer dat u inlogt, uw nieuwe domeinnaam instellen, zoals MICHAMEN1\Administrator.
●
Certificaatservices inschakelen en configureren
Selecteer in Server Manager Rollen en functies toevoegen
●
Selecteer de optie Active Directory certificaatservices en volg de aanwijzingen om de gewenste functies toe te voegen (alle beschikbare functies waren geselecteerd uit de rolservices die ingeschakeld waren voor dit lab)
●
Webex-inschrijving voor de controle van rolservices
●
Er moet een waarschuwingstabblad worden weergegeven onder Server Manager > AD-D met de titel Configuration vereist voor Active Directory certificaatservices. Selecteer de meer link en vervolgens de beschikbare actie:
●
In de wizard AD-CS Post Install door deze stappen te bladeren:
●
Selecteer de webrollen van de certificeringsinstantie en de certificeringsinstantie
●
Selecteer Enterprise CA met opties:
●
Root CA
●
Een nieuwe privé-toets maken
●
Private Key gebruiken - SHA1 met standaardinstellingen
●
Stel een Common Name in voor CA (Moet overeenkomen met de hostname van de server):
●
Geldigheid voor 5 jaar instellen (of meer indien gewenst)
●
Selecteer de volgende knop door de rest van de wizard
●
Creatie van certificaten voor CiscoRA
Open MMC. Selecteer het logo van Windows starten en type mmc vanaf Run
●
Open een MMC-venster en voeg de volgende invoegtoepassingen toe (gebruikt op verschillende punten van de configuratie) en selecteer vervolgens OK:
●
Selecteer Bestand > Opslaan en bewaar deze console-sessie naar bureaublad voor snelle hertoegang
●
Selecteer vanuit de ingesloten opties de optie certificaatsjablonen
●
Maak of klik een sjabloon en noem het CiscoRA
●
De sjabloon wijzigen. Klik met de rechtermuisknop op de afbeelding en selecteer Eigenschappen.
●
Selecteer het tabblad General en stel de geldigheidsduur in op 20 jaar (of een andere waarde indien gewenst). Zorg er in dit tabblad voor dat de waarden "weergavenaam" van de sjabloon en "name" overeenkomen
●
Selecteer het tabblad Uitbreidingen, markeer Toepassingsbeleid en selecteer Bewerken
●
Verwijder alle beleid dat in het venster wordt weergegeven
●
Selecteer het tabblad Onderwerp en selecteer de radioknop Levering in verzoek
●
Selecteer het tabblad Beveiliging en geef alle rechten op voor alle groepen/gebruikersnamen die worden weergegeven
●
De certificaatsjabloon beschikbaar maken voor afgifte
Selecteer in het MMC-venster de certificeringsinstantie en vul de map uit om de map certificaatsjablonen te vinden
●
Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam en Voorgenomen doel bevat
●
Selecteer Nieuwe sjabloon en certificaatsjabloon voor afgifte
●
Selecteer de nieuw gemaakte en bewerkte CiscoRA-sjabloon
●
Creatie van Cisco-account voor actieve map
Navigeren in naar MMC magnetisch-ins en selecteer Actieve gebruikers en computers in map
●
Selecteer de map Gebruikers in de boom in het linker deelvenster
●
Klik met de rechtermuisknop in de witte ruimte in het kader dat Naam, Type en Beschrijving bevat
●
Selecteer Nieuw en Gebruiker
●
Maak de CiscoRA-account met gebruikersnaam/wachtwoord (ciscoCora/Cisco123 is gebruikt voor dit lab) en selecteer het wachtwoord nooit verlopen selectieteken wanneer het wordt weergegeven
●
IS Configuratie van verificatie en SSL-binding
inschakelen NTLM Verificatie
Navigeer naar MMC magnetisch-ins en selecteer onder de Manager Internet Information Services (IS) de naam van uw server
●
De lijst met functies wordt in het volgende kader weergegeven. Dubbelklik op het pictogram Verificatie
●
Windows-verificatie markeren en in het veld Acties (rechter venster) selecteren de optie Inschakelen
●
In het deelvenster met acties worden de optie Geavanceerde instellingen weergegeven;
Selecteer het item en uncheck Schakel Kernel-mode verificatie in
●
Selecteer Providers en plaats NTML in, onderhandelt en onderhandelt optioneel:Kerberos
●
Het identiteitsbewijs voor de webserver genereren
Als de case al niet bestaat, moet u een certificaat en een identiteitsbewijs voor uw Web service genereren dat door de CA is ondertekend omdat CiscoRA er niet aan kan verbinden als het certificaat van de webserver zelf ondertekend is:
Selecteer uw webserver vanuit IS en dubbelklik op het pictogram servercertificaten:
●
U kunt er standaard één certificaat zien dat in deze lijst staat. dat het zelf-ondertekende CA- cert is; Selecteer in het menu Handelingen de optie Domain Certificate maken. Voer de waarden in de wizard voor de configuratie in om een nieuw certificaat te maken. Zorg ervoor dat de Common name een oplosbare FQDN is (Full Qualified Domain Name) en selecteer vervolgens Volgende:
●
Selecteer het certificaat van uw wortel CA als emittent en selecteer Finish:
●
U kunt zowel het CA-certificaat als het identiteitsbewijs van uw webserver in de lijst zien:
●
Web Server SSL-binding
Selecteer een site in de boomweergave (u kunt de standaard website gebruiken of de website korter maken naar specifieke sites) en selecteer Bindingen in het deelvenster Handelingen.
Dit brengt de bindings redacteur op die u toelaat om verbindingen voor uw website te creëren, te bewerken en te wissen. Selecteer Add om uw nieuwe SSL-binding aan de site toe te
voegen.
●
De standaardinstellingen voor een nieuwe binding worden op HTTP ingesteld op poort 80.
Selecteer https in de vervolgkeuzelijst Type. Selecteer het zelf-ondertekende certificaat dat u in de vorige sectie hebt gemaakt, uit de vervolgkeuzelijst SSL-certificaat en selecteer
vervolgens OK.
●
U hebt nu een nieuwe SSL-binding op uw site en het enige dat overblijft, is om te controleren of het werkt door Bladeren te selecteren *:443 (https) optie uit het menu en om te zorgen dat de standaard-IS-webpagina HTTPS gebruikt:
●
Vergeet niet de IS-service opnieuw te starten nadat de configuratie is gewijzigd. Gebruik de optie Herstart in het deelvenster Handelingen.
●
CUCM-configuratie
Navigeer naar uw AD CS-webpagina (https://YOUR_SERVER_FQDN/certsrv/) en download het CA-certificaat
●
Navigeer in Security > certificaatbeheer van de OS-beheerpagina en selecteer de knop Upload Certificate/certificaatketting om het CA-certificaat te uploaden dat is ingesteld op CAPF-trust.
●
... Op dit punt is het ook een goed idee om dat zelfde CA certificaat als CallManager-trust te uploaden omdat het nodig is als de veilige signaleringsencryptie voor de endpoints is
ingeschakeld (of zal worden geactiveerd); wat waarschijnlijk is als het cluster in Gemengde modus is.
Navigeer naar Systeem > Servicecategorieën. Selecteer de Unified CM Publisher in het serverveld en de Proxy-functie van Cisco certificaatinstantie in het veld Service.
●
Stel de waarde van de Uitgever van het Certificaat in aan Online CA en voer de waarden voor de Online CA parameters in. Zorg ervoor dat u FQDN, de naam van de certificeringssjabloon die eerder is gemaakt (CiscoRA), het CA-type als Microsoft CA gebruikt en gebruik de
aanmeldingsgegevens van de CiscoRA gebruikersaccount die eerder is gemaakt
●
Een pop-venster geeft u aan dat de CAPF-service opnieuw gestart moet worden. Maar eerst activeert u de Cisco-service voor het invoeren van een certificaat via Cisco Unified Services >
Gereedschappen > Service Activering, selecteert u de Uitgever in het veld Server en controleert u het selectieknop voor Cisco-certificering en vervolgens selecteert u de knop Opslaan:
●
Verifiëren
Controleer IS-certificaten
Van een browser van het web in een PC met connectiviteit aan de server (bij voorkeur in het zelfde netwerk als de uitgever van CUCM) navigeer aan URL:
●
https://YOUR_SERVER_FQDN/certsrv/
Er wordt een waarschuwing weergegeven dat het certificaat niet is vertrouwd. Voeg de uitzondering toe en controleer het certificaat. Zorg ervoor dat deze overeenkomt met de verwachte FQDN:
●
Nadat u de uitzondering accepteert, moet u authentiek verklaren; Op dit punt moet u de aanmeldingsgegevens gebruiken die eerder voor de CiscoRA-account zijn ingesteld:
●
Na authenticatie moet u de AD CS (Active Directory Certificate Services) welkomstpagina kunnen zien:
●
Controleer de CUCM-configuratie
Volg de stappen die u normaal volgt om een LSC-certificaat op een van de telefoons te installeren.
Stap 1. Open de pagina CallManager-beheer, apparaat en vervolgens telefoon Stap 2. Selecteer de knop Find om de telefoons weer te geven
Stap 3. Selecteer de telefoon die u wilt installeren op de LSC
Stap 4. Scrolt naar informatie van de certificeringsinstantie Proxy-functie (CAPF) Stap 5. Selecteer de optie Installatie/upgrade van de licentieverwerking.
Stap 6. Selecteer de verificatiemodus. (Door Null String is fijn voor testdoeleinden)
Stap 7. Scrolt naar de bovenkant van de pagina en selecteer Opslaan en pas Config voor de telefoon toe.
Stap 8. Nadat de telefoon opnieuw is opgestart en opnieuw is geregistreerd, gebruikt u het LSC Statusfilter om te bevestigen dat de LSC met succes is geïnstalleerd.
Vanaf de kant van de AD server open MMC en breid de certificeringsinstantie uit om de map van de afgegeven certificaten te selecteren
●
Het ingangssignaal voor de telefoon wordt in de summiere weergave weergegeven, dit zijn een aantal van de weergegeven details: ID aanvragen: Uniek volgnummerNaam aanvragen:
De gebruikersnaam voor de geconfigureerde CiscoRA-account moet worden
weergegevencertificaatsjabloon: De naam van de gemaakte CiscoRA-sjabloon moet worden weergegevenGebruikersnaam: Het model van de telefoon dat door de apparatennaam wordt toegevoegd moet worden weergegevenDatum van inwerkingtreding en vervaldatum van het certificaat
●
Verwante links
Probleemoplossing voor CAPF online CA
●
Technische ondersteuning en documentatie – Cisco Systems
●